Fake websites offline halen

Storage Spoofing (6) - fake websites offline halen

- 29 May 2019

Storage spoofing is een hardnekkige, havenspecifieke vorm van cybercrime die onze industrie blijft teisteren. Donderdag 23 mei vond de 11de editie van het FERM Port Cyber Café plaats. Bij die bijeenkomst, die in het teken stond van cyberincidenten, stonden we opnieuw uitgebreid stil bij tank storage spoofing.

Onderdeel van het programma was namelijk een presentatie van Willem van Aken, HSSE Manager bij HES, waarbij voor wie het begrip nog niet kent een korte toelichting werd gegeven op ‘spoofing’ of 'Tank Storage Spoofing' en de vele nare gevolgen, waarbij niet-bestaande goederen via een nepwebsite worden verhandeld - met onder meer fysieke gevolgen aan de poort. Daarnaast zijn nep-websites een veelgebruikt middel om je met deals van niet-bestaande opslag te misleiden. Zoals we in het verslag al schreven, heeft Willem zijn volledige presentatie met ons gedeeld, zodat we er nog eens uitgebreid op terug kunnen komen, want hij deelde een aantal praktische tips om met dergelijke websites om te gaan.

Storage Spoofing

Storage Spoofing is een verzamelterm voor verkoop van niet-bestaande opslagcapaciteiten en voorraden van grondstoffen en materialen in terminals in het Rotterdamse havengebied. De doelgroep zijn in de eerste plaats de (inter)nationale ondernemers en potentiële kopers die producten aangeboden worden die niet blijken te bestaan. Daarnaast zijn bedrijven die zelf opslagterminals in het havengebied hebben potentieel slachtoffer van deze vorm van fraude, omdat hun naam en netwerk door cybercriminelen misbruikt kan worden. Je leest er alles over op ferm-rotterdam.nl/storage-spoofing.

Fake websites

Willem laat in zijn presentatie de gangbare werkwijze zien, maar vooral zijn aanpak. Valse websites, vaak een kopie of anderzijds namaak van gevestigde namen en domeinen, zijn vaak het startpunt. Het verhaal van Willem focust op wat je als bedrijf kunt doen om te proberen een dergelijke website offline te krijgen als jouw bedrijf of website ermee te maken krijgt - zoals voor een grote international als HES helaas vaak het geval is.

Stappenplan: hoe haal je valse website offline?

Via nep-websites worden vervalste contracten aangeboden. De websites zijn doorgaans (gedeeltelijke) kopieën van bestaande websites, waarbij beeldmateriaal, locatiegegevens en zelfs bedrijfsnamen worden overgenomen. In een voorbeeld uit de presentatie van HES wordt de domeinnaam https:// botlektankterminals .net gebruikt (hier bewust niet klikbaar gemaakt om te voorkomen dat de website een hogere Google-ranking krijgt). De website is momenteel nog in de lucht.  

NB. Hoe je fake websites kunt herkennen hebben we in dit artikel al uitvoerig besproken, dus dat gedeelte van de presentatie laten we achterwege. We kijken nu naar een stappenplan voor wie een fake website offline wil (laten) halen.

Je ziet dat de fake website zelfs van een https-url is voorzien, maar geen naamsvermelding in de browserbalk heeft. Ter vergelijk: op een officiële website van HES, https://hesinternational.eu, vind je bovenin de vermelding HES International B.V. naast de URL. Dat heet een EV (Extended Validation) SSL certificaat, wat websites een professionele en betrouwbare uitstraling geeft. Bovendien werkt het conversieverhogend. Datzelfde certificaat vind je ook op de FERM-website: in de browserbalk staat Havenbedrijf Rotterdam NV, omdat ferm-rotterdam.nl onderdeel is van de domeinen van het Havenbedrijf.

Domeinregistratie

De registratie van domeinnamen is in de basis top-down georganiseerd. Een website wordt in de eerste plaats ondergebracht bij het ICANN, de Internet Corporation for Assigned Names and Numbers. Zij zijn verantwoordelijk voor de generieke topleveldomeinen, zoals .nl en .com, maar bijvoorbeeld ook .nokia en .netflix. Vervolgens heb je te maken met TLD's, de Top Level Domain registrars. Voor het .nl-domein is dat het SIDN (Stichting Internet Domeinregistratie Nederland). 

