SIDN detecteert honderden .nl-phishingsites met populaire merknamen

De SIDN heeft met een profiler die door SIDN Labs in samenwerking met TNO ontwikkeld is, gedetecteerd dat er 675 phishingsites met .nl-domeinnamen actief zijn die populaire merknamen misbruiken voor phishing.

De SIDN nam een lijst van vijftig bekende merknamen op basis van de lijst van Brand Directory en maakte een scan van de .nl-zone om in kaart te brengen welke domeinnamen woorden bevatten die identiek zijn aan of sterk lijken op die merknamen. De resultaten zijn vervolgens geanalyseerd door een profiler die SIDN Labs en TNO ontwikkelden.

De profiler combineert een aantal eenvoudige gegevens van websites, om erachter te komen voor welk doeleinde de site gebruikt wordt. De tool scant onder andere gebruikte technieken en de content van sites, om ze van een kenmerk te voorzien. Dat kenmerk kan zijn dat het om een normale site gaat, een site die alleen voor e-mail gebruikt wordt, een advertentienetwerk, een site die te koop staat of dus een phishingsite. "Een toegewezen profiel geeft geen 100 procent garantie, maar het is zeer waarschijnlijk dat de domeinnaam gebruikt wordt voor het doel dat het profiel aangeeft", verklaart de SIDN.

De SIDN kwam tot 30.357 .nl-domeinnamen met merknamen erin, waarvan 2,2 procent als phishingsite te beschouwen is. Van 0,7 procent van het totaal was de content verwijderd door de hoster, wat volgens de stichting eveneens een aanwijzing voor malafide praktijken is.

Veel phishing-domeinnamen richten zich op banken en andere financiële organisaties: gemiddeld waren er achttien van zulke domeinnamen per merk. Het gaat volgens Pim Pastoors, productmanager van SIDN, om de merken ING, Rabobank, SNS, SRH (SNS-Reaal) en Bank Nederlandse Gemeente.

De profiler is onderdeel van de Domeinnaambewakingsservice van de SIDN. "Op basis hiervan sturen we via abuse204 geautomatiseerd meldingen naar registrars, die daarop actie kunnen ondernemen en klanten kunnen mededelen dat het waarschijnlijk om een abusive-site gaat", zegt Pastoors. De SIDN gaat vaker dit soort lijsten opstellen om trends aan te kunnen geven.

SIDN Domeinnaambewakingsservice

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 26-07-2016 16:06 61

26-07-2016 • 16:06

61

Lees meer

'Nederlanders brengen maandelijks 61 uur online door op hun smartphone'
'Nederlanders brengen maandelijks 61 uur online door op hun smartphone' Nieuws van 29 november 2018
Criminelen voeren transacties uit via Google-advertentie met neploginpagina Knab
Criminelen voeren transacties uit via Google-advertentie met neploginpagina Knab Nieuws van 24 november 2017
SIDN toont vanaf 10 augustus abuse-gegevens van registrar bij whois
SIDN toont vanaf 10 augustus abuse-gegevens van registrar bij whois Nieuws van 7 augustus 2017
SIDN neemt meerderheidsbelang in maker inlogsystemen
SIDN neemt meerderheidsbelang in maker inlogsystemen Nieuws van 11 januari 2017
Onderzoeker vindt op Nederland gerichte phishingserver
Onderzoeker vindt op Nederland gerichte phishingserver Nieuws van 31 oktober 2016
Schade door fraude bij internetbankieren is met 82 procent gedaald
Schade door fraude bij internetbankieren is met 82 procent gedaald Nieuws van 15 september 2016
Schade door fraude internetbankieren daalt met miljoen euro
Schade door fraude internetbankieren daalt met miljoen euro Nieuws van 8 april 2016
Politie rolt Nederlandse phishingbende op
Politie rolt Nederlandse phishingbende op Nieuws van 19 juni 2015
AIVD: aantal gerichte aanvallen met malware op sites neemt toe
AIVD: aantal gerichte aanvallen met malware op sites neemt toe Nieuws van 22 april 2015
Schade door bankmalware daalt met 90 procent
Schade door bankmalware daalt met 90 procent Nieuws van 18 maart 2015
Meer producten en artikelen
Internet Netwerk en systeembeheer Phishing

