SIDN waarschuwde in jaar tijd voor meer dan 26.000 phishingaanvallen - update

SIDN heeft van eind 2020 tot het derde kwartaal van 2021 26.668 waarschuwingen met betrekking tot phishingaanvallen via 3693 domeinnamen gestuurd. Het aantal daalde in de loop van 2021 wel, na een flinke piek in het eerste kwartaal.

In het derde kwartaal van 2021 waarschuwde SIDN 5525 keer voor phishingaanvallen via domeinnamen. In de twee kwartalen ervoor lagen die aantallen hoger, met als piek het eerste kwartaal, toen bijna tienduizend meldingen wegens aanwezigheid van phishing werden gestuurd. SIDN meldt de cijfers in zijn transparantierapport. In 2020 was er volgens SIDN sprake van een sterke stijging van het aantal phishingwaarschuwingen. Ter vergelijking detecteerde SIDN in het laatste kwartaal van 2019 nog slechts 943 phishingaanvallen via .nl-domeinen.

Uiteindelijk werden er van eind 2020 tot en met het derde kwartaal van 2021 750 domeinnamen inactief gemaakt. Niet bekend is hoeveel dat er in de periode ervoor waren. Inactief maken doet de SIDN pas als 114 uur na de waarschuwingen blijkt dat het probleem nog niet is opgelost. SIDN verstuurt de waarschuwingen voor malware en phishing naar domeinnaamhouders, hosters en registrars in het kader van zijn Abuse204.nl-programma. De stichting maakt gebruik van de Netcraft Takedown Service om de schadelijke software te detecteren en abusemeldingen te versturen.

Update, donderdag 27 januari: SIDN heeft in zijn transparantierapport aangepast dat het om aanvallen per categorie en niet domeinnamen per categorie gaat. In totaal gaat het dus bij de waarschuwingen om 26.668 phishingaanvallen en niet domeinnamen. Het artikel is hier op aangepast.

Aantal aanvallen per categorie Q4 2020 Q1 2021 Q2 2021 Q3 2021
Phishing 5042 9587 6514 5525
Malware distribution URL 31 40 10 12
Web shell 217 1732 296 637
Malware infrastructure 4 9 16 9
Shopping site skimmer 44 84 129 81
Cryptocurrency miner 62 0 6 1
Web-inject malware URL 85 47 295 181
Malware command & control center 0 2 0 2
Skimmer credential dropsite 0 1 3 0
Phiskit archive 0 0 1 0
Gemiddelde beschikbaarheid van attacks in uren (mediaan) 19 19 20 15
Down in 24 uur 1037 (73,5%) 1496 (68,4%) 1061 (70,5%) 935 (74,9%)
Aantal domeinnamen inactief gemaakt door SIDN 259 175 159 157
Aantal domeinnamen daarna opnieuw geactiveerd door registrar 43 27 18 2

Door Olaf van Miltenburg

Nieuwscoördinator

24-01-2022 • 16:34

12

Submitter: Anonymoussaurus

Reacties (12)

12
12
9
1
0
1
Wijzig sortering
Waarom eerst waarschuwen?
Voer een Zero Tolerance beleid in als er malware or phishing wordt aangetroffen.
Kan zijn dat de domein houder geen schuld treft, maar dan geef je hem wel meteen de kans het probleem te gaan oplossen.
Ieder uur dat er malware of phishing actief is zorgt voor mogelijke slachtoffers.
Het zal maar jouw website zijn die enkele uren uit de lucht is door een false positive.
Je bedoelt jouw sites als ing-bank.nl of appieheijn.nl, want daar gaat het om toch?
In het overzicht staat dat het gaat om verschillende soorten domeinen. Een phishingdomein kan dus ook een echte site zijn die niet goed beveiligd was en bijvoorbeeld een phishingpagina op staat of dat een crimineel gebruikt om code van te downloaden. Het zijn dus niet alleen domeinen die ergens op lijken. En zelfs als het lijkt wil dat niet zomaar zeggen dat het niet echt is.
Toevallig heb ik eergisteren een notice ontvangen vanuit het Abuse204.nl-programma. Gelukkig was het alleen een waarschuwing.

Wat was er aan de hand? Voor de transactionele emails gebruiken wij een mailing-service (zoals MailChimp etc) met een custom tracking link die op dezelfde domein draait als de website zelf.

Eén van van de andere klanten van de mailing-service bleek geïnfecteerd. Doordat de tracking gelijkwaardig is opgezet bij de verschillende klanten, werden andere domeinen van klanten ook als 'malicious' aangezien. (Noot: het gaat hier niet om een kleine partij o.i.d., het is een van de grote namen).

