Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Karakterisering van phishing binnen ccTLD's

Samenwerking tussen .nl, .ie en .be om phishingaanvallen te vergelijken en inzicht te krijgen in hoe phishing werkt en wat de implicaties zijn van mitigatiebeleid

Kaartje met inloggegevens aan een vishaak boven een toetsenbord.

De oorspronkelijk blog is Engelstalig. Dit is de Nederlandse vertaling ervan.

Auteurs: Giovane Moura (SIDN Labs, TUDelft), Thomas Daniels (DNS Belgium, KU Leuven), Maarten Bosteels (DNS Belgium), Sebastian Castro (.IE Registry), Moritz Müller (SIDN Labs, Universiteit Twente), Thymen Wabeke (SIDN Labs), Thijs van den Hout (SIDN Labs), Maciej Korczyński (University of Grenoble Alps) en Georgios Smaragdakis (TUDelft).

Phishingaanvallen, waarbij gebruikers worden verleid om privégegevens te delen, vormen al jaren een grote bedreiging voor de online veiligheid. Volgens een rapport van de FBI uit 2023 is het de voornaamste vorm van digitale criminaliteit. In Europa stelt ENISA in zijn rapport van 2023 dat “phishing opnieuw de meest voorkomende vector voor initiële toegang is”.

In een recent peerreviewed artikel hebben we verslag gedaan van een longitudinaal onderzoek naar phishingaanvallen die zijn waargenomen bij 3 Europese ccTLD's: het Nederlandse .nl (beheerd door SIDN), het Ierse .ie (beheerd door de registry .ie) en het Belgische .be (beheerd door DNS Belgium).

Zoals de oude Romeinen graag een mengsel van verschillende soorten vis gebruikten om de beruchte vissaus met de naam Garum te maken, gebruikten wij een combinatie van meer dan 28.000 bij phishing betrokken domeinnamen met als doel het detectie- en mitigatiebeleid van de registry's te verbeteren – ons grootste onderzoek naar phishing tot nu toe. Laten we ons eens verdiepen in onze bevindingen.

Vergeleken ccTLD's

De ccTLD's die we in dit onderzoek hebben geëvalueerd, hebben verschillende kenmerken, zoals te zien is in de onderstaande tabel:

  • Aantal domeinnamen: we zien een grote variatie in het aantal domeinnamen (330K voor .ie tegen 6,1M voor .nl)

  • Registratiebeleid: .nl en .be werken met open registratie, wat betekent dat iedereen domeinnamen onder hun zone kan registreren. Daarentegen hanteert .ie een restrictief registratiebeleid: alleen personen en bedrijven gerelateerd aan Ierland kunnen domeinnamen registreren.

ccTLD

Registratiebeleid

Domeinen

Aantal inwoners van het land

.nl (Nederland)

Open

6,1M

17,5M

.ie (Ierland)

Restrictief

330,1K

4,9M

.be (België)

Open

1,7M

11,5M

Tabel 1 — Overzicht van ccTLD's.

In onze analyse houden we rekening met deze verschillen.

Phishingdatasets

De onderstaande tabel toont de phishingdatasets die we voor elk ccTLD hebben geëvalueerd. De phishing-URL's zijn afkomstig van Netcraft, een commerciële aanbieder van phishingblocklists die door alle drie de registry's wordt gebruikt. Elke registry heeft alleen toegang tot domeinnamen in het eigen ccTLD. Er zijn meer phishingblocklists en in het artikel evalueren we nog een tweede. We hebben in ons artikel echter gekozen voor Netcraft, vanwege de dekking en het lage percentage vals-positieven.

.nl

.ie

.be

Begindatum

16-09-2013

30-07-2019

29-08-2019

Einddatum

05-06-2023

25-08-2023

05-06-2023

Periode

~10 jaar

~4 jaar

~4 jaar

Domeinen (SLD's)

25.389

555

2.810

URL's

137.880

4.542

27.346

Tabel 2: Dataset van Netcraft-phishingblokkeringslijst..

Spelen ccTLD's een rol bij het kiezen wie geïmiteerd wordt?

ccTLD's zijn nauw verbonden met hun land, en overheden, particulieren en bedrijven maken er veelvuldig gebruik van voor hun domeinnamen. In zekere zin kan een ccTLD worden gezien als een merk, en mensen hechten een bepaalde mate van vertrouwen aan merken. Wij onderzoeken of aanvallers dit vertrouwen uitbuiten voor phishingaanvallen.