Reacties (61)

-Moderatie-faq
61
61
49
0
0
5
Wijzig sortering
svennd 26 juli 2016 16:12
16,1 % parking, is toch echt wel een doodzonde, er is geen -goeie- oplossing voor maar toch zeer spijtig voor mensen met een goed idee... en een bezette domeinnaam.
Ventieldopje @svennd26 juli 2016 16:17
Het lijkt mij dat met de komst van nieuwe TLD's (.watjeookmaarwil) dat probleem wel een stuk kleiner is dan het nu lijkt. Voor veel bedrijven is het niet interessant om een .camera domein te hebben als je een kledingmerk hebt bijv. dat slaat namelijk nergens op.

Als je genoeg geld hebt overigens kun je mee doen aan de sunrise en landrush periode waarbij je als eerste je domeinnaam kan claimen. Het is dus voornamelijk jan met de pet die de dupe zou zijn.
Zeror @Ventieldopje26 juli 2016 16:56
Wat dacht je o.a. van de domeinnamen waarbij de TLD onderdeel is van de de domeinnaam?
Bijv del.icio.us is daar een mooi voorbeeld van.
Ventieldopje @Zeror26 juli 2016 16:58
Dat ook nog inderdaad, .us, .it, .me ;) Mogelijkheden genoeg waarbij inderdaad soms ook nog subdomeinen gebruikt worden.
3raser @Ventieldopje27 juli 2016 13:30
Ze zijn alleen niet allemaal even makkelijk te registreren. Sommige landen vereisen een lokale bedrijfsinschrijving of een fiscaal nummer. Dat maakt het als startup al een stuk lastiger om die coole TLD te registreren.
RobinF @Zeror26 juli 2016 17:30
Ja, dit zijn goede, zo heb ik ook onderandere Rob.in geprobeerd maar deze is al bezet. Cool.blue is al bezet door Coolblue
svennd @Ventieldopje26 juli 2016 16:37
En hoeveel van die domeinnamen zie je doorkomen ? .gent, .vlaanderen, ... komen met moeite van de grond. Iedereen wil nog steeds .com / .be ... zelfs .eu is nogmaar met mondjes maat door aan het komen. (IHMO, geen harde cijfers)
Ventieldopje @svennd26 juli 2016 16:47
.gent en .vlaanderen zijn dan ook nog steeds plaats gebonden, dat zal niet zo'n vaart lopen inderdaad.

Maar andere nieuwe TLD's komen wel steeds vaker voor (en dat is best even wennen).
EraYaN @Ventieldopje26 juli 2016 20:09
Ze zijn ook gewoon veel te lang en niet te gebruiken in woorden.
Zakaria89 @Ventieldopje27 juli 2016 12:36
Maar de nieuwe TLD's zijn helaas vaak (relatief) duur.
TheSiemNL @svennd26 juli 2016 16:15
Een goed idee hoef je niet te laten hangen op een domeinnaam.
svennd @TheSiemNL26 juli 2016 16:35
Natuurlijk niet, maar een goeie (domein)naam is wel essentieel, als je ramen online wil verkopen en alle *ramen, ramen*, raam* staan geparkeerd ben je wel even bezig met zoeken...
TheSiemNL @svennd26 juli 2016 16:51
bol.com zalando.nl 4launch.nl coolblue.nl allemaal generieke maar populaire namen waar van alles verkocht wordt.
Dvyss @TheSiemNL26 juli 2016 17:03
Coolblue is niet echt een goed voorbeeld. Zij hebben namelijk alle producten onderverdeeld in substores die wel degelijk de productnamen in het domein heeft.
Timoo.vanEsch @Dvyss26 juli 2016 18:55
Niet voor lang meer; dat zijn ze er op dit moment aan het uitslopen.
nickko @TheSiemNL26 juli 2016 16:56
*insert tune* Bol b b b b b bol . com
DigitalExorcist @TheSiemNL26 juli 2016 16:23
Inderdaad.. als je businessmodel gebaseerd is op je domeinnaam is 't niet best gesteld met je business.
Timoo.vanEsch @DigitalExorcist26 juli 2016 18:58
Andersom; hoeveel sites met "ikgavoormezelf.weetikveel" zijn immens populair?
Populariteit staat of valt [deels] met een pakkende bedrijfsnaam.

