Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

SIDN vindt phishingsites die zich via typosquatting op zorgverzekeraars richten

SIDN, de organisatie die zich bezighoudt met het beheer van het .nl-domein, heeft met een eigen onderzoek 451 phishingsites geīdentificeerd die zich richten op de domeinen van zorgverzekeraars. Dat doen de kwaadaardige sites met sterk gelijkende domeinnamen.

Volgens SIDN richten internetcriminelen zich met de sites op mensen die 'zich oriënteren op een nieuwe zorgverzekering', iets dat veel voorkomt rond Prinsjesdag. Roelof Meijer, directeur van SIDN, zegt: "We zien vaker dat internetcriminelen inspelen op actualiteiten of de introductie van nieuwe tools of diensten. Bij zorgverzekeringen is dat niet anders. Daarom is het zaak dat zorgverzekeraars alert zijn in de drukke periode na Prinsjesdag." Hij vervolgt dat zorggegevens populair zijn op de zwarte markt, omdat deze te gebruiken zijn voor het declareren van onterechte zorgkosten.

De analyse werd uitgevoerd door te zoeken naar domeinnamen met merken erin. Daar kwam in eerste instantie een lijst uit van 14.781 domeinen. Door 'een aantal elementen te analyseren' is vervolgens vastgesteld dat 451 van deze sites mogelijk phishingsites zijn, al zegt de SIDN dat de resultaten waarschijnlijk niet volledig betrouwbaar zijn. De organisatie noemt als voorbeeld van een kwaadaardige site de pagina 'Univezorgzaam', die bezoekers probeert over te halen een extensie voor 'veilig browsen' te installeren. In werkelijkheid zou het daarbij echter om malware gaan.

SIDN zegt dat zij inmiddels een procedure is begonnen om de site offline te halen, maar kort voor het moment van publicatie van dit artikel was deze nog actief. Typosquatting is een bekende methode om verkeer naar een bepaald domein te trekken door een sterk lijkend domein te registreren. De naam refereert aan het verschijnsel dat mensen de naam van het legitieme domein verkeerd intoetsen, waardoor ze op het kwaadaardige domein terechtkomen. Typosquatting kan echter ook gebruikt worden om onoplettende gebruikers via links naar kwaadaardige sites te sturen.

Door Sander van Voorst

Nieuwsredacteur

11-09-2018 • 14:48

31 Linkedin Google+

Reacties (31)

Wijzig sortering
Univezorgzaam is toch juist geen goed voorbeeld van typosquatting? Unieve.nl is wel een correct voorbeeld.
Het is beetje de verzamelnaam geworden van 'alles wat lijkt op het echte domein, maar niet is', danwel typfoutjes (zoals je unieve), maar ook subdomeinen in het domein wegzetten (mijnvgz.nl ipv mijn.vgz.nl) en de overige 'letter vervangen' principe zoals de l en I, O en 0.

Hoewel het origineel inderdaad typo's zijn, hebben ze het een stuk breder gemaakt (wiki):
A common misspelling, or foreign language spelling, of the intended site: exemple.com
A misspelling based on typos: examlpe.com
A differently phrased domain name: examples.com
A different top-level domain: example.org
An abuse of the Country Code Top-Level Domain (ccTLD): example.cm by using .cm, example.co by using .co, or example.om by using .om. A person leaving out a letter in .com in error could arrive at the fake URL's website.

En daar valt nu gewoon alles onder.
Inderdaad, eerder ging het over typo’s.

Ik had vandaag ook zoiets bij tweakers.net.
Ik typ vrolijk in de url-balk “tewakers.net”, iets te snel blijkbaar. Geen response en de melding dat de site niet bereikbaar is; ik twijfelde gelijk aan m’n internetverbinding en open een nieuw tab om “nu.nl” (lekker kort) te testen.. die deed het. Nogmaals op refresh bij de tewakers en toen pas zag ik dat ik een typfout had gemaakt.
Als hier gewoon een “tweakers” site had gedraaid had ik het niet direct doorgehad; dit deed me ook weer denken aan het idee van Google om de url helemaal niet meer te laten zien, dan had ik dit “nooit” doorgehad.
Het zit op het randje typosquatting. Een andere reden waarom het niet zou werken is het feit dat je merken kan laten beschermen (https://www.sidn.nl/dbs). Ik vermoed dat Unieve hier ook onder zou vallen...
Hoezo is het geen 'goed' voorbeeld?
Snap je punt, maar dit is een voorbeeld die SIDN geeft.

