SIDN vindt phishingsites die zich via typosquatting op zorgverzekeraars richten

SIDN, de organisatie die zich bezighoudt met het beheer van het .nl-domein, heeft met een eigen onderzoek 451 phishingsites geïdentificeerd die zich richten op de domeinen van zorgverzekeraars. Dat doen de kwaadaardige sites met sterk gelijkende domeinnamen.

Volgens SIDN richten internetcriminelen zich met de sites op mensen die 'zich oriënteren op een nieuwe zorgverzekering', iets dat veel voorkomt rond Prinsjesdag. Roelof Meijer, directeur van SIDN, zegt: "We zien vaker dat internetcriminelen inspelen op actualiteiten of de introductie van nieuwe tools of diensten. Bij zorgverzekeringen is dat niet anders. Daarom is het zaak dat zorgverzekeraars alert zijn in de drukke periode na Prinsjesdag." Hij vervolgt dat zorggegevens populair zijn op de zwarte markt, omdat deze te gebruiken zijn voor het declareren van onterechte zorgkosten.

De analyse werd uitgevoerd door te zoeken naar domeinnamen met merken erin. Daar kwam in eerste instantie een lijst uit van 14.781 domeinen. Door 'een aantal elementen te analyseren' is vervolgens vastgesteld dat 451 van deze sites mogelijk phishingsites zijn, al zegt de SIDN dat de resultaten waarschijnlijk niet volledig betrouwbaar zijn. De organisatie noemt als voorbeeld van een kwaadaardige site de pagina 'Univezorgzaam', die bezoekers probeert over te halen een extensie voor 'veilig browsen' te installeren. In werkelijkheid zou het daarbij echter om malware gaan.

SIDN zegt dat zij inmiddels een procedure is begonnen om de site offline te halen, maar kort voor het moment van publicatie van dit artikel was deze nog actief. Typosquatting is een bekende methode om verkeer naar een bepaald domein te trekken door een sterk lijkend domein te registreren. De naam refereert aan het verschijnsel dat mensen de naam van het legitieme domein verkeerd intoetsen, waardoor ze op het kwaadaardige domein terechtkomen. Typosquatting kan echter ook gebruikt worden om onoplettende gebruikers via links naar kwaadaardige sites te sturen.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 11-09-2018 14:48 31

11-09-2018 • 14:48

31

Lees meer

Nano Adblocker op Chrome bevat na overname malware die Instagram-likes uitdeelt
Nano Adblocker op Chrome bevat na overname malware die Instagram-likes uitdeelt Nieuws van 21 oktober 2020
TimeNL-dienst van SIDN Labs krijgt ondersteuning voor Network Time Security
TimeNL-dienst van SIDN Labs krijgt ondersteuning voor Network Time Security Nieuws van 6 december 2019
Zorgverzekeraar Menzis moet 50.000 euro betalen voor overtreding privacywet
Zorgverzekeraar Menzis moet 50.000 euro betalen voor overtreding privacywet Nieuws van 4 november 2019
Verzekeraar a.s.r. biedt korting en cadeaubonnen aan klanten die wearable dragen
Verzekeraar a.s.r. biedt korting en cadeaubonnen aan klanten die wearable dragen Nieuws van 4 november 2019
Tennisbond KNLTB haalt ledenadministratiesysteem offline na phishingpogingen
Tennisbond KNLTB haalt ledenadministratiesysteem offline na phishingpogingen Nieuws van 3 december 2018
NOS: kant-en-klare phishingwebsites gemakkelijk te bemachtigen en overtuigend
NOS: kant-en-klare phishingwebsites gemakkelijk te bemachtigen en overtuigend Nieuws van 25 november 2018
Gegevens 10.000 Achmea-klanten op straat na datalek
Gegevens 10.000 Achmea-klanten op straat na datalek Nieuws van 13 oktober 2018
SIDN werkt aan systeem om malafide websites met .nl-domein sneller op te sporen
SIDN werkt aan systeem om malafide websites met .nl-domein sneller op te sporen Nieuws van 20 juni 2018
Tool voor detectie malafide sites wint Dutch Open Hackathon
Tool voor detectie malafide sites wint Dutch Open Hackathon Nieuws van 29 mei 2018
Registrars schrappen domeinen van 850 malafide op Nederlanders gerichte webshops
Registrars schrappen domeinen van 850 malafide op Nederlanders gerichte webshops Nieuws van 2 mei 2018
Nederlandse beveiligingsexperts pleiten voor collectieve ddos-bestrijding
Nederlandse beveiligingsexperts pleiten voor collectieve ddos-bestrijding Nieuws van 5 april 2018
SIDN: er zijn vermoedelijk 964 phishingsites die Nederlandse merken misbruiken
SIDN: er zijn vermoedelijk 964 phishingsites die Nederlandse merken misbruiken Nieuws van 31 oktober 2017
Pionier van eerste Nederlandse isp opgenomen in Internet Hall of Fame
Pionier van eerste Nederlandse isp opgenomen in Internet Hall of Fame Nieuws van 19 september 2017
Meer producten en artikelen
Internet Nederland Phishing SIDN

