Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Malafide .nl-websites opsporen met logodetectie in de praktijk

Onze inzichten na analyse van ruim 20 duizend domeinnamen samen met Rijksoverheid en Thuiswinkel.org

Screenshot van een overheidswebsite waarin LogoMotive gevonden logo's markeert door ze groen te omkaderen

Bij SIDN Labs ontwikkelden we LogoMotive om malafide domeinnamen op te sporen op basis van logoherkenning. De afgelopen tijd evalueerden we LogoMotive op grote schaal samen met 2 toonaangevende partijen: de Rijksoverheid en Thuiswinkel.org. Het bevestigde onze hypothese dat logodetectie een nuttige aanvulling is op onze bestaande mechanismes om de veiligheid van de .nl-zone verder te verhogen. Deze blog is een samenvatting van de 2 pilots en onze 3 belangrijkste inzichten op basis daarvan. We beschrijven deze in meer detail in een wetenschappelijk artikel.

Wat was LogoMotive ook alweer?

Succesvolle pilots om malafide domeinnamen op te sporen op basis van logoherkenning

In een eerdere blog beschreven we LogoMotive: ons systeem dat logo’s herkent op websites en daarmee helpt malafide .nl-domeinnamen te ontdekken. Het systeem bezoekt geautomatiseerd .nl-websites en maakt screenshots van de homepagina. Vervolgens worden op de screenshots logo’s herkend en de resultaten geüpload naar een webapplicatie. Hierin kunnen analisten bepalen of het logo terecht of met malafide intenties wordt gebruikt. Voor de details van de implementatie verwijzen we naar onze vorige blog en het wetenschappelijk artikel.

Pilots met de Rijksoverheid en Thuiswinkel.org

Ons prototype van LogoMotive gaf ons een eerste indruk dat onze aanpak haalbaar was, maar we wisten nog niet hoe goed LogoMotive zou werken in de praktijk. Om dat te testen voerden we 2 pilots uit waarin we LogoMotive toepasten op de hele .nl-zone: een met de Dienst Publiek en Communicatie (DPC) van de Rijksoverheid en een met Thuiswinkel.org. We onderzochten daarin respectievelijk misbruik van het Rijksoverheid logo (zie Figuur 1a) en van het alom bekende Thuiswinkel-keurmerk (zie Figuur 1b). Figuur 1 laat zien hoe beide logo’s door LogoMotive worden gedetecteerd.

Screenshot van een overheidswebsite waarin LogoMotive gevonden logo's markeert door ze groen te omkaderen

Figuur 1a LogoMotive herkent het Rijksoverheid-logo op een website.

Screenshot van een website waarin LogoMotive gevonden logo's van Thuiswinkel.org markeert door ze groen te omkaderen

Figuur 1b LogoMotive herkent het Thuiswinkel Waarborg-logo op een website.

In beide pilots scanden we meerdere keren alle 6.2 miljoen .nl-domeinnamen met LogoMotive. In de pilot met de Rijksoverheid hielden we ook nog gedurende 2 maanden (augustus – oktober 2021) alle nieuwe registraties in de gaten. In totaal vonden we zo’n 11.700 domeinnamen met het Rijksoverheid-logo, en op ongeveer 10.600 .nl-sites vonden we het Thuiswinkel Waarborg-logo. Analisten bij DPC en Thuiswinkel Waarborg hebben al deze gevonden websites met hun logo handmatig onderzocht; in totaal dus meer dan 20.000.

Inzicht #1: malafide websites ontdekken op basis van logo’s werkt

We ontwikkelden LogoMotive omdat we dachten dat logodetectie een goede invalshoek zou zijn om malafide websites op te sporen. De pilots laten zien dat deze hypothese inderdaad klopt. Bij de eerste scan van de .nl-zone vond LogoMotive 3 phishingwebsites met het Rijksoverheid-logo. Dat lijkt misschien weinig, maar het wordt meer als we kijken naar de periode van 2 maanden waarin we continu nieuwe geregistreerde domeinnamen analyseerden. In deze korte periode vond LogoMotive 53 domeinnamen met het Rijksoverheid-logo. Hiervan bleken er ook 3 phishingwebsites, ruim 5% dus. In de hele .nl-zone vond LogoMotive ook 208 domeinnamen met een webshop waarop het Thuiswinkel Waarborg-logo onterecht werd gebruikt, omdat ze niet waren aangesloten bij het keurmerk.

Op basis hiervan zou je misschien denken dat het Thuiswinkel Waarborg-logo vaker wordt misbruikt dan het logo van de Rijksoverheid. Het relatief lage aantal malafide websites in de hele zone en het hogere percentage in nieuw-geregistreerde domeinnamen laat echter zien dat misbruik van het Rijksoverheid-logo waarschijnlijk eerder wordt gesignaleerd en uit de lucht wordt gehaald, en dat nieuwe domeinnamen meer malafide content bevatten. Er is natuurlijk ook een verschil tussen phishing en merkinbreuk; het Rijksoverheid-logo werd op 80 websites anderszins ongewenst gebruikt. Denk bijvoorbeeld aan valse steunbetuigingen en satire.

Op basis van de 2 pilots concluderen we dat logodetectie een doeltreffend mechanisme is om snel nieuwe malafide sites te ontdekken, voordat de ze slachtoffers kunnen maken. De helft van de phishingwebsites was op het moment van herkenning nog niet gemeld op populaire blocklists. Het is ook nuttig voor partijen die zelf nog weinig monitoren op misbruik.

Inzicht #2: logodetectie onthult redirects als sluimerend risico

LogoMotive vond ook 82 verdachte domeinnamen met het Rijksoverheid-logo die gebruikers naar een authentieke overheidswebsite doorstuurden via HTTP-redirects. De houders van deze domeinnamen hadden echter geen enkele connectie met de overheid; ze zouden in een later stadium zomaar kunnen besluiten om bezoekers door te sluizen naar een valse website of mails versturen die afkomstig lijken van de overheid.

De redirect-domeinnamen waren typosquats die sterk leken op bekende overheidsdomeinnamen. We vonden bijvoorbeeld een domeinnaam met de termen ‘vaccinatie’ en ‘afspraak’ die doorverwees naar coronatest.nl, de officiële website van de overheid om een coronatest en -vaccinatie aan te vragen. We zagen redelijk wat DNS-verkeer voor deze domeinnaam wat suggereert dat de website regelmatig bezocht werd.

2 van de redirects die we vonden verwezen naar de websites van gespecialiseerde takken van de Rijksoverheid, waaronder een inlogportaal voor medewerkers. Dit kan duiden op een zogenaamde spearphishingaanval, waarbij de dader het op specifieke overheidsmedewerkers heeft gemunt. Aanvallers kunnen deze domeinnamen ook gebruiken om malafide e-mails te sturen; we vonden namelijk MX-records van een dubieuze mailserver bij een van deze domeinnamen. Deze redirects zijn een sluimerend risico, omdat ze (nog) niet malafide zijn en dus niet op blocklists staan. In het geval van spearphising zullen ze ook niet snel gemeld worden, omdat ze niet door een grote groep mensen worden bekeken. DPC wilde deze domeinnamen wel graag op de radar krijgen, omdat ze veel schade kunnen aanrichten als de houder malafide intenties krijgt. Logodetectie kan dus ook helpen om proactief domeinnamen te ontdekken die een sluimerend risico zijn.

Inzicht #3: logodetectie helpt domeinnaam portfolio’s compleet te maken

Tijdens de pilot vonden we 318 legitieme domeinnamen van de Rijksoverheid, die nog niet in het domeinnaamregister van DPC stonden. Naast het interne domeinnaamregister publiceert DPC ook een publiek websiteregister, waarin alle publieke overheidswebsites op een rij worden gezet. Met deze registers controleert de overheid of alle Rijksoverheidsdomeinen aan veiligheidsstandaarden zoals DMARC en DNSSEC voldoen. Ons onderzoek naar de implementatie van DNSSEC en DMARC voor Rijksoverheid-domeinnamen illustreerde dit. Van de domeinnamen in het websiteregister gebruikt 98% DNSSEC en 92% gebruikt DMARC. Voor de onbekende Rijksoverheidssites die LogoMotive ontdekte was dit respectievelijk 74% en 41%.

Ook voor Thuiswinkel Waarborg ontdekte LogoMotive 54 domeinnamen die behoorde tot leden, maar waarvan het keurmerk niet wist dat deze in gebruik waren. Net als de Rijksoverheid kon Thuiswinkel Waarborg deze websites dus niet controleren op hun richtlijnen en standaarden. Logodetectie is dus ook nuttig om het domeinnaamportfolio van een organisatie in beeld te brengen. Partijen kunnen hun websites zo beter testen op hun verplichte richtlijnen, zoals het gebruik van moderne internetstandaarden. Ook verlaagt een compleet websiteregister het risico dat organisaties niet weten of en wanneer een onbekende domeinnaam wordt opgezegd. Dit heeft in het verleden geleid tot datalekken. We pakken dit probleem ook aan met LEMMINGS, een ander project van SIDN Labs.

De Rijksoverheid heeft de overheidsdomeinnamen die LogoMotive vond inmiddels opgenomen in hun domeinnaamregister.

Conclusie en blik op de toekomst

De evaluatie met de Rijksoverheid en Thuiswinkel.org toonde aan dat logodetectie inderdaad helpt om .nl veiliger te maken. We ontdekten malafide websites, verdachte domeinnamen waaronder mogelijke spearphishing, en onbekende domeinnamen die niet op veiligheid en betrouwbaarheid gecontroleerd konden worden.

Op basis van deze inzichten gaan we LogoMotive integreren in SIDN Merkbewaking, zodat alle aangesloten partijen ook kunnen profiteren van logoherkenning om hun merk beter te beschermen. Ook stellen we de code van LogoMotive beschikbaar voor academici die het in vervolgonderzoek willen gebruiken, en voor andere registry’s om het in hun DNS-zones toe te passen.

Onze wetenschappelijke publicatie over LogoMotive presenteren we op 28 maart bij de Passive and Active Measurements conferentie; het artikel vind je op deze website, net als een managementsamenvatting.

Met dank aan

We willen graag de analisten bij DPC en Thuiswinkel.org bedanken voor de moeite die ze hebben gestoken in het uitvoeren van de pilots met LogoMotive. Zonder de velen uren annotatiewerk hadden we het systeem niet kunnen evalueren en waren onze mooie bevindingen uitgebleven.

Artikel door:

Portret van Thijs van den Hout

Thijs van den Hout

Research engineer

Thymen Wabeke

Research engineer

Giovane Moura

Giovane Moura

Data Scientist

Cristian Hesselman

Cristian Hesselman

Directeur SIDN Labs