De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de domeinnamen voor het .nl-domein beheert, heeft in een jaar tijd ruim 30.000 domeinnaamhouders gewaarschuwd voor malware en phishing. Dat meldt de organisatie in een transparantierapport (pdf onderaan het artikel). Het gaat om de periode vanaf het vierde kwartaal van 2020 tot en met het derde kwartaal van 2021. Bij de meeste gevallen betrof het waarschuwingen voor phishing.
NL domeinen een van de veiligste
In het rapport stelt SIDN dat het .nl-domein “een van de veiligste topleveldomeinen ter wereld” is. De stichting zegt het voortouw te nemen in “het bestrijden van abuse”. Hierdoor ziet de organisatie zich soms genoodzaakt om in te grijpen. Dit kan verschillende vormen aannemen, waaronder het weghalen van domeinnamen uit de .nl-zone. Het ingrijpen kan op eigen initiatief zijn, maar ook naar aanleiding van juridische procedures. Volgens SIDN zelf wordt er relatief gezien niet vaak ingegrepen: “Afgezet tegen het totale aantal .nl’s van ruim 6 miljoen, is het aantal keer dat we ingrijpen heel beperkt.”
Abuse204.nl
Om zaken als phishing en malware in de .nl-zone te verminderen, startte SIDN het programma Abuse204.nl (abuse ’to zero for .nl’). De organisatie stuurt op basis van een ingekochte feed waarschuwingen uit naar de betrokken houders, hosters en registrars. Hierin staat het verzoek om te kijken naar het probleem en – indien er inderdaad sprake is van phishing en malware – dit op te lossen.
SIDN stuurt herhaaldelijke waarschuwingen. Wanneer het probleem na maximaal 114 uur nog niet is opgelost, voert de organisatie zelf een controle uit. Mocht het probleem nog bestaan, dan haalt SIDN de domeinnaam uit de zone. De stichting informeert de registrar hierover. Deze kan de nameservers weer koppelen aan de domeinnaam als de malafide code is verwijderd. Zo kan de domeinnaam weer worden opgenomen in de .nl-zone.
Waarschuwingen aan ruim 30.000 domeinnaamhouders
In de periode van Q4 2020 tot en met Q3 2021 gaf SIDN waarschuwingen voor cybercrime uit aan ruim 30.000 domeinnaamhouders. Voor het grootste gedeelte gaat het om phishing-waarschuwingen; maar liefst 27.000 keer. Uiteindelijk maakte de organisatie 750 domeinnamen inactief.
Aantal betrokken domeinnamen per categorie | Q4 2020 | Q1 2021 | Q2 2021 | Q3 2021 |
---|---|---|---|---|
Phishing | 5.042 | 9.587 | 6.514 | 5.525 |
Malware distribution URL | 31 | 40 | 10 | 12 |
Web shell | 217 | 1.732 | 296 | 637 |
Malware infrastructure | 4 | 9 | 16 | 9 |
Shopping site skimmer | 44 | 84 | 129 | 81 |
Cryptocurrency miner | 62 | 0 | 6 | 1 |
Web-inject malware URL | 85 | 47 | 295 | 181 |
Malware command & control centr | 0 | 2 | 0 | 2 |
Skimmer credential dropsite | 0 | 1 | 3 | 0 |
Phiskit archive | 0 | 0 | 1 | 0 |
Gemiddelde beschikbaarheid van attacks in uren (mediaan) | 19 | 19 | 20 | 15 |
Down in 24 uur | 1.037 (73,5%) | 1.496 (68,4%) | 1.061 (70,5%) | 935 (74,9%) |
Aantal domeinnamen inactief gemaakt door SIDN | 259 | 175 | 159 | 157 |
Aantal domeinnamen daarna opnieuw geactiveerd door registrar | 43 | 27 | 18 | 2 |
Bijna 3.000 keer stuurde SIDN een waarschuwing over zogenoemde webshells. Dit zijn scripts die aanvallers op webservers plaatsen. Vervolgens kunnen ze de server op afstand benaderen en allerlei commando’s uitvoeren. SIDN meldde aan ruim 300 domeinnaamhouders dat er een shopping site skimmer op hun website actief was, die creditcardgegevens van klanten onderschept.
SIDN ontving zelf 60 Notice-and-Take-Down (NTD) verzoeken. Dit zijn meldingen over onrechtmatige of strafbare content op een website, waarbij het betrokken partijen niet lukt de content weg te halen. SIDN haalt de domeinnaam vervolgens uit de zone. De stichting heeft 26 van de 60 verzoeken toegewezen.
Bron: sidn.nl, vpngids.nl
Bekijk alle vormen en begrippen
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer actueel cybercrime nieuws
Ransomware – MKB
Gijzelsoftware, waarmee bestanden worden 'gekidnapt' totdat het slachtoffer betaalt, is een groeiend probleem voor Nederlandse bedrijven. Dat signaleren beveiligingsonderzoekers, verzekeraars en branche-organisatie MKB-Nederland.