Uit de onderstaande tabel blijkt dat voor de 3 ccTLD's de meeste geïmiteerde bedrijven internationaal zijn in plaats van gevestigd in het land van het ccTLD. We zien bijvoorbeeld phishingaanvallen op Aziatische en Afrikaanse banken met behulp van .nl-domeinen, en in alle 3 de ccTLD's is Microsoft het meest geïmiteerde bedrijf. Deze domeinen beslaan tot wel 78 landen en bestrijken 114 marktsegmenten, wat erop wijst dat ccTLD's worden gebruikt voor wereldwijde imitatie.

.nl

.ie

.be

Aangevallen bedrijven

1.057

206

546

Lokaal

58

8

33

Internationaal

942

198

460

Onbekend

57

0

53

Landen van bedrijven

78

18

64

Marktsegmenten

114

52

108

Tabel 3: Doelbedrijven en marktsegmenten per ccTLD.

De onderstaande figuur toont de marktsegmenten in de ccTLD’s die het vaakst het doelwit zijn, gebaseerd op het aantal secondleveldomeinen (SLD’s). Het bankwezen staat in alle 3 de ccTLD’s boven aan de lijst. Interessant is dat dit segment ook werd aangeboden door LabHost, een ‘phishing-as-a-service’-aanbieder die in april 2024 werd opgerold.

Marktsegmenten waarop aanvallers zich richten

Figuur 1: Phishingaanvallen per marktsegment.

Je zou kunnen concluderen dat het aanvallers niet uitmaakt welk ccTLD ze voor phishingaanvallen gebruiken. Maar is dat ook zo?

2 aanvalsstrategieën

Tja, die conclusie houdt geen stand wanneer we in ogenschouw nemen wat de leeftijd van een domeinnaam is op de datum waarop melding wordt gedaan van phishing. Dan tekent zich een duidelijk patroon af, voor zowel het ccTLD .be als het ccTLD .nl:

  • Nieuwe domeinen richten zich op nationale bedrijven.

  • Oude domeinen richten zich op internationale bedrijven.

Een duidelijk verschil, maar waar zit ‘m dat in?

Onze hypothese is dat er 2 aanvalsstrategieën zijn.

  • Aanvallers die zich voordoen als nationale bedrijven geven er de voorkeur aan hun eigen domeinen te registreren en hosten, omdat ze dan domeinen kunnen kiezen die klinken als de legitieme domeinnaam, bijvoorbeeld bankpas-valideren.nl. Een dergelijke domeinnaam, met hetzelfde ccTLD als de originele domeinnaam van de bank, in de lokale taal (Nederlands voor Nederland), heeft meer kans om gebruikers met succes om de tuin te leiden dan wanneer deze gehost zou worden op een domein zoals flowershop.jp, dat een ander TLD heeft en geen bankgerelateerde zoektermen.

  • Aanvallers die zich voordoen als internationale bedrijven – althans die we zien in .nl en .be – hechten geen belang aan het ccTLD. Zij geven er de voorkeur aan om de website van iemand anders te compromitteren om hun campagnes uit te voeren, omdat ze daar niet voor hoeven te betalen. (Eerder onderzoek heeft aangetoond dat websites vaak worden gescand op CMS-wetsbaarheden.) Voor deze aanvallers maakt het niet uit of het domein flowershop.jp heet wanneer ze zich voordoen als een Zuid-Afrikaanse bank of een Amerikaanse kredietvereniging.

Het verschil zit ‘m dus in de keuze van de aanvaller: betalen voor een domeinnaam, hosting en een DNS-dienst om zelf een naam te kunnen kiezen of het goedkoop houden en de middelen van iemand anders gebruiken?

Onze data laten de volgende patronen zien: 20% van de phishingaanvallen gebruikt nieuwe (kwaadwillig geregistreerde) domeinnamen en richt zich op minder dan 5% van de bedrijven, voornamelijk lokale. 80% van de aanvallen gebruikt oude (waarschijnlijk gecompromitteerde) domeinnamen en richt zich op willekeurige bedrijven.

Kwaadwillig geregistreerd

Gecompromitteerde domeinen

Gebruik

Lokaal of lokaal opererend bedrijf

Alle, vooral internationale, bedrijven

Aandeel SLD's

20,00%

80,00%

Aangevallen bedrijven

<5%

>95%

Tabel 4: Strategieën voor phishingaanvallen.

In de tabel hieronder tonen we het totale aantal geïmiteerde bedrijven en gebruikte SLD's, voor bedrijven uit alle landen en voor bedrijven uit het land van het desbetreffende ccTLD.