Op https://www.iana.org/domains/root/db vind je alle topleveldomeinen. Ook zie je wie de TLD-manager is. Het .nl-domein in het lijstje op die pagina laat inderdaad zien dat het SIDN de TLD-manager is.

Vervolgens komen de registrars, bedrijven die in opdracht van bedrijven, instellingen of personen een domeinnaam registreren. Vaak leveren registrars ook een DNS-service. Registrars concurreren onderling om de beste service en prijs.

Stap 1: vind de registrar en/of hoster

Een website bestaat uit twee elementen: de domeinnaam (www.ferm-rotterdam.nl) en de inhoud, zoals je die nu aan het lezen bent. De domeinnaam is vastgelegd bij de registrar, de inhoud ligt opgeslagen bij de hoster. Met andere woorden, de registrar is alleen verantwoordelijk voor het vastleggen van de URL, terwijl de hoster zeggenschap heeft over die inhoud. Die laatste is daarom het belangrijkst, maar idealiter benader je beide partijen.

Om de hoster te vinden, kun je op de volgende gangbare websites een zoekopdracht op de domeinnaam uitvoeren:

- https://whois.icann.org
- https://www.sidn.nl/whois
- https://hostingchecker.com
- https://godaddy.nl/whois

Stap 2: bekijk hoe je de hoster kunt benaderen

De volgende stap is op de website van de gevonden hoster bekijken hoe zij met klachten omgaan. Een hoster heeft bijvoorbeeld een e-mailadres zoals abuse@hoster.com of legal@hoster.com waar je terecht kunt, maar het kan ook een knop 'Report Abuse' of een invulformulier zijn.

In het voorbeeld van HES is Namecheap de hoster van de fake website, te vinden op https://www.namecheap.com/. Op die website vind je bij rechts onderaan in de footer onder het kopje Support inderdaad de knop 'Report Abuse'.

Stap 3: verzamel documentatie over de fake website

Om je zaak te maken bij de hoster, verzamel je belastend materiaal over de valse website. Maak bijvoorbeeld snapshots en zet ze in een Word-document, zodat je aan kunt geven wat er niet klopt; een bedrijfsnaam wordt misbruikt, er staat een oud logo op de website, de contactgegevens kloppen niet, et cetera. Doe dat overigens altijd in het Engels. 

Met behulp van je Word-document maak je de verschillen duidelijk tussen de/een officiële website van jouw bedrijf en de fake versie die je offline wil krijgen. Gebruik daarbij kreten als 'phishing' en 'NTD', wat staat voor Notice and Take Down, want die kunnen je zaak versterken en hosters zijn er gevoelig voor. Maak tevens een overzicht van copyright schendingen, intellectueel eigendom, ongeoorloofd gebruik van teksten, afbeeldingen, slogans, banners, et cetera. Stuur tot slot een kopie van de KvK-gegevens van je bedrijf.

Een invulformulier (zoals achter de knop 'Report Abuse') biedt overigens niet altijd de mogelijkheid om je bewijsmateriaal mee te sturen, omdat je geen attachment toe kunt voegen of vrije invoerruimte hebt. Vraag dan om een reactie per e-mail om dat alsnog te kunnen doen. Wat ook helpt is de hoster/registrar verwittigen van het feit dat ze nu op de hoogte zijn van de fraude en daarom een verantwoordelijkheid hebben iets met je verzoek te doen; met andere woorden, alles in het werk zetten om de betreffende website offline te krijgen.

Het resultaat? Kijk maar eens op botlektankterminal.nl - want die is inmiddels offline! En hetzelfde geldt inmiddels voor botlektankterminal .com, .net, iffavorites.com en een handvol anderen waar de bedrijfsnaam van HES of de Botlek Tank Terminal werd misbruikt. De variant met een toegevoegde -s, botlektankterminals .net, is enkele weken geleden opgedoken en is momenteel onderwerp van het stappenplan bij HES...

Het is helaas een tijdrovende en frustrerende onderneming, maar het werkt wel. Bedankt voor je bijdrage, Willem!

                           == Lees meer over Storage Spoofing op ferm-rotterdam.nl/storage-spoofing ==

VIND FERM OOK OP LINKEDIN | TWITTER