Sterker nog: Bird & Fortune hebben er nog een prachtige sketch op gebaseerd / hebben datt fenomeen nog prachtig weten te verpakken in deze clip: Subprime Crisis - The Long Johns
Goldwing1973 @svennd26 juli 2016 16:30
Hoezo doodzonde, ik heb ook een 2 domeinnamen in parking staan, de namen van mijn kinderen (nu 4 jaar en eentje nog 3 maanden onderweg).
Hoe gaaf is het straks voor hun om hun eigen naam als mailadres te hebben (mail@voornaam.nl en mail@voornaam.eu)
ik wil niet het risico lopen dat het straks niet meer beschikbaar is als ze groot genoeg zijn om te mailen.
Daarbij, voor die paar euro per jaar hoef je het ook niet te laten.
HoppyF @Goldwing197326 juli 2016 17:26
Bedoel je niet voornaam@achternaam.nl?
Daar heb je echt wat aan.
Zo heb ik het zelf gedaan. Niks geen .eu nodig.
Verder vind ik het een goed plan om gelijke domeinnamen die bewust erop uit zijn een merk om de tuin te lijden op zwart te zetten.
Aan dat soort misleiding hebben we geen behoefte.
Goldwing1973 @HoppyF26 juli 2016 18:03
Nee, helaas was iedere TLD van mijn achternaam al bezet, vandaar de voornamen.
Denniz0229 @Goldwing197326 juli 2016 18:14
dan heb je ongetwijfeld je kinderen zeer aparte namen gegeven.
dennis.nl was namelijk nooit gelukt :+
dakathefox @svennd26 juli 2016 16:16
Is ook doodzonde... Maar ja, ik heb liever ook niet dat de concurrent op een bijna identieke domeinnaam de boel gaat lopen verstieren. Dan maar parkeren.
svennd @dakathefox26 juli 2016 16:38
Dan valt het toch onder doorverwijzen ?
dakathefox @svennd26 juli 2016 16:56
Parkeren is in mijn optiek iets anders dan doorverwijzen.

www.gooogle.nl claimen en er niets mee doen is parkeren.
www.gooogle.nl claimen en het doorverwijzen naar www.google.nl is doorverwijzen.
Zidane007nl @svennd26 juli 2016 16:19
Waarom is dat een doodzonde als het om merknamen gaan? Gewoon laten doorverwijzen naar officiële website, is weer een dubieuze website minder.
svennd @Zidane007nl26 juli 2016 16:37
Dan zou het vallen onder doorverwijzen, parkeren is volgens mij te koop aanbieden.
Ventieldopje @svennd26 juli 2016 16:49
Parkeren is helemaal niet te koop aanbieden. Parkeren is een soort van redirect maar dan zonder redirect ;) Je serveert één website gewoon vanaf meedere domeinnamen.

Het verschil met een redirect is dat een domeinnaam als a.nl doorverwijst naar b.nl en er uiteindelijk dus ook b.nl in de url balk komt te staan. Met een parked domain is dat niet zo omdat je feitelijk gewoon op a.nl blijft en toevallig achter de schermen is besloten dat je de site die ook op b.nl te zien is geserveerd krijgt.

Het massaal aankopen van domeinen en die vervolgens verkopen vind ik een kwalijke zaak en die staat ook in de grafiek als 'sale' domein. Sommige sites proberen het te verbloemen door als tussenpersoon te werken waarbij je je eigen domeinnaam kan verkopen en iemand die kan kopen. Een soort marktplaats dus. Maar dit verbloemt dus mooi dit soort praktijken van mensen die honderden domeinen kopen en vervolgens verkopen voor grof geld.

