image

SIDN ontwikkelt systeem om risicovolle .nl-domeinnamen te herkennen

vrijdag 27 januari 2023, 10:45 door Redactie, 12 reacties
Laatst bijgewerkt: 28-01-2023, 14:07

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, heeft een nieuw systeem ontwikkeld om de registratie van risicovolle .nl-domeinnamen te herkennen. Het systeem wordt inmiddels al een aantal maanden ingezet. Bij zo'n vijftien procent van de misbruikmeldingen die de SIDN voor .nl ontvangt gaat het om een domeinnaam die minder dan dertig dagen vóór de melding werd geregistreerd.

"Omdat deze domeinnamen zo snel na hun registratie worden gemeld, kan worden aangenomen dat ze met kwade bedoelingen zijn geregistreerd. Daaruit volgt dat we door malafide domeinnaamregistraties automatisch te identificeren en blokkeren de veiligheid van .nl kunnen verbeteren", zegt research engineer Thymen Wabeke. Om dergelijke risicovolle domeinnamen te herkennen ontwikkelde SIDN het systeem RegCheck, dat interpreteerbare risicoscores aan nieuwe domeinnaamregistraties toekent.

Het systeem, dat uit een kennisgedreven én datagedreven model bestaat, werd onder andere getraind met 2100 malafide registraties en 103.000 willekeurige legitieme registraties uit februari 2021 tot augustus 2022. Onder malafide verstaat de SIDN .nl-domeinnamen die binnen 30 dagen na registratie op de abusefeed van Netcraft werden gemeld. Registraties die niet binnen 30 dagen werden gemeld worden als legitiem beschouwd. Het datagedreven model van RegCheck wist bijna de helft van de risicovolle registraties in de gebruikte evaluatiedataset te detecteren.

De SIDN maakt sinds augustus vorig jaar naar eigen zeggen met succes gebruik van RegCheck om risicovolle domeinnaamregistraties binnen .nl te herkennen. "Wat betekent dat ons primaire doel is bereikt", aldus Wabeke. De research engineer benadrukt dat de SIDN meer doet dan alleen maar beoordelen of een domeinnaamregistratie een risico vormt. "Onze abuse-analisten komen dagelijks in actie naar aanleiding van registraties die door RegCheck zijn aangemerkt als risicovol."

Image

Reacties (12)
27-01-2023, 11:44 door Erik van Straten - Bijgewerkt: 27-01-2023, 11:46
Registraties die niet binnen 30 dagen werden gemeld worden als legitiem beschouwd.
En denkt SIDN dat scammers dat niet lezen of zo en geen 30 dagen kunnen wachten?

En wat helpt dit tegen bijvoorbeeld (zojuist uit https://github.com/mitchellkrogza/Phishing.Database/blob/master/phishing-domains-NEW-today.txt):
airbnb.instant-request-791883b.live
apple.maps-auth.com
facebook.hostbd.cc
financial-departement.com
findmydevice.biz
instagram-authentication.pages.dev
kvk-aanmelding.web9655.web07.bero-webspace.de
loginform.live
netflix-sale.com
onlinemicrosoft.fr
patagonibanking.ml (wanneer volgt ing.ml?)
trustwallet.services-ssl.web01.site-manager.eu
whatsappi.ink

SIDN's RegCheck is een druppel op een gloeiende plaat, m.i. bijna zinloos. Sterker, SIDN kan haar tijd beter gebruiken door effectievere maatregelen te promoten.
27-01-2023, 11:58 door Anoniem
@Erik stichting SIDN zijn functie is het uitgeven, beheren en veilighouden van het .NL domein. Al die domeinen die jij aanhaalt is leuk en aardig maar dit is buiten hun scope. Dus ik snap niet wat je wil zeggen hier, vind het maar gezanik.
27-01-2023, 12:09 door Anoniem
Door Erik van Straten:
Registraties die niet binnen 30 dagen werden gemeld worden als legitiem beschouwd.
En denkt SIDN dat scammers dat niet lezen of zo en geen 30 dagen kunnen wachten?
Het slaat op de data waarmee het model werd getraind, niet op de werking van het systeem.

SIDN's RegCheck is een druppel op een gloeiende plaat, m.i. bijna zinloos. Sterker, SIDN kan haar tijd beter gebruiken door effectievere maatregelen te promoten.
De ene maatregel sluit de andere niet uit. "Ze kunnen beter zus" of "ze kunnen beter zo" is meestal geen sterk argument.