Reacties (31)

-Moderatie-faq
31
31
28
1
0
3
Wijzig sortering

Sorteer op:

Weergave:
holoX 11 september 2018 15:24
Univezorgzaam is toch juist geen goed voorbeeld van typosquatting? Unieve.nl is wel een correct voorbeeld.
SinergyX @holoX11 september 2018 16:20
Het is beetje de verzamelnaam geworden van 'alles wat lijkt op het echte domein, maar niet is', danwel typfoutjes (zoals je unieve), maar ook subdomeinen in het domein wegzetten (mijnvgz.nl ipv mijn.vgz.nl) en de overige 'letter vervangen' principe zoals de l en I, O en 0.

Hoewel het origineel inderdaad typo's zijn, hebben ze het een stuk breder gemaakt (wiki):
A common misspelling, or foreign language spelling, of the intended site: exemple.com
A misspelling based on typos: examlpe.com
A differently phrased domain name: examples.com
A different top-level domain: example.org
An abuse of the Country Code Top-Level Domain (ccTLD): example.cm by using .cm, example.co by using .co, or example.om by using .om. A person leaving out a letter in .com in error could arrive at the fake URL's website.

En daar valt nu gewoon alles onder.
BernardV @SinergyX11 september 2018 18:21
Inderdaad, eerder ging het over typo’s.

Ik had vandaag ook zoiets bij tweakers.net.
Ik typ vrolijk in de url-balk “tewakers.net”, iets te snel blijkbaar. Geen response en de melding dat de site niet bereikbaar is; ik twijfelde gelijk aan m’n internetverbinding en open een nieuw tab om “nu.nl” (lekker kort) te testen.. die deed het. Nogmaals op refresh bij de tewakers en toen pas zag ik dat ik een typfout had gemaakt.
Als hier gewoon een “tweakers” site had gedraaid had ik het niet direct doorgehad; dit deed me ook weer denken aan het idee van Google om de url helemaal niet meer te laten zien, dan had ik dit “nooit” doorgehad.
DiedX @holoX11 september 2018 15:28
Het zit op het randje typosquatting. Een andere reden waarom het niet zou werken is het feit dat je merken kan laten beschermen (https://www.sidn.nl/dbs). Ik vermoed dat Unieve hier ook onder zou vallen...
Christoxz @holoX11 september 2018 15:28
Hoezo is het geen 'goed' voorbeeld?
Snap je punt, maar dit is een voorbeeld die SIDN geeft.

Daarnaast Unieve.nl is geen werkende voorbeeld, Univezorgzaam wel.

[Reactie gewijzigd door Christoxz op 24 juli 2024 11:06]

BrunoCavalier @holoX11 september 2018 15:33
Unive heeft een een "zorgzaam" verzekering via https://www.unive.nl/zorgzaam/
Crazy D @BrunoCavalier12 september 2018 10:45
En dat zorgt er ook voor dat dit soort phishing makkelijker misbruikt kan worden. Als bedrijven nooit extra domeinen zouden pakken (zoals een "MijnXXX.nl in plaats van Mijn.XXX.nl of dat Univezorgzaam) dan zou het wellicht opvallen. Maar omdat bedrijven soms ook dat soort extra domeinen gebruiken (werkenbijxxx.nl in plaats van werkenbij.XXX.nl is er nog zo eentje) kun je op basis van de url dat eigenlijk nooit echt herkennen. En dat bedrijven niet alle mogelijke typefouten bedenken en al die domeinen registreren vind ik ook niet gek (hoewel een extra e in de Unieve / unive naam wel een Obvious typefout is, maar moet je dan ook Uneive en Unvie registeren?).
RVervuurt 11 september 2018 15:41
Ze zouden ook op unicode moeten checken, want daarmee wordt ook "typosquatting" uitgevoerd. Websites die een l vervangen voor een unicode-karakter dat op een l lijkt bijvoorbeeld. Lastiger zelf te typen als fout, maar als ze hoog genoeg komen in de zoekresultaten (of er worden phishingmails mee verzonden) zijn er genoeg mensen die er intrappen.
jaenster @RVervuurt11 september 2018 15:46
Zover ik weet, kun je geen domein registeren met unicode op het .nl tld
heuveltje @jaenster11 september 2018 16:11
Toegeven, veel minder overtuigend,
Maar UN1VE.NL of NU0N.NL zou nog wel eens wat mensen voor de gek kunnen houden.
SinergyX @heuveltje11 september 2018 16:21
Ik vraag me af of mensen uberhaubt nog naar de url zelf kijken? Gros van mobiele browsers verbergen de url balk moment dat de pagina geladen is, dus als het allemaal 'echt' oogt, zal het toch wel echt zijn? https erop, certificaatje erbij, desnoods nog een enorm lange url om nog wat extra te maskeren.. denk dat je best een eind komt met een random url (zeker als je er nog een shorten-url vooraf gooit).

