Kwaadwillenden die domeinnamen creëren om legitieme organisaties na te bootsen, zijn helaas niet ongewoon. Deze vorm van cybercriminaliteit kan ernstige schade toebrengen aan de reputatie van bedrijven, zoals we zien bij de fraudevorm storage spoofing (en onze almaar groeiende blacklist van foute websites). Gelukkig zijn er verschillende stappen die organisaties kunnen ondernemen om effectief om te gaan met domeinnaammisbruik.
Typosquatting wordt mogelijk gemaakt door typefouten of spelfouten van een populaire domeinnaam. Als een gebruiker een fout maakt tijdens het typen van een domeinnaam en deze niet opmerkt, kan deze per ongeluk terechtkomen op een alternatieve website die is opgezet door de cybercriminelen. Je leest meer over typosquatting onder de betreffende kop lager op deze pagina.
Het opzettelijk imiteren van een websitenaam of de website zelf brengt ernstige risico’s met zich mee voor zowel het doelwit als de gebruikers. Het grootste risico is phishing, waarbij kwaadwillenden persoonlijke informatie proberen te stelen door zich voor te doen als een legitieme entiteit. Hierbij zal een gebruiker bijvoorbeeld aangespoord worden om in te loggen op www[.]portaal[.]ferm[-]rotterdam[.]nl (portaal i.p.v. portal), waardoor deze gebruiker de inloggegevens afstaat aan de hoogstwaarschijnlijk kwaadwillende beheerder van deze website.
Dit kan leiden tot het onbedoeld delen van gevoelige gegevens, zoals gebruikersnamen en wachtwoorden, op valse websites. Daarnaast bestaat het risico op het verspreiden van malware en kwaadaardige software, waardoor gebruikers kwetsbaar zijn voor cyberaanvallen en hun apparaten geïnfecteerd kunnen raken. Het is dus belangrijk dat organisaties actief monitoren op domeinmisbruik, wat met gratis diensten zoals ICANN of DidSomeoneCloneMe (software) gedaan kan worden.
Hoe kunnen deze websites offline gehaald worden?
Het is belangrijk, met de risico’s in het achterhoofd houdend, dat deze websites offline gehaald worden om (verdere) schade te voorkomen. Organisaties kunnen de volgende stappen ondernemen:
- Verzamelen van bewijsmateriaal
Wanneer een organisatie een verdachte domeinnaam ontdekt die haar merknaam of website imiteert, is het cruciaal om gedegen bewijsmateriaal te verzamelen. Screenshots, de exacte domeinnaam en eventuele inhoud die de bedoeling van misleiding aantonen, zijn essentieel voor het ondersteunen van verdere acties. - Melden aan de registrar
Een directe stap is het melden van de inbreuk aan de registrar van het valse domein. Deze bedrijven hebben vaak procedures voor het omgaan met domeinnaaminbreuken en kunnen de domeinnaam onderzoeken of zelfs opschorten. De informatie over domeinregistratie is vaak beschikbaar via openbare databases en WHOIS-diensten. WHOIS (uitspraak: who is) is een protocol waarmee je informatie kunt opvragen over de registratie van domeinnamen. Hier zijn stappen om WHOIS-informatie te verkrijgen: - Melden aan Hostingproviders
Indien de inhoud op het valse domein schadelijk is, is het van belang contact op te nemen met de hostingprovider. Hostingproviders hebben beleid tegen schadelijke inhoud en kunnen maatregelen nemen om de website te verwijderen. De hostingprovider is ook te vinden bij WHOIS-diensten, maar ook bij specifieke diensten zoals HostingChecker. - Meld het aan relevante autoriteiten
Afhankelijk van de ernst van de inbreuk is het mogelijk en soms noodzakelijk om de zaak te melden aan relevante overheidsinstanties, zoals de politie of instanties belast met cybercriminaliteit.
In het kader van onze bestrijding van storage spoofing, stelden we eerder al dit uitgebreide stappenplan op.
“Het opzettelijk imiteren van een websitenaam of de website zelf brengt ernstige risico’s met zich mee voor zowel het doelwit als de gebruikers. Het grootste risico is phishing, waarbij kwaadwillenden persoonlijke informatie proberen te stelen door zich voor te doen als een legitieme entiteit.”
– FERM
Typosquatting
Typosquatting is een vorm van fraude die zich richt op mensen die per ongeluk een websiteadres verkeerd typen. Zogeheten cybersquatters registreren domeinnamen die een kleine variatie zijn van het doelmerk. Dit is meestal een veel voorkomende spelfout. Internetgebruikers zijn zich er meestal niet van bewust dat ze op een nepwebsite navigeren. Frauduleuze website-eigenaren kunnen deze vorm van fraude gebruiken om bijvoorbeeld concurrerende producten te verkopen of inloggegevens te achterhalen. In dit artikel kijken we naar wat typosquatting is en geven we tips om dit te voorkomen.
Typosquatting wordt mogelijk gemaakt door typefouten of spelfouten van een populaire domeinnaam. Als een gebruiker een fout maakt tijdens het typen van een domeinnaam en deze niet opmerkt, kan deze per ongeluk terechtkomen op een alternatieve website die is opgezet door de cybercriminelen.
Eén van de vroegste voorbeelden van typosquatting-cybercriminaliteit was in 2006, toen Google het slachtoffer werd van typosquatting door de site Goggle.com, wat een phishingwebsite was. Typosquatters hadden ook hun zinnen gezet op URL’s zoals foogle.com, hoogle.com, boogle.com (et cetera) vanwege hun fysieke nabijheid tot de g op het toestenbord. Dat kan een groot cyberbeveiligingsrisico zijn als uw bedrijf veel verkeer ontvangt.
Er zijn verschillende soorten typosquatting:
- Typefouten: Verkeerd getypte webadressen van bekende merken in de adresbalk, zoals ‘faacebook.com’;
- Spelfouten: Verkeerd gespelde domeinen komen veel voor, zeker als de domeinnaam een verzonnen woord is, of een woord wat weinig mensen kennen;
- Verkeerde domeinextensies: Naarmate er meer TLD-namen (top-level domein) worden toegevoegd, neemt ook de kans op typosquatting-sites toe. Een voorbeeld hiervan is google.co. Een andere veelvoorkomende fout bij domeinextensies is het typen van “.com” in plaats van “.org”;
- Alternatieve spellingen: Gebruikers kunnen worden misleid door de abstracte spelling van diensten, merknamen of producten. Bijvoorbeeld getphotos.com versus getfotos.com;
- Koppeltekendomeinen/combosquatting: Hierbij wordt een koppelteken weggelaten of toegevoegd om het verkeer illegaal naar een typo-domein te leiden, b.v. facebook.com versus face-book.com;
- Aanvulling van populaire merkdomeinen: Als bekende merken worden aangevuld met passende woorden, kunnen ze een legitiem klinkende typosquatted-domeinnaam produceren, b.v. apple-shop.com vs apple.com;
- Doen alsof je www bent: Denk aan wwwfacebook.com i.p.v. www.facebook.com.
Wat zijn de gevaren van typosquatting?
De aanwezigheid van typosquatting is zo groot geworden, dat grote bedrijven zoals Apple, Google, Facebook en Microsoft gedwongen worden typografische foutvariaties van hun domein te registreren of potentiële typosquatting-domeinen te blokkeren via de dienst The Internet Corporation for Assigned Names and Numbers (ICANN). Indien dit niet gebeurt, kunnen kwaadwillenden hier dankbaar gebruik van maken om de volgende zaken uit te voeren:
- Bait and switch: De nepwebsite verkoopt u iets dat u zou willen kopen op de juiste URL, maar stuurt u het item niet op;
- Domeinparkeren: De typosquatted domeineigenaar probeert het domein tegen een verhoogde prijs aan het slachtoffer te verkopen;
- Imitators: De zwendelwebsite weerspiegelt de identiteit van de website van het slachtoffer om een phishing-aanval uit te voeren;
- Joke-site: De site maakt grappen over het handelsmerk of de merknaam, of probeert het in een kwaad daglicht te zetten;
- Vermelding van verwante zoekresultaten: De eigenaar gebruikt verkeer dat bedoeld was voor de echte site om verkeer naar concurrenten te leiden, waarbij ze kosten per klik in rekening brengen;
- Enquêtes en weggeefacties: De neppe website biedt bezoekers een feedbackformulier of een enquête met als doel om gevoelige informatie te stelen;
- Inkomsten genereren met verkeer: valse website-eigenaren plaatsen advertenties of pop-ups om advertentie-inkomsten te genereren van webpaginabezoekers;
- Malware installeren: de kwaadaardige website installeert malware of adware op de apparaten van bezoekers.
Hoe kun je typosquatting voorkomen?
Organisaties kunnen de impact van typosquatting beperken door belangrijke en voor de hand liggende typo-domeinen te registreren en deze domeinen door te verwijzen naar hun website.
Daarnaast kunnen ze andere landextensies en andere relevante topleveldomeinen, alternatieve spellingen en varianten met en zonder koppeltekens registreren. SSL-certificaten zijn een geweldige manier om aan te geven dat uw site de echte site is. Ze vertellen de eindgebruiker met wie ze verbonden zijn en beschermen gebruikersgegevens tijdens de overdracht. Een ontbrekend SSL-certificaat voor een site is vaak een verklikkersignaal dat u naar een alternatieve website bent gebracht.
Sluit je aan bij FERM
Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.
Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode van 3 maanden verbonden.
Ook krijg je direct en zonder voorwaarden een voucher van 500 euro voor diensten uit ons portfolio.
Besluit je na 3 maanden om participant te blijven, dan krijg je 1/3 van de fee ook direct als voucher retour.
Vind FERM ook op LinkedIn