[Reactie gewijzigd door Ventieldopje op 22 juli 2024 15:01]

Bender @svennd26 juli 2016 18:20
Ik heb veel goede ideeën, maar niet de tijd om ze nu allemaal direct te gaan ontwikkelen.

Dus heb ik op die manier een 500 tal domeinnamen geparkeerd. Dat andere het vervelend vinden is jammer, ik ga mijn commercieel belang daar niet van af laten hangen ;-)
HDoc @Bender27 juli 2016 07:27
500 ideeen uitwerken gaat ook niet lukken :)

Heb zelf ook zo'n grosje aan domeinnamen met bijbehorende ideeën. Sommigen worden / zijn wat, anderen liggen gewoon op de plank. Zlef ga ik er heel af en toe met de vinger langs om te kijken of ik er eigenlijk echt ooit nog iets mee ga doen en serveer de rest af.
qlum @svennd26 juli 2016 22:32
Boven die 16.1% komen ook nog een groot deel van de 5.5% unresponsive en de 7.2% unused.
Dus zeg maar een kwart van de domeinnamen.
Kalief 27 juli 2016 01:17
"Op basis hiervan sturen we geautomatiseerd meldingen naar registrars, die daarop actie kunnen ondernemen en klanten kunnen mededelen dat het waarschijnlijk om een abusive-site gaat"
Dus SIDN doet niets maar schuift het door naar een registrar. die doet ook niets maar schuift het door naar zijn klant, die doet uiteraard ook niets want die heeft de phishing site zelf bedacht, laten registreren en gebouwd.

"Ja maar we doen er toch iets aan want we hebben het immers gemeld!?"
En allemaal verdienen ze er aan.
hackerhater @Kalief27 juli 2016 09:42
Nou......... Meld het aan de hoster van de site en die trekt de boel offline (notice and take down)
anargeek @Kalief27 juli 2016 10:45
In mijn ervaring zijn hostingbedrijven niet zo happig op klanten die de regels overtreden, of de klant het nou zelf heeft gedaan of een "hacker". Het geeft ze een slechte naam, dus zetten ze makkelijk een site op zwart als het wordt doorgegeven. Of de melding nu van SIDN of van een private onderzoeker komt, ze stellen het meestal op prijs

[Reactie gewijzigd door anargeek op 22 juli 2024 15:01]

supersnathan94 26 juli 2016 16:17
Die 1,3% verwijst naar redirects naar het origineel. De daadwerkelijke hoeveelheid "removed" is 0,7%. Nog steeds een hoop, maar wel significant minder.
AuteurOlaf @supersnathan9426 juli 2016 16:21
SIDN spreekt op hun site over 1,3 procent: https://www.sidn.nl/a/vei...top-50-nederlandse-merken

Ik vraag het even na.
supersnathan94 @Olaf26 juli 2016 17:05
Van 0,7% van de gevonden domeinnamen is de content verwijderd door de hoster
Uit het gelinkte artikel.

Anders zou het diagram ook niet kloppen.

Edit:bedankt voor de link. Ik kon het artikel niet zo ff vinden.

Ook hier is het weer een typisch gevalletje dat de volledige methode ontbreekt. Er wordt wel een schets gegeven, maar de volledige opzet is niet vindbaar. Het problem hiermee is dat er geen inzicht is in de classifiers en hoe de weging wordt gedaan.

[Reactie gewijzigd door supersnathan94 op 22 juli 2024 15:01]

WokeBroke 26 juli 2016 16:20
leuk dat SIDN iets voor de grote banken doet. Maar als je een fake wesites waar je bijvoorbeeld nike schoenen, apple spullen ect ect kan kopen en vervolgens niks krijgt. Gaat aangeven bij SIDN, gebeurd er volgens mij tot op heden niks mee.