Georgië getroffen door massale cyberaanval
De aanval heeft vele gevolgen voor het dagelijks leven in het land. Het is nog niet bekend wie er achter de aanval zit. Vanwege de omvang wordt gespeculeerd dat het om een aanval gaat met staatssteun. Volgens beveiligingsonderzoekers zijn veel sites in Georgië slecht beveiligd. In veel gevallen werden website home pagina's vervangen door een beeld van de voormalige president Michail Saakasjvili, en de titel "Ik kom terug". Saakashvili was president van het land tussen 2004 en 2013. Toen hij daarna de Oekraïense nationaliteit kreeg, verloor hij zijn Georgische paspoort. Saakashvili woont tegenwoordig in Nederland. Hij kreeg een verblijfsvergunning, omdat hij een Nederlandse vrouw heeft. De BBC schrijft dat ook websites van rechtbanken doelwit waren van de aanval en dat kwaadwillenden het op persoonlijke informatie hadden gemunt. Daarbij is niet bekend hoeveel websites er nog steeds offline zijn en of de aanval daadwerkelijk informatie heeft buitgemaakt.
Nieuwsbrief 77 (week 43-2019) #CCINL | www.cybercrimeinfo.nl
#CCINL | "Samen voor veiligheid”
PSV-cybercrime Phishing Smishing Vishing overzicht week 43-2019
Phishing, Smishing is het vissen (hengelen) naar inloggegevens en persoonsgegevens van gebruikers. Dit gebeurt via (massaal verzonden) e-mails of SMS'jes, online handelsplaatsen of berichten op social media. Daarin wordt gevraagd in te loggen op een website die sprekend lijkt op die van bijvoorbeeld een bank of een nepsite. Als u inlogt, worden uw inloggegevens meteen doorgestuurd naar de fraudeur.
Datalek overzicht week 43-2019
Bij een 'datalek' gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens bij een organisatie. Of om vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens en verlies van (toegang tot) persoonsgegevens.
Geen erecode op het Darkweb
Het Darkweb, Bitcoin en Rusland. Samen vormen ze een gevaarlijke cocktail van cybercriminaliteit die vandaag heerst op het darkweb. ‘We zitten in een situatie dat de 'black hats' en de 'bad guys' het tegen elkaar opnemen’, zo klinkt het.
CEO Fraude 269 procent vaker waargenomen dan bij de voorgaande kwartaalmeting
CEO-fraude ook wel, Business Email Compromise (BEC)-aanvallen genoemd, zijn sterk in opkomst. Deze aanvalsmethode, ook wel bekend als impersonatieaanvallen via e-mail, werd maar liefst 269 procent vaker waargenomen dan bij de voorgaande kwartaalmeting.
Waarschuwing FBI voor Fomjacking
De FBI waarschuwt de MKB bedrijven met een webshop voor formjacking. Bij formjacking wordt kwaadaardige code aan een website toegevoegd die creditcardgegevens en persoonlijke informatie van klanten steelt. Om de kwaadaardige code op de betaalpagina van webwinkels te krijgen maken cybercriminelen onder andere gebruik van third-party code die op een webwinkel draait. In andere gevallen wordt de webwinkel direct gecompromitteerd, waarna de kwaadaardige code aan de betaalpagina wordt toegevoegd. Dit gebeurt onder andere door standaardwachtwoorden, bruteforce-aanvallen en kwetsbaarheden in de webwinkelsoftware.
Cybercrime schade in Belgie tussen de 3,7 tot 4,5 miljard euro per jaar
Cybersecurity onderzoekers en de politie in Belgie roepen het al een tijdje in koor, in sneltempo is de misdaad van de gewone naar de online wereld aan het verschuiven. Cybercriminelen gaan bovendien steeds gesofisticeerder te werk en zijn ongrijpbaarder dan ooit. En ze hebben het niet meer alleen op u en mij gemunt.
MKB nieuwe prooi Cybercriminelen?
Steeds meer MKB'ers gebruiken de cloud, maar dat maakt ze juist kwetsbaar voor hackers. Afzonderlijk zijn de MKB-bedrijven niet interessant, maar in de cloud valt er ineens meer te halen, omdat de bedrijven daar vaak gebundeld te vinden zijn.
Nieuwsbrief 76 (week 42-2019) #CCINL | www.cybercrimeinfo.nl
#CCINL | "Samen voor veiligheid”
PSV-cybercrime Phishing Smishing Vishing overzicht week 42-2019
Phishing, Smishing is het vissen (hengelen) naar inloggegevens en persoonsgegevens van gebruikers. Dit gebeurt via (massaal verzonden) e-mails of SMS'jes, online handelsplaatsen of berichten op social media. Daarin wordt gevraagd in te loggen op een website die sprekend lijkt op die van bijvoorbeeld een bank of een nepsite. Als u inlogt, worden uw inloggegevens meteen doorgestuurd naar de fraudeur.