.nl

Bedrijven

SLD's

Mediane leeftijd (dagen)

Alle landen

1.054

26.740

1.641,0

NL

58

6.084

2,5

.be

Bedrijven

SLD's

Mediane leeftijd (dagen)

Alle landen

546

2.810

2.154,0

BE

33

6.084

2,0

Tabel 5: Imitatiebedrijven en hun herkomsteconomie.

Maar hoe zit het dan met .ie-domeinnamen? Waarom geldt dit daar niet voor? Nou ja, .ie hanteert een restrictief registratiebeleid dat voorkomt dat aanvallers gemakkelijk nieuwe domeinen voor malafide doeleinden kunnen registreren (al is het hen in het verleden met behulp van vervalste documenten wel gelukt). Dit beleid is effectief in het verhinderen van phishingaanvallen met behulp van nieuwe domeinen, maar helpt helaas niet bij gecompromitteerde domeinnamen.

Leerpunt: phishers kunnen worden ondergebracht in 2 groepen op basis van de domeinnamen die ze gebruiken:

  • Lokale aanvallers: registreren liever nieuwe domeinen om zich te richten op nationale bedrijven.

  • Overige aanvallers: gebruiken willekeurige domeinen om zich te richten op bedrijven elders.

Voor onze ccTLD's geldt dat de meeste aanvallen oude, waarschijnlijk gecompromitteerde domeinnamen gebruiken.

Vergelijking van aangevallen merken in de ccTLD's

Wanneer we vergelijken welke merken in de verschillende ccTLD's werden geïmiteerd, zien we het onderstaande Venn-diagram.

Venn-diagram van nagebootste merken
https://images.ctfassets.net/yj8364fopk6s/6I7B80lUmdbI0nE0nYmQd/0071d98677ee78275755bf6327694fd7/venn-brands-deanon-new-colors.jpg

Figuur 2: Venn-diagram van geïmiteerde merken.

We kunnen het volgende constateren:

  • 139 bedrijven (11% van het totaal) komen voor in alle ccTLD’s. Hieronder bevinden zich mondiale internetgiganten als Microsoft, Google, Netflix en PayPal. Zij zijn goed voor 58% van alle bij aanvallen gebruikte SLD’s.

  • 247 bedrijven zijn geïmiteerd met zowel .nl- als .be-domeinen. Gezien hun culturele, taalkundige en financiële banden zijn bedrijven vaak in beide landen actief, wat de keuze voor het gebruik van een .nl- of .be-domein verklaart.

  • De overige bedrijven lijken willekeurig te zijn. .nl telt 639 meer bedrijven dan de rest vanwege het grotere aanvalsoppervlak (6,1M domeinnamen) en het gebruik van bijna 10 jaar aan data, tegen 4 jaar voor beide andere landen.

Mitigatie

Phishing kan op 2 niveaus worden gemitigeerd: op DNS-niveau en/of op webniveau. Op DNS-niveau kan de bij phishing gebruikte domeinnaam worden verwijderd uit de naamruimte en uit het zonebestand. Hij kan ook buiten werking worden gesteld (suspended), waarbij hij wordt verwijderd (delisted) uit de DNS-zone, maar niet uit de naamruimte. Ten slotte is het mogelijk dat de domeinnaam in de zone en naamruimte gehandhaafd blijft, maar dat de autoritatieve DNS-servers (NS-records) ervan worden gewijzigd in een veilige server. Op webniveau kan de phishingcontent simpelweg van de website worden verwijderd.

Elk ccTLD hanteert zijn eigen beleid om misbruik tegen te gaan (zie .nl en .ie voor hun volledige beleidsmaatregelen).

Als een phishingaanval is bevestigd, geldt voor nieuwe domeinnamen het volgende:

  • .be: schorst het domein zo snel mogelijk.

  • .nl: waarschuwt andere partijen (registrar, hostingprovider, enz.) en wacht 66 uur. Als het dan niet is opgelost, wordt het domein buiten werking gesteld.

  • .ie: stelt domeinen bij phishing niet buiten werking, omdat het meestal gaat om gecompromitteerde domeinnamen, wat kan worden opgelost met mitigatie op webniveau.

We hebben voor de ccTLD’s de mitigatie van phishingdomeinnamen onder de loep genomen.

