Nieuws
image

NCSC gaat Nederlands dns-gebaseerd phishingfilter doorontwikkelen

maandag 30 maart 2026, 16:25 door Redactie, 10 reacties

Het Nationaal Cyber Security Centrum (NCSC) en het ministerie van Justitie en Veiligheid hebben besloten om het Nederlandse dns-gebaseerde phishingfilter met de naam Anti Phishing Shield verder door te ontwikkelen. Afgelopen juli werd er een pilot met het phishingfilter gestart, waaraan tweehonderdduizend mensen deelnamen. Als onderdeel van het filter houdt het NCSC een lijst bij van malafide domeinnamen en deelt die met deelnemende internetproviders. Wanneer klanten van deze providers een domeinnaam op de lijst willen bezoeken krijgen ze een waarschuwing te zien. Providers kunnen op basis van DNS requests zien welke websites hun klanten willen bezoeken.

Het initiatief is een samenwerking tussen het ministerie van Justitie en Veiligheid, het NCSC, KPN, de politie, de Nederlandse Vereniging van Banken en NLconnect; de branchevereniging van de telecom- en breedbandindustrie. Tijdens de looptijd van de pilot besloten internetproviders SNLLR, TriNed en Kabelnoord ook aan de pilot deel te nemen. Volgens het NCSC zijn tijdens de pilot ruim twee miljoen bezoeken aan kwaadaardige websites voorkomen. De overheidsinstantie merkt op dat gebruikers via een opt-in expliciet toestemming moeten geven om van het Anti Phishing Shield gebruik te maken.

Naar aanleiding van de uitkomsten van de pilot gaan het ministerie van Justitie en Veiligheid en het NCSC het phishingfilter doorontwikkelen. Zo wordt onderzocht hoe het bereik en de effectiviteit van het Anti Phishing Shield verder kan worden vergroot. "Dat kan door meer klanten te bereiken binnen deelnemende internetaanbieders, en door andere aanbieders de mogelijkheid te bieden om aan te sluiten. De komende periode wordt verkend hoe deze opschaling stap voor stap vorm kan krijgen", aldus het NCSC. De 'denial list' van het Anti Phishing Shield telt inmiddels ruim 160.000 kwaadaardige domeinen. Domeinen die offline zijn gehaald of niet meer malafide zijn, worden van de lijst verwijderd.

Het Nederlandse phishingfilter is gebaseerd op het Belgium Anti-Phishing Shield (BAPS), een op dns-gebaseerd filter dat Belgische internetproviders toepassen. De Belgische overheid houdt een lijst van phishing en andere malafide sites bij en deelt die met internetproviders. De grootste Belgische providers maken al enige tijd gebruik van BAPS. Via het filter werden Belgische burgers vorig jaar tweehonderd miljoen keer doorgestuurd naar een waarschuwingspagina. Voormalig minister Van Oosten van Justitie en Veiligheid liet vorig jaar weten dat op basis van de evaluatie advies voor een eventuele landelijke uitrol wordt uitgebracht.

Reacties (10)
Reageer met quote
30-03-2026, 17:06 door Anoniem
Hoop dat dit niet gebruikt gaat worden om bijv. websites voor demonstranten te blokkeren, want dan moeten zij er weer omheen werken via TOR.
Reageer met quote
30-03-2026, 17:37 door Anoniem
Dit wordt later overgenomen door het europese dns,de root wordt het EU-DNS onderdeel van

Het Europese Internet van de Toekomst.
Reageer met quote
30-03-2026, 17:55 door Anoniem
Wat een fijn initiatief van een verzameling privacy hatende en censuur-geile instanties.
Reageer met quote
30-03-2026, 21:27 door Anoniem
Van de NCSC site:

Bescherming 'opt in' verkrijgbaar bij aangesloten internetproviders

en hierboven:

Naar aanleiding van de uitkomsten van de pilot gaan het ministerie van Justitie en Veiligheid en het NCSC het phishingfilter doorontwikkelen. Zo wordt onderzocht hoe het bereik en de effectiviteit van het Anti Phishing Shield verder kan worden vergroot. "Dat kan door meer klanten te bereiken binnen deelnemende internetaanbieders, en door andere aanbieders de mogelijkheid te bieden om aan te sluiten. De komende periode wordt verkend hoe deze opschaling stap voor stap vorm kan krijgen", aldus het NCSC.

