DNS Belgium deed samen met de Nederlandse en Ierse registries (SIDN en https://www.weare.ie/) grootschalig onderzoek naar de aard van phishingaanvallen in de zones .be .nl en .ie. Dat deden we om nog beter inzicht te krijgen in hoe phishing werkt, hoe we het beter kunnen detecteren en hoe we er ons efficiënter kunnen tegen beschermen.
Met phishingaanvallen proberen cybercriminelen privégegevens van hun slachtoffers te bemachtigen. Het is een oud zeer dat al jaren een grote bedreiging is voor de online veiligheid. Volgens rapporten van de FBI en European Union Agency for Cybersecurity (ENISA) uit 2023 is phishing de meest voorkomende vorm van cybercriminaliteit.
We onderzochten meer dan 28.000 domeinnamen die bij phishing betrokken waren. In onze analyse hielden we rekening met het respectieve aantal domeinnamen in de drie landen en met het feit dat Ierland – in tegenstelling tot België en Nederland – geen open registratiebeleid heeft. Enkel bedrijven en personen die een link hebben met Ierland kunnen een .ie-domeinnaam registreren.
Uit onze analyse kwamen we tot volgende bevindingen:
Wereldwijd misbruik
Het onderzoek identificeerde twee aanvalsstrategieën. Nationale bedrijven worden vaak geïmiteerd binnen hun eigen ccTLD . Een ccTLD – een country code top domain level – wordt geassocieerd met een land en boezemt daarom veel vertrouwen in bij de inwoners van dat land. Ga bij jezelf maar na of je eerder bij www.coolepennenzakken.be een bestelling zou plaatsen of bij www.coolepennenzakken.xyz.
We onderzochten of aanvallers dit vertrouwen uitbuiten voor phishingaanvallen.
Er blijkt dat voor de 3 ccTLD's de meeste geïmiteerde bedrijven niet gevestigd zijn in België, Nederland of Ierland, en dat cybercriminelen zich het vaakst voordoen als banken en financiële instellingen.
Phishingaanvallen die gebruik maken van domeinnamen uit 1 van de 3 ccTLD’s in dit onderzoek richten zich tot 78 landen en bestrijken 114 marktsegmenten. Dat wijst erop dat cybercriminelen ccTLD’s gebruiken voor wereldwijd misbruik.
Nieuwe en bestaande domeinnamen gecompromitteerd
Uit ons onderzoek blijkt dat 80% van de phishingaanvallen gebruik maakt van gecompromitteerde websites en niet van nieuw geregistreerde domeinen.
Bestaande domeinnamen worden het vaakst gecompromitteerd door criminelen die zich als een internationaal bedrijf willen voordoen. Nieuwe domeinnamen gebruiken ze eerder voor nationale phishingaanvallen.
Die keuze kan ook financiële redenen hebben. Het is voor de cybercriminelen goedkoper om een bestaande domeinnaam te misbruiken dan om te betalen voor een nieuwe domeinnaam en de hosting ervan.
Financiële instellingen en techbedrijven
Cybercriminelen doen zich bij phishingaanvallen het liefst voor als banken, financiële instellingen en grote technologiebedrijven. Microsoft is daarbij de jammerlijke favoriet van cybercriminelen. Ze gebruiken domeinnamen van Microsoft, Google, Netflix en PayPal in maar liefst 58% van alle phishingaanvallen in de drie onderzochte zones.
De financiële sector en de technologiesector zijn aantrekkelijk voor cybercriminelen omdat ze toegang hebben tot waardevolle gegevens en financiële middelen van hun klanten.
Beleid van registries blijkt cruciaal
Het onderzoek benadrukt het belang van effectief beleid en maatregelen om misbruik te voorkomen. De aanpak van ccTLD-registries zoals DNS Belgium speelt een cruciale rol in het beperken van phishingaanvallen.
Phishing kan je op 2 niveaus aanpakken:
Op DNS-niveau zijn er drie mogelijkheden
- De registry verwijdert de misbruikte domeinnaam uit het zonebestand en uit de naamruimte.
De registry stelt de misbruikte domeinnaam buiten werking, waarbij hij wordt verwijderd uit de DNS-zone, maar niet uit de naamruimte.
- Ten slotte kunnen we de domeinnaam in de zone en naamruimte handhaven, maar de autoritatieve DNS-servers (NS-records) ervan wijzigen.
Op webniveau kan de phishingcontent simpelweg van de website worden verwijderd.
Door strikte registratievereisten en snelle reactie op meldingen van misbruik kunnen registries helpen om phishing te verminderen. Elke registry voor een ccTLD heeft de vrijheid een eigen beleid uit te werken om misbruik tegen te gaan.
Het onderzoek stelt vast dat 75% van de kwaadwillig geregistreerde domeinnamen in de .be-zone op DNS-niveau worden aangepakt. In 49,6% van de gevallen gebeurt dat rechtstreeks door DNS Belgium. Onze Nederlandse collega’s kiezen ervoor het misbruik in eerste instantie door registrars te laten afhandelen.
Continue actie en bewustmaking
Op basis van ons onderzoek kunnen we verschillende aanbevelingen doen om phishing effectiever te bestrijden.
- De registries moeten zowel onderling als met beveiligingsorganisaties samenwerken en informatie uitwisselen om snel te kunnen reageren op nieuwe dreigingen.
- We moeten nog meer inzetten op bewustwording en kennis over phishing bij bedrijven en consumenten.
Dit artikel is gebaseerd op het oorspronkelijke artikel van SIDN, waarin de conclusies van ons onderzoek uitgebreid worden besproken.