Daaruit is gebleken dat het type domeinnaam ook van invloed is op de wijze van mitigatie:

  • Oude, gecompromitteerde domeinen: voor alle ccTLD’s geldt dat er weinig mitigatie op DNS-niveau is. In plaats daarvan vindt de mitigatie plaats op het niveau van webapplicaties en wordt afgehandeld door hostingproviders. Een voorbeeld hiervan is als de website van de bakker bij jou in de buurt wordt gecompromitteerd en phishingcontent host.

  • Pas geregistreerde domeinen: omdat deze waarschijnlijk zijn geregistreerd door de aanvaller, zien we een mengeling van mitigatie op DNS- en webniveau, afhankelijk van het ccTLD. Als het domein met kwaadwillige bedoelingen is geregistreerd, is mitigatie op DNS-niveau wel zo verstandig. Zo is de kans groot dat santander-card-update.tld nep is en hoe langer het online blijft, hoe meer slachtoffers het aantrekt.

In de onderstaande figuur zie je de mitigatieketen voor alle nieuwe domeinnamen (<7 dagen oud) voor zowel .nl als .be (.ie heeft immers een restrictief registratiebeleid). De impact van het beleid van de registry’s is duidelijk:

  • .nl: 55% van de kwaadwillig geregistreerde domeinnamen wordt gemitigeerd op DNS-niveau, voornamelijk door registrars (48,2%).

  • .be: 75% van de kwaadwillig geregistreerde domeinnamen wordt gemitigeerd op DNS-niveau, voornamelijk door de registry (49,6%).

Met andere woorden: deze domeinen worden door .be actief verwijderd, terwijl .nl erop vertrouwt dat het merendeel van de mitigatie eerst door registrars wordt afgehandeld.

Schematische weergave van mitigatie van phishing bij nieuwe domeinnamen

Figuur 3: Mitigatie van nieuwe domeinnamen.

Mitigatietijden

De tijd dringt bij het mitigeren van phishing. In de onderstaande figuur zien we in de linker grafiek dat op DNS-niveau meer dan 60% van de .be-domeinen op de eerste dag wordt gemitigeerd, terwijl dat percentage voor .nl rond de 40% ligt. Kijken we echter naar DNS- en webmitigatie bij elkaar (zoals gerapporteerd door Netcraft, alleen beschikbaar voor .nl en .ie as extra service), dan zien we in de rechter grafiek dat voor .nl ongeveer 80% van de domeinen op de eerste dag wordt gemitigeerd, zowel wat betreft nieuwe als oude domeinen, en vrijwel hetzelfde geldt voor .ie.

Figuur 4: DNS-mitigatie: domeinopschorting.

Figuure 5: Beperking gemeld door Netcraft.

Wat kunnen we hier nu uit concluderen? De mitigatie van phishing is niet een eenmalige actie uitgevoerd door één partij. In de praktijk nemen registrars, registry's, hostingproviders en webmasters onafhankelijk van elkaar maatregelen om phishingaanvallen te mitigeren. De rechtergrafiek toont de impact van deze gezamenlijke inspanning – phishingsites worden veel sneller gemitigeerd dan wanneer een registry het alleen moet opknappen.

De volgende stap

Ons onderzoek is het eerste dat phishing vergelijkt tussen 3 registry's met een verschillend registratiebeleid. We hebben de impact laten zien die het registratiebeleid en het beleid voor het mitigeren van misbruik hebben op de algehele mitigatie van phishing. Sommige hackers maken gebruik van het merk van het ccTLD om zich voor te doen als nationale bedrijven, terwijl de meeste aanvallers zich gedragen als profiteurs die meeliften op de middelen van anderen – en dan vooral hun kwetsbare websites.

Op basis van ons onderzoek stellen we de volgende actiepunten voor:

  • Meer onderzoek naar gecompromitteerde domeinnamen: de meeste onderzoeken richten zich op pas geregistreerde domeinen. Wij dringen erop aan dat er meer wordt gedaan aan het detecteren, karakteriseren en mitigeren van gecompromitteerde domeinen, die het overgrote deel van de phishingdomeinen uitmaken en goed zijn voor 80% van de huidige phishingaanvallen.

  • Herziening van het registrybeleid: de resultaten van dit onderzoek worden momenteel intern door de ccTLD's besproken en leiden mogelijk tot beleidsaanpassingen om gelijke tred te kunnen houden met de evoluerende strategieën van aanvallers.

Voor meer informatie over dit onderzoek en de overige resultaten verwijzen we je naar het peerreviewed artikel dat zal worden gepresenteerd tijdens de 2024 ACM Conference on Computer and Communications Security (CCS 2024).

Artikel door:

Giovane Moura

Giovane Moura

Data Scientist