Beveiligingsonderzoeker Mischa van Geelen heeft een onbeveiligde MongoDB-server gevonden, zo laat hij aan Tweakers weten. Deze server werd gebruikt om automatisch domeinnamen te registreren die sterk lijken op de domeinnamen van Nederlandse organisaties.
Onder de gevonden organisaties bevinden zich ook buitenlandse merken, maar het grote aandeel aan Nederlandse organisaties is opvallend. Zo laat de database zien dat namen als ING, Rabobank, Telfort en KPN in de gaten gehouden worden. Er zijn daarnaast vermeldingen te zien van domeinen als 'denhaag' en 'tweedekamer'. Onder de overige bekende merken zijn bijvoorbeeld Nike, Coca Cola, Warner en Airbnb. "Ik legde de link met phishing toen ik zag dat de geregistreerde domeinen kort daarna werden gebruikt voor phishingactiviteiten", legt Van Geelen aan Tweakers uit.
De server is zo ingericht dat hij automatisch zoekt naar beschikbare domeinen die sterk lijken op de domeinnamen van een vastgestelde lijst organisaties. In het geval van het domein 'tweedekamer' was bijvoorbeeld '2ekamer' geregistreerd. Andere voorbeelden zijn 'mjining', 'raobank' en 'denhaaag'. Internetcriminelen kunnen deze domeinen gebruiken om gebruikers te doen geloven dat ze zich op de legitieme site van de desbetreffende organisatie bevinden. Door een loginvenster aan te bieden, kunnen ze vervolgens inloggegevens buitmaken. Daarnaast is het mogelijk om gebruikers te infecteren met malware door ze door te verwijzen naar kwaadaardige sites met exploitkits. De domeinen komen bovendien van pas in phishingcampagnes via e-mail, waarbij het bericht links naar de nepsite bevat.
Van Geelen kwam de server op het spoor door te zoeken naar een specifieke configuratie voor onbeveiligde MongoDB-servers. Hij legt uit dat zijn vondst opvallend is, omdat het om een volledig geautomatiseerd proces gaat en de server zich richt op een opvallend aantal Nederlandse organisaties. Na zijn ontdekking heeft de onderzoeker contact opgenomen met het Team High Tech Crime van de Nederlandse politie. Het team toonde zich dankbaar en bevestigde de gegevens te willen gebruiken voor onderzoek. Het offline halen van de server is volgens Van Geelen en de politie daarbij de verkeerde aanpak, omdat de server dan hoogstwaarschijnlijk binnen korte tijd ergens anders opnieuw verschijnt. Van Geelen schat dat de server inmiddels een jaar actief is.