675 phishingsites onder top 50 Nederlandse merken

Voor merkeigenaren is phishing een steeds groter probleem. Naast dat hun merknaam misbruikt wordt voor criminele doeleinden, ondervinden merken ook hinder van malafide partijen die merkartikelen te koop aanbieden, maar vervolgens nooit leveren. Of wel, maar dan blijkt het een nepproduct te zijn. We onderzochten hoeveel phishingsites er actief zijn met 1 van de merknamen van de top 50 Nederlandse merken in de domeinnaam, of een domeinnaam die er sterk op lijkt. Dit blijken er 675 te zijn. Vooral de financiële sector scoort hoog als het gaat om het aantal phishingsites.

Top 50 Nederlandse merken

We hebben de 50 meest waardevolle merken van Nederland, zoals deze door merkwaarderingsbureau Brand Finance zijn gedefinieerd (1), onderzocht. Met behulp van de Domeinnaambewakingsservice (DBS ) hebben we de .nl-zone gescand om alle domeinnamen in beeld te brengen die lijken op de merknamen, of een van deze 50 merknamen bevatten. De resultaten hebben we vervolgens geclassificeerd met behulp van de zogenaamde profiler die kortgeleden toegevoegd is aan DBS.

Classificatie

Deze profiler, die door SIDN Labs in samenwerking met TNO ontwikkeld is, classificeert iedere gevonden domeinnaam. De domeinnaam en de website achter de domeinnaam worden door de profiler onderzocht op techniek en content. Een profiel bestaat uit een aantal classifiers en hun gewicht resulteert in een kans dat een domeinnaam voor een bepaald doeleinde gebruikt wordt. Het idee achter het systeem is een aantal simpele gegevens over een domeinnaam, die op zichzelf geen waardeoordeel geven, te combineren zodat duidelijk wordt om wat voor type domeinnaam het gaat. DBS deelt de domeinnaam in 1 van de onderstaande profielen:

Profiel Omschrijving
Normale site ‘gewone’ site, al dan niet van de merkhouder zelf; er is niets bijzonders te melden.
Phishingsite Website wordt gebruikt voor phishing
Reclamenetwerk Site met alleen maar advertentielinks.
Geparkeerde site Site is geregistreerd maar de eigenaar heeft er (nog) niets mee gedaan, en er staat een standaard pagina van de hoster.
‘Te koop’ site Domeinnaam die te koop staat.
Verwijderd De site is door de hoster verwijderd.
Alleen e-mail Er is geen website, er is alleen een e-mailserver ingericht.
Ongebruikt Er is helemaal geen informatie in het DNS te vinden; geen IP-adres, geen mailserver. De domeinnaam is alleen geregistreerd.
Reageert niet Er is een IP-adres van een site, maar er komt geen data door.
Redirect naar originele domeinnaam De pagina stuurt de gebruiker door naar de originele domeinnaam.

Het zoeken op de top 50 merknamen resulteerde in 30.357 resultaten (2). Dat aantal op zich zegt niet veel, het kunnen immers legitieme domeinnamen zijn. Interessanter wordt het wanneer we deze resultaten analyseren en zien welke profielen er naar voren komen. Een toegewezen profiel geeft geen 100% garantie, maar het is zeer waarschijnlijk dat de domeinnaam gebruikt wordt voor het doel dat het profiel aangeeft.

675 phishingsites

In onderstaande figuur is te zien dat 60,2% van de resultaten door de profiler van DBS als normale site wordt geclassificeerd. 2,2% van de resultaten wordt door de profiler als phishingsite geclassificeerd. In absolute aantallen zijn dat 675 .nl-domeinnamen. Van 0,7% van de gevonden domeinnamen is de content verwijderd door de hoster (suspended). Dit gebeurt over het algemeen wanneer de domeinnaam gebruikt wordt voor spam, of malafide content bevat.

Total overview phishing top 50 NL brands

Financiële sector scoort hoog

Vooral de sector banken, financiële dienstverleners en verzekeringen scoort hoog met zo’n 18 gevonden phishing domeinnamen gemiddeld per merk. De financiële sector is een populair doelwit van criminelen. Banken zijn gelukkig erg alert en ondernemen snel actie tegen phishingsites.

Wat is de Domeinnaambewakingsservice?

Als beheerder van het .nl-domein, is SIDN er veel aan gelegen om internetcriminaliteit binnen de .nl-zone terug te dringen. Een van de tools die we hiervoor ontwikkelden is de Domeinnaambewakingsservice (DBS). DBS rapporteert alle .nl-domeinnaamregistraties die een bepaalde zoekterm, zoals een merknaam, bevatten, of hier sterk op lijken. Zoek je met behulp van DBS bijvoorbeeld op de merknaam ‘Ohra’, dan zou de domeinnaam ‘0hra.nl’, waarbij de letter ‘O’ vervangen is door het cijfer ‘0’, één van de resultaten kunnen zijn. Het verschil is maar klein en voor de onbewuste internetgebruiker nauwelijks zichtbaar. De gevolgen kunnen echter heel groot zijn. Recent is DBS uitgebreid met de optie voor wereldwijde dekking, waardoor ook andere topleveldomeinen dan .nl gemonitord kunnen worden. Voor dit onderzoek hebben we alleen gekeken naar de .nl-domeinnamen.

Meer informatie

Wil je meer weten over de Domeinnaambewakingsservice of de profiler of de resultaten van de analyse onder de top 50 merken? Neem dan contact op met Pim Pastoors. Je bereikt hem via pim.pastoors@sidn.nl of +31 6 57045407.(1) Elk jaar ontwerpt het merkwaarderings-bureau Brand Finance duizenden merken aan een uitgebreid onderzoek. De meest waardevolle merken van Nederland worden gerangschikt in de Brand Finance Netherlands 50. (2) Merknamen die veelvuldig voorkomen in een (werk)woord zijn met een scherper zoekalgoritme doorzocht dan andere merknamen. Dit om een realistischer beeld van de resultaten te krijgen (bijvoorbeeld ing en bam).

Reacties

Pim+Pastoors

Pim Pastoors

Productmanager

+31 6 570 454 07

pim.pastoors@sidn.nl

  • dinsdag 29 mei 2018

    Over SIDN

    Malafide website-detector wint vierde editie Dutch Open Hackathon

    Thumb-DOH2018-winners

    CrimeBusterBot als beste gekozen uit 23 deelnemende teams

    Lees meer
  • maandag 30 oktober 2017

    Kennis

    Al 900 Rotterdamse basisschoolleerlingen leerden programmeren

    Thumb-kids-programmeren

    Leren om gestructureerd te denken

    Lees meer
  • woensdag 17 april 2019

    DNSSEC

    Installatie trust anchor voor nieuwe root KSK

    Thumb-secure

    Voorkom dat domeinnamen onbereikbaar worden

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.