Daarnaast Unieve.nl is geen werkende voorbeeld, Univezorgzaam wel.

[Reactie gewijzigd door chriistiix op 11 september 2018 15:30]

Unive heeft een een "zorgzaam" verzekering via https://www.unive.nl/zorgzaam/
En dat zorgt er ook voor dat dit soort phishing makkelijker misbruikt kan worden. Als bedrijven nooit extra domeinen zouden pakken (zoals een "MijnXXX.nl in plaats van Mijn.XXX.nl of dat Univezorgzaam) dan zou het wellicht opvallen. Maar omdat bedrijven soms ook dat soort extra domeinen gebruiken (werkenbijxxx.nl in plaats van werkenbij.XXX.nl is er nog zo eentje) kun je op basis van de url dat eigenlijk nooit echt herkennen. En dat bedrijven niet alle mogelijke typefouten bedenken en al die domeinen registreren vind ik ook niet gek (hoewel een extra e in de Unieve / unive naam wel een Obvious typefout is, maar moet je dan ook Uneive en Unvie registeren?).
Ze zouden ook op unicode moeten checken, want daarmee wordt ook "typosquatting" uitgevoerd. Websites die een l vervangen voor een unicode-karakter dat op een l lijkt bijvoorbeeld. Lastiger zelf te typen als fout, maar als ze hoog genoeg komen in de zoekresultaten (of er worden phishingmails mee verzonden) zijn er genoeg mensen die er intrappen.
Zover ik weet, kun je geen domein registeren met unicode op het .nl tld
Toegeven, veel minder overtuigend,
Maar UN1VE.NL of NU0N.NL zou nog wel eens wat mensen voor de gek kunnen houden.
Ik vraag me af of mensen uberhaubt nog naar de url zelf kijken? Gros van mobiele browsers verbergen de url balk moment dat de pagina geladen is, dus als het allemaal 'echt' oogt, zal het toch wel echt zijn? https erop, certificaatje erbij, desnoods nog een enorm lange url om nog wat extra te maskeren.. denk dat je best een eind komt met een random url (zeker als je er nog een shorten-url vooraf gooit).

[Reactie gewijzigd door SinergyX op 11 september 2018 16:22]

Die zijn binnen .nl niet te registreren.
Ze zouden ook op unicode moeten checken, want daarmee wordt ook "typosquatting" uitgevoerd. Websites die een l vervangen voor een unicode-karakter dat op een l lijkt bijvoorbeeld. Lastiger zelf te typen als fout, maar als ze hoog genoeg komen in de zoekresultaten (of er worden phishingmails mee verzonden) zijn er genoeg mensen die er intrappen.
Ik ga er vanuit dat ze dat ook hebben gedaan. Dat lijkt me wel de meest basic check en ook veel makkelijker dan een soortgelijke naam. lekkerland en IekkerIand lijken het zelfde, maar een heel simpel filtertje leert dat de tweede waarschijnlijk nep is... :)
Ben benieuwd of sidn. Dit ook meldt bij de zorgverzekeraar zodat die eventueel een zaak kunnen beginnen.
Geef eens een reden waarom ze het niet zouden doen als ze dit publiekelijk kenbaar hebben gemaakt.
Ze melden het hopelijk. Maar ondertussen is het ook onderdeel van hun marketing voor hun peperdure domeinbewakingsservice waar ze klanten voor zoeken.
Het is inderdaad de vraag of die service wel nut heeft.

Want wat als ik een domein aanmaak als https://accounts.google.c...e9f84lkklj.abc.xyz.tom.nl zien ze dat dan ook?

Zie deze geniale fake login van Google maar --> https://twitter.com/musalbas/status/1038919152826757122
Wow, die is oprecht heel goed gemaakt.
*in het vervolg alle venstertjes groter slepen doet*
Probeer dat resizen ook eens met je (in) app browser ;)
Dat soort oplichting met subdomeinen is al heel oud en dagelijkse praktijk. De moeite nemen om te resizen is vaak al te veel.

