Bij SIDN Labs zijn we per 1 november met de Fraudehelpdesk een pilot gestart om informatie uit te wisselen over domeinnamen die ervan worden verdacht voor phishing misbruikt te worden. Het doel van de pilot is te onderzoeken of beide partijen door het delen van hun ‘threat intelligence’ elkaar kunnen helpen om phishingmails sneller te herkennen en verdachte .nl-websites uit de lucht te laten halen.
De kern van de pilot bestaat uit een technische koppeling tussen het ‘big data’ systeem van SIDN Labs (ENTRADA) en dat van de Fraudehelpdesk (APATE). Als Fraudehelpdesk een nieuwe abuse-melding ontvangt (stap 1 in onderstaande afbeelding) sturen ze de .nl-domeinnamen aan ons door (stap 2). Wij sturen dan automatisch de volgende query- en registrant-informatie terug (stap 3):
het aantal DNS-queries voor de domeinnaam in de laatste 7 dagen
de registratiedatum van de domeinnaam
of de registrant uit het buitenland komt (ja/nee)
een pseudoniem van de registrar
Stap 3 voldoet aan ons privacyraamwerk voor ENTRADA en heeft een bijbehorende privacypolicy.Project workflowWij verwachten dat de Fraudehelpsdesk met de koppeling met ENTRADA sneller kan bepalen of een domeinnaam voor phishing wordt misbruikt . Zo kunnen zij de meldingen die zij ontvangen beter prioriteren (stap 4). De Fraudehelpdesk maakt via haar website en social media-kanalen bekend wanneer er een nieuwe phish is gevonden (stap 5). Verder ontvang we bij SIDN Labs feedback van de Fraudehelpdesk over het aantal meldingen en over hun classificatie op basis van APATE. Daarmee willen we onze eigen phishing-detectiemechanismen, zoals NDEWS, verbeteren. Deze pilot loopt tot eind 2016. Dan analyseren we de resultaten samen met Fraudehelpsdesk en bepalen we gezamenlijke vervolgstappen voor de koppeling. Donderdag 17 november presenteren we het project samen met de Fraudehelpdesk op het Jaarcongres ECP Jaarcongres. De slides vind je bij publicaties.
