Dat heeft nauwelijks zin. Blacklists worden al snel veel te lang, en de website achter de meest recente domeinnaam in de lijst was meer dan 1 jaar geleden kwaadaardig (op 14-04-2024).

Domeinnamen van nepsites kunnen na een witwasperiode opnieuw voor kwaadaardige doeleinden worden ingezet, maar er zijn nagenoeg oneindig veel andere verschillende domeinnamen mogelijk.

Wat je wel in de CSV kunt zien is een toenemend gebruik van subdomeinnamen voor een eigen (van de PhaaS provider) domein, zoals (daarachter hoe vaak het voorkomt in de lijst):

Of die laatste (duckdns[.]org) van een PhaaS provider is, weet ik niet, maar meestal wil je websites met een domeinnaam die daarop eindigen, niet bezoeken.

In de derde kolom ("VT") zie je de aantallen subdomeinnamen die VirusTotal "kent". Dat getal is meestal lager dan de werkelijkheid (regelmatig zie ik nieuwe subdomeinnamen gemeld worden door VT die nog niet vóórkomen in die optelsom). Je vindt zo'n totaal door het RELATIONS-tabblad in bijv. https://virustotal.com/gui/domain/duckdns.org te openen.

Nb. in die sectie ("Subdomains") is de domeinnaam bovenaan de laatst bekende bij VT (dit in tegenstelling tot de lijst met "Siblings" in de RELATIONS tab van bijv. https://virustotal.com/gui/domain/apszstopfy.duckdns.org: die lijst is op alfabetische volgorde).

De laatste tijd valt het mij op dat cybercriminelen steeds vaker (naast Cloudflare) "maagdelijke" IP-adressen weten te vinden en daar websites op inrichten (of gebruiken om de browser automatisch door te sturen naar een andere website), d.w.z. waar VirusTotal nog nauwelijks of geen domeinnamen op "kent", en waar geen enkele virusscanner of blacklist op aanslaat.

Uit de tabel en de VT-cijfers kun je zien dat die FBI-lijst maar een kleine fractie van alle criminele domeinnamen bevat. Het internet is één grote criminele bende, gefaciliteerd door big tech - cybercrime waar zij vet aan meeverdienen. Zeer veel domeinnamen zeggen, in het gunstigste geval, helemaal niets; de meesten zijn bewust misleidend en hartstikke anoniem (je kunt er zelden achter komen wie de huidige huurder is).

Ik heb een veel langere lijst met (vaak) foute hoofddomeinnamen, laat maar weten als daar belangstelling voor bestaat.

Met welk doel, de domeinen zijn niet langer actief. Beetje zinloos werk, domeinen die in het verleden kwaadaardig gebruikt zijn, gaan blokkeren.

Hoe kun je dan een anti-phishing-detector implementeren?

[simpel voorbeeld](function() {
'use strict';

// Lijst met verdachte woorden en patronen (AI-achtig, maar handmatig samengesteld)
const phishingPatterns = [
/beveiliging/i,
/uw account wordt gedeactiveerd/i,
/klik hier om te verifiëren/i,
/dringend actie vereist/i,
/bankgegevens/i,
/wachtwoord opnieuw instellen/i,
/last warning/i,
/provider/i,
/verlengen/i
];

// Controleer alle tekst op de pagina
const bodyText = document.body.innerText;
let suspicion = false;
phishingPatterns.forEach(pattern => {
if (pattern.test(bodyText)) {
suspicion = true;
}
});

// Controleer alle links op verdachte domeinen (zoals .ru, .cn, of rare lettercombinaties)
const links = document.querySelectorAll('a');
links.forEach(link => {
if (/(\.ru|\.cn|login|verify|secure)/i.test(link.href)) {
suspicion = true;
}
});

// Toon waarschuwing als er iets verdachts wordt gevonden
if (suspicion) {
alert("Waarschuwing: Mogelijk phishinggedrag gedetecteerd op deze pagina!");
}
})(); [/simpel voorbeeld]

#luntrus