[Reactie gewijzigd door SinergyX op 24 juli 2024 11:06]

zaiziks @RVervuurt11 september 2018 15:57
Die zijn binnen .nl niet te registreren.
Verwijderd @RVervuurt11 september 2018 16:02
Ze zouden ook op unicode moeten checken, want daarmee wordt ook "typosquatting" uitgevoerd. Websites die een l vervangen voor een unicode-karakter dat op een l lijkt bijvoorbeeld. Lastiger zelf te typen als fout, maar als ze hoog genoeg komen in de zoekresultaten (of er worden phishingmails mee verzonden) zijn er genoeg mensen die er intrappen.
Ik ga er vanuit dat ze dat ook hebben gedaan. Dat lijkt me wel de meest basic check en ook veel makkelijker dan een soortgelijke naam. lekkerland en IekkerIand lijken het zelfde, maar een heel simpel filtertje leert dat de tweede waarschijnlijk nep is... :)
TheDudez 11 september 2018 15:21
Ben benieuwd of sidn. Dit ook meldt bij de zorgverzekeraar zodat die eventueel een zaak kunnen beginnen.
Slavy @TheDudez11 september 2018 15:23
Geef eens een reden waarom ze het niet zouden doen als ze dit publiekelijk kenbaar hebben gemaakt.
kodak
@Slavy11 september 2018 15:33
Ze melden het hopelijk. Maar ondertussen is het ook onderdeel van hun marketing voor hun peperdure domeinbewakingsservice waar ze klanten voor zoeken.
TomPlant0 @kodak11 september 2018 16:00
Het is inderdaad de vraag of die service wel nut heeft.

Want wat als ik een domein aanmaak als https://accounts.google.c...e9f84lkklj.abc.xyz.tom.nl zien ze dat dan ook?

Zie deze geniale fake login van Google maar --> https://twitter.com/musalbas/status/1038919152826757122
234FaTaLiTy @TomPlant011 september 2018 16:09
Wow, die is oprecht heel goed gemaakt.
*in het vervolg alle venstertjes groter slepen doet*
kodak
@234FaTaLiTy11 september 2018 16:56
Probeer dat resizen ook eens met je (in) app browser ;)
kodak
@TomPlant011 september 2018 16:54
Dat soort oplichting met subdomeinen is al heel oud en dagelijkse praktijk. De moeite nemen om te resizen is vaak al te veel.

Of ze het herkennen? Misschien als het langs komt op hun domainservers. Ik denk dat ze lijsten met nieuwe hoofddomeinen uitwisselen met de organisaties verantwoordelijk van andere tlds. Die bieden wel vaker dat soort diensten aan om bij te verdienen.
emnich 11 september 2018 15:30
Ik had toch graag gewild dat er een onafhankelijk iemand (politie, justitie,...) mee zou kijken om een beoordeling te maken of een domein wel neergehaald mag worden door SIDN.
Harrie_ @emnich11 september 2018 15:50
Waarom dan? Op het moment dat je een .NL domeinnaam registreert betaal je (wellicht indirect via je hostingprovider) aan SIDN. Je gaat dan als het goed is ook akkoord met allerlei voorwaarden die SIDN stelt. Op het moment dat SIDN misbruik signaleert of zaken die niet conform de voorwaarden zijn dan is SIDN toch vrij om levering van de dienst stop te zetten?
CAPSLOCK2000
@Harrie_11 september 2018 15:57
Waarom dan? Op het moment dat je een .NL domeinnaam registreert betaal je (wellicht indirect via je hostingprovider) aan SIDN. Je gaat dan als het goed is ook akkoord met allerlei voorwaarden die SIDN stelt. Op het moment dat SIDN misbruik signaleert of zaken die niet conform de voorwaarden zijn dan is SIDN toch vrij om levering van de dienst stop te zetten?
Een domein wordt beschouwd als eigendom. SIDN is een dienstverlener die namens alle eigenaren van .NL-domeinen zorgt voor het technisch beheer. SIDN is dus niet de eigenaar van .nl maar alleen de beheerder. Als beheerder kunnen ze niet zomaar domeinen afpakken. Net zo min als de concierge van de VVE je huis kan afpakken. Ze kunnen wel weigeren om je nog te helpen maar het domein afpakken ligt een stuk ingewikkelder.