Het zou leuk zijn als mensen een webshop met de extentie .nl per definitie zou kunnen vertrouwen.
Chrotenise @WokeBroke26 juli 2016 16:27
Dat kan je per definitie niet, want als iemand de website vanochtend heeft opgericht en jij de eerste klant bent, ben je nog steeds de sjaak ;)
vinkjb 26 juli 2016 16:14
Dus wanneer ben ik er van verlost van die Pishingmails?
Krijg regelmatig KPN factuur van over de 1000 euro terwijl ik helemaal niks van KPN heb of Rabo of ING fishingmails, sosm van Telfort dat ik een code moet geven omdat er technisch iets verandert....
Nu let ik best goed op maar op 1 of andere manier ben ik toch de klos met al die emails
JohanNL @vinkjb26 juli 2016 16:22
Je mailadres staat in een of andere database, die is er hoogstwaarschijnlijk in gekomen doordat je ergens je mail adres hebt ingevuld voor bijvoorbeeld '' win een iphone als je je gegevens in vult ''
Die bundelen dan alle gegevens en verkopen ze door als pakketten aan malafide bedrijven/personen die vervolgens jou zulke spam op sturen.

Er valt niks aan te doen omdat je ook niet bij ze kunt uitschrijven aangezien ze toch al illegaal bezig zijn.
Je kunt alleen hopen dat ze op ten duur worden opgepakt, in die tussentijd moet je gewoon een goede spam filter hebben.
hackerhater @JohanNL26 juli 2016 16:35
Eerder dat personen die je mail-adres hebben weer eens gehacked zijn. Ik heb er sinds kort ook flink last van op 1 adres |:(
JohanNL @hackerhater26 juli 2016 19:05
Dat kan ook, er zijn zoveel mogelijkheden.
stresstak @JohanNL26 juli 2016 20:45
Omgekeerd kan ook.
Het kan ook dat je een goede provider hebt EN dat men inmiddels beseft dat je nooit reageert of de telefoon opneemt.
Ik krijg een spam of 4 a 5 per jaar. En zelden of nooit ongewenste telefoontjes.
Mijn e.mail-adres stamt trouwens uit 1998

Heerlijk die rust. :)
hackerhater @stresstak27 juli 2016 09:36
Ik host mijn eigen email en kan dus goed zien wat er allemaal geblokkeerd wordt ;)
Het is maar heel weinig dat niet standaard geweigerd wordt wegens bloklijsten en/of niet kloppende SPF-records.

Spam gaat uiteraard direct in de prullenbak.

Hmm ik bedenk me wat. Aan dat adres wat zo gespamd wordt hangt ook mijn linkedin.........

[Reactie gewijzigd door hackerhater op 22 juli 2024 15:01]

anargeek @JohanNL26 juli 2016 16:28
Of je staat in een gehackte database waarvan alle mailadressen online zijn gegooid. Er zijn makkelijk te vinden lijsten in omloop met tientallen miljoenen (actieve) emailadressen. Dus het hoeft niet eens door je eigen acties te komen
vinkjb @JohanNL26 juli 2016 16:29
Nee dat heb ik NOOIT ingevuld sorry
Er zal wel iets gehacked zijn want wrdot ook met soort regelmaat gebeld uit een duister land....ooit 2x per ongeluk opgenomen en er gelijk weer opgepl****Rt

[Reactie gewijzigd door vinkjb op 22 juli 2024 15:01]

sven wiltink @vinkjb26 juli 2016 17:03
Je kan op https://haveibeenpwned.com/ kijken of je email ergens is gelekt.
vinkjb @sven wiltink26 juli 2016 18:43
Mijn adres zou niet zijn gehackt volgens deze site, maar toch krijg ik ze, dus misschien anderen dan idd die mijn adres hebben
loki504 @vinkjb26 juli 2016 19:18
Misschien ook je mail adres op een publieke website ingevuld? Genoeg die websites scannen IND de hoop een e-mail adres te vinden en dan verkopen.
Anoniem: 637208 @vinkjb26 juli 2016 20:59
Kun je nagaan hoevel data er op bepaalde plekken onveilig is opgeslagen en waarschijnlijk door derden is bemachtigd zonder dat iemand het ooit door heeft gehad.

