Succesvolle pilots om malafide domeinnamen op te sporen

Categorie
Gepubliceerd op: 1 april 2022
Bijgewerkt op: 1 april 2022
Geschreven door
Ontwerp Zonder Titel (9)

SIDN Labs heeft 2 succesvolle pilots afgerond om malafide domeinnamen op te sporen op basis van logoherkenning. In de pilots werden met het systeem LogoMotive alle 6,2 miljoen .nl-domeinnamen geautomatiseerd gescand op het gebruik van het Rijksoverheid-logo en het Thuiswinkel Waarborg. De gevonden websites werden vervolgens door experts van deze 2 partijen geanalyseerd en geclassificeerd. In totaal ontdekte LogoMotive ruim 200 websites die een van de logo’s onrechtmatig gebruikten. Het resultaat van de pilots is dat LogoMotive geïntegreerd wordt in SIDN Merkbewaking en dat het heeft geleid tot een wetenschappelijke publicatie.

LogoMotive is vorig jaar door SIDN Labs als prototype ontwikkeld om domeinnaammisbruik verder aan te kunnen pakken en .nl-gebruikers te beschermen tegen internetcriminaliteit. Het systeem bezoekt geautomatiseerd .nl-websites en maakt screenshots van de homepagina. Vervolgens worden op de screenshots logo’s herkend en de resultaten geüpload naar een webapplicatie waarop analisten kunnen bepalen of het logo gerechtvaardigd of met malafide intenties wordt gebruikt. Om te kunnen testen of de oplossing in praktijk ook werkt, voerde SIDN Labs 2 pilots uit waarbij LogoMotive werd toegepast op de hele .nl-zone. In beide pilots scande LogoMotive meerdere keren alle 6,2 miljoen .nl-domeinnamen en hield nieuwe registraties extra in de gaten.

Analyse van ruim 22.000 .nl-domeinnamen

In totaal vond LogoMotive zo’n 11.700 domeinnamen met het Rijksoverheid-logo, en op ongeveer 10.600 .nl-sites trof het systeem het logo van Thuiswinkel.org aan. Analisten bij de Dienst Publiek en Communicatie, onderdeel van de Rijksoverheid en Thuiswinkel.org hebben al deze websites waarop hun logo zichtbaar is handmatig onderzocht en geannoteerd. Bij de eerste scan werden 3 phishingwebsites gevonden met het Rijksoverheid-logo. Tijdens de periode waarin nieuwe registraties gescand werden, kwamen er daar nog eens 3 bij (op een totaal van 53 websites met het logo). Daarnaast werden er 208 websites gevonden waar onterecht het Thuiswinkel Waarborg werd gevoerd. Ook vond LogoMotive 82 verdachte domeinnamen met het Rijksoverheid-logo die bezoekers doorstuurden naar een authentieke overheidswebsite via HTTP-redirects. Dit waren domeinnamen die sterk leken op bekende overheidsdomeinen. De hoeveelheid DNS-verkeer toonde aan dat deze websites regelmatig bezocht werden. Bij 2 redirects werd verwezen naar websites van gespecialiseerde takken van de Rijksoverheid, waaronder een inlogportaal voor medewerkers. Dit kan duiden op een zogenaamde spearphishing-aanval, waarbij de dader het op specifieke overheidsmedewerkers heeft gemunt.

Sluimerend risico

Aanvallers kunnen deze domeinnamen gebruiken om malafide e-mails te sturen, bij een van deze domeinnamen werden namelijk MX-records van een dubieuze mailserver gevonden. Dergelijke redirects zijn volgens de onderzoekers van SIDN Labs een sluimerend risico, omdat ze (nog) niet malafide zijn en dus niet op blocklists staan. In het geval van spearphishing worden ze ook niet snel gemeld, omdat ze niet door een grote groep mensen worden bekeken. Vincent Romviel, jurist en beleidsadviseur bij Thuiswinkel.org: “Dankzij LogoMotive hebben wij veel misbruik van ons logo kunnen opsporen. Door onterecht gebruik van ons logo tegen te gaan, zorgen we voor een veiliger internet voor consumenten. De pilots tonen dan ook aan dat logodetectie helpt om het .nl-domein nog veiliger te maken. Malafide websites, verdachte domeinnamen en onbekende domeinnamen worden zo sneller gedetecteerd en indien nodig kan er tijdig actie worden ondernomen door merkhouders.”

Integratie SIDN Merkbewaking

Op basis van deze nieuwe inzichten gaat SIDN LogoMotive integreren in SIDN Merkbewaking. Deze tool vindt voor gebruikers (malafide) domeinnamen die sterk lijken op een merknaam of de merknaam bevatten. Door de uitbreiding van SIDN Merkbewaking kunnen klanten profiteren van logoherkenning en hun merk zo nog beter beschermen en daarmee uiteindelijk .nl-gebruikers. SIDN Labs stelt ook de code van LogoMotive beschikbaar voor academici die het in vervolgonderzoek willen gebruiken, en voor collega-registry’s om het in hun DNS-zones toe te passen. Meer informatie over de pilots met LogoMotive van SIDN Labs in samenwerking met DPC en Thuiswinkel.org is te vinden in deze blog en de wetenschappelijke publicatie (Engelstalig).

Onderwerpen

Deel dit nieuwsartikel

Recente artikelen over dit onderwerp