Verder stopt zo'n maatregel een druppel op een gloeiende plaat te zijn als beheerders van andere TLD's hem ook nemen. Als niemand eraan begint omdat één TLD een druppel op een gloeiende plaat is komt het niet van de grond.
27-01-2023, 13:44 door Erik van Straten
Door Anoniem: @Erik stichting SIDN zijn functie is het uitgeven, beheren en veilighouden van het .NL domein. Al die domeinen die jij aanhaalt is leuk en aardig maar dit is buiten hun scope. Dus ik snap niet wat je wil zeggen hier, vind het maar gezanik.
Wat ik bedoel is:

1) Dat dit tot gevolg gaat hebben dat cybercriminelen .nl domeinen gaan registreren, deze eerst voor ogenschijnlijk fatsoenlijke doeleinden inzetten (vertrouwen winnen bij organisaties die blocklisten maar dat uitstellen als een site credits heeft opgebouwd) en SEO toepassen, om na 30 dagen kwaadaardig te worden. Uitstel van executie dus.

2) Los van de faal van punt 1: internetters letten nauwelijks of niet op domeinnamen, laat staan op TLD's. Ons wordt aangeleerd dat TLD's niet boeien: tikke.me, mijnpgo.org en shell.mijnpgo.app, binnenstebuiten.tv, youtu.be en ga zo maar door.

Dit terwijl SIDN wél wil dat wij ons paspoort in onze smartphones digitaliseren en daarmee op het criminele speelveeld (aka internet) gaan zwaaien en zo het leven van identiteitsfraudeurs enorm vergemakkelijken, zie https://www.security.nl/posting/781185 en https://tweakers.net/nieuws/204604/irma-ontwikkelaar-sidn-neemt-deel-aan-eu-pilot-voor-digitale-identiteitswallet.html?showReaction=18254976#r_18254976.

Stapje voor stapje (https://security.nl/posting/782751/ gaan we steeds meer die kant op, ons baserend op drijfzand; het is voor de meeste mensen onmogelijk om, op internet, echt van nep te kunnen onderscheiden. Achteraf-blocklists hebben dit probleem maar een klein beetje opgelost en gaan dat nooit beter doen; cybercriminelen worden steeds sneller en effectiever (https://security.nl/posting/778987/).

Schijnveiligheid, verspilde tijd, kennis en energie.
27-01-2023, 13:54 door Anoniem
Een goede reden om geen .nl meer te registreren. Want omdat de criteria niet transparant zijn en niet onafhankelijk gecontroleerd worden alleen al is willekeur niet uit te sluiten. Als het al niet zou kunnen ontaarden in heksenjagerij. Wegens media adviseurs en zo. En lollige persberichten.

Bij mij trekken er maar twee de stekker eruit. Ikzelf. Of de rechter.

Groot misverstand nog steeds. Wat ik maak wordt niet bepaald door de domeinnaam. Maar door wat ik maak. Is het goed, dan maakt het simpelweg geen reet uit hoe het heet. Andersom, al heb je de perfecte domeinnaam, dan betekent dat nog niet dat daar automatisch iets fanatisch onder verschijnt. Of dat je er zelfs maar recht op zou hebben. (Ik maak nog steeds eikels mee die dat namelijk wèl denken, met een domeinnaam van een tientje). Maar als men zomaar je vindbaarheid onder je kont vandaan kan trekken, adiós Luca! Met je SIDN.
27-01-2023, 14:24 door Anoniem
Door Erik van Straten:
Door Anoniem: @Erik stichting SIDN zijn functie is het uitgeven, beheren en veilighouden van het .NL domein. Al die domeinen die jij aanhaalt is leuk en aardig maar dit is buiten hun scope. Dus ik snap niet wat je wil zeggen hier, vind het maar gezanik.
Wat ik bedoel is:

1) Dat dit tot gevolg gaat hebben dat cybercriminelen .nl domeinen gaan registreren, deze eerst voor ogenschijnlijk fatsoenlijke doeleinden inzetten (vertrouwen winnen bij organisaties die blocklisten maar dat uitstellen als een site credits heeft opgebouwd) en SEO toepassen, om na 30 dagen kwaadaardig te worden. Uitstel van executie dus.

Het is niet dat de 30 dagen in deze maatregel een technisch vereiste of een hardcoded getal is.
Mocht blijken dat er inderdaad een flink aantal domeinen geregistreerd wordt waar na 31 dagen ineens fraude mee
gepleegd wordt, dan kan die termijn gewoon groter gezet worden.

2) Los van de faal van punt 1: internetters letten nauwelijks of niet op domeinnamen, laat staan op TLD's. Ons wordt aangeleerd dat TLD's niet boeien: tikke.me, mijnpgo.org en shell.mijnpgo.app, binnenstebuiten.tv, youtu.be en ga zo maar door.