Dit lijkt een clubje te worden die onzichtbaar deze lijst opstelt.

Ik wil die lijst kunnen bekijken, elke keer als deze een update krijgt.
Reageer met quote
30-03-2026, 21:59 door Erik van Straten - Bijgewerkt: 30-03-2026, 22:02
Wanneer klanten van deze providers een domeinnaam op de lijst willen bezoeken krijgen ze een waarschuwing te zien.
Wat voor waarschuwing? Stel ik open met een browser:

    https://security.nl

en stel dat mijn ISP mij wil waarschuwen voor deze site. Dan zijn er, voor zover ik weet, drie mogelijkheden:

1) Mijn ISP blokkeert de toegang tot security.nl, waarschijnlijk door DNS iets als IP-adres 127.0.0.1 terug te laten geven, of desnoods door netwerkverkeer met het echte IP-adres van security.nl te blokkeren. Mijn browser meldt dan dat deze site onbereikbaar is. Dat verklaart echter niet waarom en is dus geen waarschuwing;

2) Mijn ISP probeert, als "behulpzame" MitM (Man in the Middle), een webpagina met een waarschuwing te laten zien. Dát kan echter alleen als mijn ISP een geldig certificaat en bijpassende private key heeft voor security.nl. Dat is Putin's droom (*), en dat willen we niet in Nederland;

3) Ik krijg de voorpagina van deze site te zien (zonder waarschuwing van mijn ISP).

(*) Dit is wél de realiteit voor VS-spionnen zoals Cloudflare en Fastly, maar (nog) niet elke website zit "achter" dat soort MitM proxyservers.

Zie ik een andere mogelijkheid over het hoofd?

Daarnaast werkt zo'n phishingfilter nauwelijks tot niet. Cybercriminelen registreren aan de lopende band nieuwe domeinnamen voor hun nepsites. Zie bijv. mijn reacties vanaf https://security.nl/posting/930199.
Reageer met quote
30-03-2026, 23:48 door Anoniem
Het is jammer dat er geen makkelijke manier bestaat in Nederland om malafide domeinen en telefoon nummers te melden. Dat kan al een boel schelen. Begin bij de basis anders loop je alleen maar achter de feiten aan.
Reageer met quote
31-03-2026, 09:25 door Named
Zolang het optioneel is en de lijst transparant word samengesteld, dan is dit helemaal prima.
Maar ik ben bang dat aan geen van deze twee criteria voldaan gaat worden.

Ik vraag me trouwens af hoe ze HTTPS willen gaan blokkeren, welke waarschuwing willen ze tonen?
Want je kan niet zomaar DNS resultaten aanpassen zonder dat de browser een grote enge waarschuwing toont.
Zouden ze een standaard IP teruggeven dat geïnterpreteerd kan worden als "geblokkeerd wegens reden X"?
Reageer met quote
31-03-2026, 09:39 door cyberpunk - Bijgewerkt: 31-03-2026, 09:39
Door Anoniem: Wat een fijn initiatief van een verzameling privacy hatende en censuur-geile instanties.

Pi-Hole (en Unbound) dan maar?
Reageer met quote
31-03-2026, 09:44 door Anoniem
Door Named: Ik vraag me trouwens af hoe ze HTTPS willen gaan blokkeren, welke waarschuwing willen ze tonen?
Door de resolving van de hostname niet naar client te sturen.
En -zoals OpenDNS altijd deed- je kunt een ander IP antwoorden; alwaar jij dan een waarschuwing treft.
Gaat hooguit fout als de phiserman DNSSEC gebruikte, dan krijg je geen toelichting, maar nog altijd geen phising-site.
Reageer met quote
31-03-2026, 19:13 door Anoniem
Het zou fijn zijn als ze ook een response policy zone publiceren die je via zone transfers mag gebruiken. Dan houd je zelf controle over wat je blokkeert (en kan je eventueel aanpassingen doen), en hoef je ook niet al je DNS requests naar een derde partij te sturen om gebruik te maken van de filtering.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components