Of ze het herkennen? Misschien als het langs komt op hun domainservers. Ik denk dat ze lijsten met nieuwe hoofddomeinen uitwisselen met de organisaties verantwoordelijk van andere tlds. Die bieden wel vaker dat soort diensten aan om bij te verdienen.
Ik had toch graag gewild dat er een onafhankelijk iemand (politie, justitie,...) mee zou kijken om een beoordeling te maken of een domein wel neergehaald mag worden door SIDN.
Waarom dan? Op het moment dat je een .NL domeinnaam registreert betaal je (wellicht indirect via je hostingprovider) aan SIDN. Je gaat dan als het goed is ook akkoord met allerlei voorwaarden die SIDN stelt. Op het moment dat SIDN misbruik signaleert of zaken die niet conform de voorwaarden zijn dan is SIDN toch vrij om levering van de dienst stop te zetten?
Waarom dan? Op het moment dat je een .NL domeinnaam registreert betaal je (wellicht indirect via je hostingprovider) aan SIDN. Je gaat dan als het goed is ook akkoord met allerlei voorwaarden die SIDN stelt. Op het moment dat SIDN misbruik signaleert of zaken die niet conform de voorwaarden zijn dan is SIDN toch vrij om levering van de dienst stop te zetten?
Een domein wordt beschouwd als eigendom. SIDN is een dienstverlener die namens alle eigenaren van .NL-domeinen zorgt voor het technisch beheer. SIDN is dus niet de eigenaar van .nl maar alleen de beheerder. Als beheerder kunnen ze niet zomaar domeinen afpakken. Net zo min als de concierge van de VVE je huis kan afpakken. Ze kunnen wel weigeren om je nog te helpen maar het domein afpakken ligt een stuk ingewikkelder.

[Reactie gewijzigd door CAPSLOCK2000 op 11 september 2018 15:58]

Afpakken is misschien een groot woord dan, maar volgens mij is SIDN wel eigenaar van eigen nameservers dus volgens mij kunnen ze er in ieder geval (zonder repercussies) voor zorgen dat een request naar malafidesite.nl op de nameserver afkapt?
Tot op zekere hoogte wel. Een extra complicatie is dat SIDN niet direct aan eindgebruikers verkoopt maar altijd via een tussenpartij gaat. SIDN heeft dus geen directe relatie met de eigenaar van het domein.
SIDN moet ook wel heel zeker van z'n zaak zijn. Als ze een domein onterecht blokkeren/weigeren dan is dat contractbreuk.
Het is ook niet direct nodig een domeinnaam af te pakken. Ze kunnen simpelweg de bijbehorende DNS-records niet langer propageren om deze effectief onbruikbaar te maken voor zolang als het misbruik voortduurt. Daarvoor hoeven ze niet de domeinnaam "af te pakken".
Lood om oud ijzer. Technisch is er van alles mogelijk. Het punt is dat SIDN geen eigenaar van de domeinen is en er dus voorzichtig mee om moet gaan zodat er geen domeinen onterecht worden "geblokkeerd" (of welke technische oplossing we ook kiezen). Als ze het verkeerde domein blokkeren dan zal de eigenaar om vergoeding vragen voor z'n gedorven inkomsten.
Er is geen sprake van 'eigendom' bij een domeinregistratie. Dat kan ook helemaal niet, want die term kan alleen worden gebruikt bij een fysiek goed.

Bij domeinregistraties ben je hoogstens "houder", wat inhoudt dat je een gebruiksrecht hebt, onder bepaalde voorwaarden. Indien je die voorwaarden schendt of niet naleeft, kan het gebruiksrecht worden opgeschort of zelfs ontnomen.

Zie bijvoorbeeld: https://ictrecht.nl/2014/...ouder-van-een-domeinnaam/

[Reactie gewijzigd door Gameboy op 12 september 2018 09:40]

Net zo min als de concierge van de VVE je huis kan afpakken.
Een VVE kan indien er aanleiding voor is - bijvoorbeeld het herhaaldelijk schenden van de appartementsrechten & voorwaarden in de splitsingsakte - een procedure beginnen (he! kijk nou!) tot opheffing en uitzetting.
Ik ken weinig VVE's die blij zijn met een wietplantage bij een van hun leden.

[Reactie gewijzigd door alt-92 op 12 september 2018 08:52]

In het artikel wordt me niet duidelijk of SIDN daadwerkelijk de domeinen offline haalt, alleen dat een procedure is gestart. Toetsen door de rechter kan natuurlijk prima een onderdeel zijn van die procedure.
Klein detail: typosquotting met exotische letters kan niet in de domeinen die sidn verzorgt. Deze tlds bieden geen punnycode ondersteuning. Als het om dit soort typosquotting gaat hebben ze het dus over andere toplevel domeinen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True