Nee maar dat houdt toch niet tegen dat SIDN er WEL op let?
Ik denk dat men ook niet alleen let op de naam van het domein, maar ook op de registrar, de whois gegevens, enz.
Als er een domein geregistreerd wordt met een of andere Nederlandse banknaam erin, en daarbij wordt als whois
een anonimizer service op de Seychellen opgevoerd, dan is dat een goede reden om er flink wat "verdacht" punten
aan toe te kennen. Waarschijnlijk zal het op een Bayes achtige manier gedaan worden waarbij een hoop parameters
in de mix gegooid worden en de "bekende fraudepaden" vanzelf naar boven komen.
27-01-2023, 15:39 door Erik van Straten - Bijgewerkt: 27-01-2023, 16:12
Door Anoniem: Nee maar dat houdt toch niet tegen dat SIDN er WEL op let?
Het werkt voor geen meter. Bijv. op 31 december werd als kwaadaardig gemeld:

securedi.nl (2 letters verschil met security.nl)

Die site wordt nu geblokkeerd door GSB ("Google Safe Browsing") maar er zit nog steeds een antwoordende website achter; de domeinnaam werkt nog gewoon.

De scammers hoeven alleen maar te wachten tot tot GSB niet meer blokkeert en hoppa, zet maar weer online. Totdat er weer voldoende slachtoffers zijn gevallen en GLB opnieuw blokkeert. Rinse and repeat.

CORRECTIE 16:12: hieronder heb ik zelf een typo gemaakt (securidy i.p.v. securedi). Googlen naar "securedi.nl" laat google alleen maar switchen naar een gewijzigde zoekterm (stomme zoekmachine). Neemt niet weg dat beide sites nu bestaan.

https://www.google.com/search?q=%22securidy.nl%22 (snapshot: https://archive.is/bzItL) vertelt mij:
securidy.nl

securidy.nl

securidy.nl. Something amazing will be constructed here.
Sure.

Enkele uitzonderingen daargelaten (zoals wellicht onlinemicrosoft.fr) is het idioterie om domeinnamen te blokkeren als daar ooit iets kwaadaardigs op gebeurd is of zou kunnen gebeuren.. Dan kun je nu.nl ook wel uit de lucht halen:
2012: https://security.nl/posting/35704/
2013: https://security.nl/posting/41368/
2014: https://security.nl/posting/395932/

Een domeinnaam zelf is niet kwaadaardig, de eigenaar kan dat zijn. En daarom is het nodig dat we weten wie NIET de eigenaar van een site is, zodat we kunnen zien dat het om een nepsite gaat.
27-01-2023, 18:58 door Anoniem
Door Erik van Straten:
Een domeinnaam zelf is niet kwaadaardig, de eigenaar kan dat zijn. En daarom is het nodig dat we weten wie NIET de eigenaar van een site is, zodat we kunnen zien dat het om een nepsite gaat.
Ja, ik vind het ook een slechte zaak dat die whois anonymizer services bestaan. Transparantie moeten we hebben.
Een site die zich achter zo iets verschuilt moet gewoon beoordeeld worden als een persoonlijke hobby site en negatieve
reputatie punten krijgen als deze gebruikt wordt voor iets wat officieel lijkt.
28-01-2023, 08:46 door Anoniem
SIDN checkt niet eens KvK nummer van een domein dat zgn, een bedrijf is. Bizar!
28-01-2023, 10:58 door Anoniem
Door Anoniem: SIDN checkt niet eens KvK nummer van een domein dat zgn, een bedrijf is. Bizar!
"vroeger" moest je een KvK nummer hebben. Dat vonden de afnemers bizar, ze stapten naar de rechter.
Ook over andere controles en restricties die er voor .nl waren, in de tijd dat het nog niet SIDN was maar Piet Beertema.
Dat waren op zich goede en goed beredeneerde restricties, maar zo werkt dat tegenwoordig niet, je gaat gewoon naar de rechter en dan moet het aangepast worden. Zo is uiteindelijk dat "u vraagt wij draaien" beleid ontstaan.
28-01-2023, 13:33 door Anoniem
Erik heeft gelijk. We moeten de veiligheid digitaal niet gaan afmeten aan analoge n(v)ormen. Dan lacht de cybercrimeel zich de b*llen uit de broek. Dat is geen gezanik. Dat is te ondersteunen met feiten. Heel veel feiten recentelijk.

#webproxy
28-01-2023, 14:23 door Anoniem
Je zou je ook eens af kunnen vragen in hoeverre dit een taak van SIDN is. Meer dan domeinen registreren zouden ze niet moeten hoeven doen. Wat je er vervolgens achter hangt, is niet hun pakkie-an. Het is wel erg naïef om te denken dat dit iets op gaat lossen. Nou ja, wellicht wat typo-squatting ofzo. Maar verder??
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.