Daarom gebruik ik een catch all domein en voor sites gebruik ik een specifiek uniek email adres, weet je ook meteen waar het vandaan komt
JohanNL @vinkjb26 juli 2016 19:17
Check anders eens of je mailadres via google te vinden is, er zijn gewoon bots online die alle email adressen via zoekmachines verzamelen en zo dan een database maken voor hun spammails.

Je telefoon is het zelfde verhaal, mogelijk staat je telefoon nummer in het ( online ) telefoonboek en zo bemachtigen ze dan je nummer.

Het is niet heel schadelijk in eerste instantie om zulke telefoontjes op te nemen, alleen word je mogelijk wel genoteerd dat je een actief nummer bent en gaan ze het vaker proberen.

Wat je niet moet doen is ze terug bellen, mogelijk hebben ze een 0900 nummer en betaal je dus aan ze.
Als ze jouw zelf bellen krijg je meestal een of andere Engels sprekende chinees/Roemeen o.i.d. aan de lijn die beweert van microsoft te zijn en dan even zogenaamd computer problemen moet oplossen.
Uiteindelijk word je computer gelocked en moet je geld betalen via anonieme paysafecards of westernunion om je controle over je computer terug te krijgen.

Het trucje van microsoft word nog steeds gehanteerd dus schijnbaar trappen er nog steeds heel veel in. :+
Anoniem: 126717 @vinkjb26 juli 2016 16:24
Nooit. Ik gebruik mijn werk-email adres nooit, maar krijg er desondanks nogal wat bagger op binnen, inclusief virussen jouw rekeningen en ga zo maar door.
martijncasteel @Anoniem: 12671726 juli 2016 19:15
Werkmails zijn ook wel erg voor de hand liggend; voornaam.achterbaam@mijnbedrijf.nl, v.achternaam@mijnbedrijf.nl, of voor een startup voornaam@mijnbedrijf.nl. Meestal hebben mensen wel op LinkedIn/Facebook/twitter staan waar ze werken en dan is het makkelijk. Alle combinaties proberen en kijken waar je geen postmasters op terugkrijgt.
FreezeXJ @vinkjb26 juli 2016 16:20
Zodra mensen er niet meer intrappen, en geen virusmeuk meer binnenhalen (nooit dus).
Het alternatief is zodra we een mondiale rechtsstaat hebben waarin justitie 100% bevoegdheid en kennis heeft om phishers waar dan ook ter wereld vanachter hun computers te slepen en in de cel te stoppen. Ook geen optie dus.
base_ 27 juli 2016 03:56
Niet geheel onbelangrijk lijkt me: hoeveel van deze phisingsites zijn dedicated phising sites in verhouding tot besmette (nietsvermoedende) websites zoals slecht onderhouden joomla/wordpress/drupal etc etc sites?
tijgetje57 27 juli 2016 07:27
Als ze de unresponsive, parking en phishing zouden aanpakken dan is het internet een stuk schoner ;-)
Hanzo 27 juli 2016 09:56
Ik snap van geen kant waarom ze die merknamen niet kunnen/willen/mogen publiceren ... als de potentiele kopers weten om wie/welke sites het gaat zullen ze nog meer op hun hoede en voorzichtiger zijn .... een gewaarschuwd mens telt voor 2 ...
Bart_Smith 26 juli 2016 16:45
Bij het lezen van de kop van dit stukje dacht ik meteen " dit nieuws item word aangeboden door ( vul willekeurig SSL provider in)
RobinF @Bart_Smith26 juli 2016 17:36
Nou, willekeurig. Volgensmij heb je hier meer nodig dan alleen domain validation om zeker te zijn dat het geen phising is
Bender @Bart_Smith26 juli 2016 18:21
Ik zie de link met SSL niet, daar iedereen dat aan kan vragen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq