Phishing via typodomeinen: aandacht blijft nodig
De Infomedicscase laat zien dat de bestrijding van malafide domeinnamen nog altijd aandacht verdient
Afgelopen maand werd de naam van Infomedics, facturatieplatform voor de zorg, gebruikt in een grootschalige phishingcampagne. Cybercriminelen benaderden grote aantallen consumenten met valse facturen. Daarbij maakten ze gebruik van typodomeinen: domeinnamen die sterk lijken op de officiële naam van een organisatie om betrouwbaarder over te komen. De case laat zien dat de bestrijding van malafide domeinnamen nog altijd aandacht verdient.
Wat zijn typodomeinen?
Bij typosquatting registreren kwaadwillenden varianten op bestaande domeinnamen, bijvoorbeeld een domeinnaam waarin:
een letter ontbreekt, of waaraan juist een letter toegevoegd is (bijvoorbeeld infomedic.nl);
letters verwisseld zijn of een letter verwisseld is met een cijfer (bijvoorbeeld goedkopeiph0ne.net);
de merknaam gebruikt is (bijvoorbeeld betalenbijabnamro.nl);
een andere extensie gebruikt is (bijvoorbeeld rabobank.ml in plaats van rabobank.nl).
Deze domeinnamen worden vervolgens ingezet voor phishingmails, nagemaakte inlogpagina’s of het versturen van valse facturen. Voor ontvangers is het verschil vaak nauwelijks zichtbaar.
Bekende naam, verkeerde afzender
Bij phishingaanvallen wordt vrijwel altijd misbruik gemaakt van vertrouwen in een bekende organisatie. Denk aan telecomaanbieders, zorgdienstverleners of financiële dienstverleners. Een e-mail die afkomstig lijkt van een vertrouwde partij verlaagt de drempel om te klikken of gegevens in te vullen. In veel gevallen blijkt het verzendende domein nét anders te zijn dan het officiële adres.
Gedeelde verantwoordelijkheid
Waarom is typosquatting zo hardnekkig? Daar zijn 3 redenen voor aan te wijzen:
Het is vaak niet duidelijk wie er moet optreden: het bedrijf, het slachtoffer, hostingproviders of domeinnaamregistrars. Als iemand een malafide website ontdekt en niet rapporteert, vergroot dit de kans dat deze langer online blijft.
De organisatie waarvan de naam misbruikt wordt lijdt niet direct schade. Het zijn vaak relaties of derden die ten onrechte menen met een bonafide afzender van doen te hebben. De reputatieschade die volgt is vaak lastig concreet te maken en voelt een organisatie vaak pas op lange termijn.
Vroeger waren het vooral banken waarvan de naam misbruikt werd, maar die hebben hun monitoring steeds beter op orde. Cybercriminelen richten zich daarom op een bredere groep bedrijven die vaak kwetsbaarder zijn.
De bestrijding van typosquatting is daarom steeds meer een gedeelde verantwoordelijkheid van consumenten, bedrijven en de hostingsector aan het worden. Hoe meer mensen malafide websites rapporteren, hoe onaantrekkelijker dit verdienmodel wordt.
Wat kunnen organisaties doen?
Defensieve domeinregistratie van veelvoorkomende typovarianten;
Monitoring op nieuwe registraties die sterk lijken op bestaande merknamen;
Inzet van e-mailbeveiliging zoals SPF, DKIM en DMARC;
Gebruik van notice-and-takedownprocedures bij misbruik;
Duidelijkheid via eigen kanalen bijvoorbeeld over hoe je (niet) factureert.
Blijvende aandacht nodig
Zolang digitale communicatie het primaire kanaal is tussen organisaties en klanten, zullen criminelen blijven zoeken naar manieren om vertrouwen te misbruiken. Structurele aandacht voor domeinnaambeveiliging, vroegtijdige signalering en samenwerking binnen de internetketen is essentieel om schade te beperken. De vraag is niet óf typo-domeinen worden ingezet, maar hoe snel ze worden aangepakt, en door wie.
