6 november 2015

Domain shadowing, een (waargebeurd) fraudegeval

Blogpost Roland van Kortenhof, Manager Operations Thuiswinkel.org

Roland van Kortenhof

Het gebeurt altijd bij de buurman, maar recent werd toch echt een lid van Thuiswinkel.org onaangenaam verrast door een speciale vorm van domeinfraude.

Wat is er gebeurd?

Het geheel begon met het kapen van een domein door in te breken op een “mijn account”-pagina bij de domeinregistrar. Dit gebeurde door een geavanceerde phising e-mail te sturen naar de eigenaar/beheerder van het domein. Met de bemachtigde inloggegevens werd ingelogd en werd het domein overgebracht naar een buitenlandse registrar. Vervolgens werd er aan dit domein een frauduleuze webwinkel gekoppeld.

Gevolgen: De webwinkelier had geen webshop meer, zijn naam werd misbruikt en consumenten werden gedupeerd.

Ben je wel eigenaar van je domein?

Alsof het allemaal al niet erg genoeg was, bleek het terugdraaien van deze kaping niet eenvoudig. Het domein was namelijk ooit eens geregistreerd door een ‘voetbalvriendje van vroeger’ en jaren geleden overgenomen zonder de juiste eigenaarregistratie. Al bemiddelend voor dit lid, bleek bij navraag bij SIDN (de beheerder van alle .nl-domeinen) dat dit regelmatig voorkomt.

De les: domeinen kunnen op naam van een bedrijf, maar ook op persoonlijke titel geregistreerd worden. In de praktijk gaat dit dus regelmatig fout. Op de website van SIDN kun je kijken wie de eigenaar van het domein is.

Door de verkeerde registratie duurde het meerdere dagen voordat het e.e.a. hersteld kon worden. Deze eigenaar was immers niet de rechthebbende eigenaar.

Domain shadowing

Bovenstaande is een ultieme variant van wat bekend staat als “domain shadowing”. Domain shadowing is het verzamelen van domeinaccountinloggegevens om vervolgens op de achtergrond subdomeinen (bijvoorbeeld: www.xxx.thuiswinkel.org) te creëren en te laten wijzen naar frauduleuze servers. En dat allemaal zonder dat de eigenaar dit doorheeft.

Lees ook deze uitgebreide blogpost van Cisco over het detecteren en voorkomen van Domain Shadowing.

Roland van Kortenhof Wil je meer weten over Veiligheid?

Bekijk onze pagina over Veiligheid of (ben je lid) neem contact op met

Geef uw mening