Een zero tolerance beleid zou ik dit geval best wel wat schade aan hebben gebracht 'door een fout bij de buren'.

Edit: verkeerde user in de reply, excuus

[Reactie gewijzigd door rubyn op 22 juli 2024 20:40]

Als zoiets gebeurd zou er gewoon een appeal-process moeten zijn.

Zero tolerance is eigenlijk de enige manier dat dit echt zou werken. Na 114 uur is het vaak al te laat en wordt er alweer een nieuwe domein gemaakt. Google heeft namelijk al na een aantal dagen meestal een phishing waarschuwing klaarstaan, en dan werkt het al niet meer voor 99% van de users.

[Reactie gewijzigd door MrFax op 22 juli 2024 20:40]

Het lijkt me beiden niet haalbaar.

Stel jou bedrijf, met 175 medewerkers, tal van leveranciers en honderden klanten, heeft plotseling geen domein meer omdat de SIDN een fout maakt en dat niet door heeft. Je bent vooraf niet door ze gewaarschuwd over een mogelijk probleem, en heel veel belangrijke zaken vallen door dat 'foutje' weg: geen inkomsten meer, klanten die massaal klagen dat je onbereikbaar bent, leveranciers die niet via de normale voorzieningen kunnen leveren of bereikt kunnen worden, de tijd en kosten die je mis loopt om met dit 'foutje' en alle gevolgen bezig te zijn en inkomsten en reputatie die erdoor minder worden. Al die mensen en ondernemingen moeten daar maar onder leiden omdat jij voorkeur geeft aan beschermen van mogelijke slachtoffers van phishing. Dat zijn bedragen en problemen die een bezwaarprocedure achteraf niet even oplossen of zelfs maar gaan kunnen dekken. En ik vermoed dat de veroorzaker van het foutje niet graag en makkelijk voor die schade kan en wil instaan.

Daarbij gaat het voorbij aan het probleem dat de mensen die in de phishing trappen toch echt ook een eigen verantwoordelijkheid hebben om niet zomaar hun persoonsgegevens ergens achter te laten. Hoe is jou plan rekening met die verantwoordelijkheid aan het houden, in plaats van het probleem naar allemaal andere personen en bedrijven te verschuiven die niet perse over dat domein gaan?
Het hoeft helemaal niet zo'n opzichtige domeinnaam te zijn. Het kan net zo goed gaan om vndvja.nl, of een sub-sub-subdomein op een gehackte server (waarbij de originele content niet geraakt is en dus gewoon actief).
Wat is het nut van een waarschuwing als je er vanuit gaat dat het een false positive is? Doet me denken aan de medewerkers die blijven zitten na de zoveelste rookmelder die onbedoeld afgaat. Als we gaan werken met bijvoorbeeld sitereputatie dan kan SIDN echt wel meer dan alleen waarschuwen. Toon maar aan dat het niet jouw site is en je gaat weer op groen. Er is zo veel phishing etc dat waarschuwen en afwachten mijns inziens te passief is.
Het zou intereressant zijn indien SIDN de domain entries die de 114 uur overschrijden onmiddelijk publiceren in de vorm van een response policy zone (rpz). Unbound heeft in v1.14.0 de ondersteuning voor rpz flink uitgebreid, maar ook andere resolvers ondersteunen dit (bind, knot resolver, ...)

Wanneer er updates aan deze, door SIDN beheerde rpz file gebeuren, worden ze door unbound automatisch gedownload en geactiveerd. De refresh tijd wordt bepaald door het SOA record in de rpz file

Meer weten over unbound reponse policy zones, hier.
Ik heb het afgelopen jaar meerdere false positive (bijv op een echte ideal betaal link) meldingen gehad van Netcraft. Het is compleet onduidelijk waar de meldingen vandaan komen.

Elke keer tientallen mailtjes van abuse partijen en herinneringen hiervan. Om dan na klagen zonder verdere toelichting weer meerdere malen het "negeer het maar" mailtje te krijgen van Netcraft.

Ondertussen is Netcraft zelf wel ongevraagd domeinen aan 't scannen als een scriptkiddie en blijft het gemelde url's vanuit honderden ip's aanroepen.
Die feed van Netcraft en anderen bestaat voor 80% uit URL's en sub domeinen. Uiteraard is een domeinnaam onderdeel van een URL maar een domeinnaam is geen website.

Dit verklaart waarom het aantal domeinen wat neergehaald is door SIDN en registrars niet in de buurt komt van de gemelde 26000 domeinen.

Op dit item kan niet meer gereageerd worden.