[Reactie gewijzigd door CAPSLOCK2000 op 24 juli 2024 11:06]

Harrie_ @CAPSLOCK200011 september 2018 16:02
Afpakken is misschien een groot woord dan, maar volgens mij is SIDN wel eigenaar van eigen nameservers dus volgens mij kunnen ze er in ieder geval (zonder repercussies) voor zorgen dat een request naar malafidesite.nl op de nameserver afkapt?
CAPSLOCK2000
@Harrie_11 september 2018 16:09
Tot op zekere hoogte wel. Een extra complicatie is dat SIDN niet direct aan eindgebruikers verkoopt maar altijd via een tussenpartij gaat. SIDN heeft dus geen directe relatie met de eigenaar van het domein.
SIDN moet ook wel heel zeker van z'n zaak zijn. Als ze een domein onterecht blokkeren/weigeren dan is dat contractbreuk.
mcDavid @CAPSLOCK200011 september 2018 16:08
Het is ook niet direct nodig een domeinnaam af te pakken. Ze kunnen simpelweg de bijbehorende DNS-records niet langer propageren om deze effectief onbruikbaar te maken voor zolang als het misbruik voortduurt. Daarvoor hoeven ze niet de domeinnaam "af te pakken".
CAPSLOCK2000
@mcDavid11 september 2018 16:19
Lood om oud ijzer. Technisch is er van alles mogelijk. Het punt is dat SIDN geen eigenaar van de domeinen is en er dus voorzichtig mee om moet gaan zodat er geen domeinen onterecht worden "geblokkeerd" (of welke technische oplossing we ook kiezen). Als ze het verkeerde domein blokkeren dan zal de eigenaar om vergoeding vragen voor z'n gedorven inkomsten.
Gameboy @CAPSLOCK200012 september 2018 08:01
Er is geen sprake van 'eigendom' bij een domeinregistratie. Dat kan ook helemaal niet, want die term kan alleen worden gebruikt bij een fysiek goed.

Bij domeinregistraties ben je hoogstens "houder", wat inhoudt dat je een gebruiksrecht hebt, onder bepaalde voorwaarden. Indien je die voorwaarden schendt of niet naleeft, kan het gebruiksrecht worden opgeschort of zelfs ontnomen.

Zie bijvoorbeeld: https://ictrecht.nl/2014/...ouder-van-een-domeinnaam/

[Reactie gewijzigd door Gameboy op 24 juli 2024 11:06]

alt-92 @CAPSLOCK200012 september 2018 08:51
Net zo min als de concierge van de VVE je huis kan afpakken.
Een VVE kan indien er aanleiding voor is - bijvoorbeeld het herhaaldelijk schenden van de appartementsrechten & voorwaarden in de splitsingsakte - een procedure beginnen (he! kijk nou!) tot opheffing en uitzetting.
Ik ken weinig VVE's die blij zijn met een wietplantage bij een van hun leden.

[Reactie gewijzigd door alt-92 op 24 juli 2024 11:06]

aequitas @emnich11 september 2018 15:45
In het artikel wordt me niet duidelijk of SIDN daadwerkelijk de domeinen offline haalt, alleen dat een procedure is gestart. Toetsen door de rechter kan natuurlijk prima een onderdeel zijn van die procedure.
kodak
11 september 2018 15:36
Klein detail: typosquotting met exotische letters kan niet in de domeinen die sidn verzorgt. Deze tlds bieden geen punnycode ondersteuning. Als het om dit soort typosquotting gaat hebben ze het dus over andere toplevel domeinen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq