Checkjelinkje heeft zich in haar onderzoek specifiek gefocust op domeinnamen die hoogstwaarschijnlijk door cybercriminelen zelf zijn geregistreerd en werden gebruikt voor phishing. Domeinnamen die voor meerdere doeleinden worden gebruikt, legitieme sites die met malware besmet zijn, of domeinen waarvan het gebruik voor phishing niet met zekerheid kon worden vastgesteld, zijn niet meegenomen in de analyse.

De analyse van 3.500 specifieke domeinnamen toont aan dat cybercriminelen steeds sneller handelen. Waar in het derde kwartaal van 2023 de gemiddelde tijd tussen registratie en misbruik nog 13 dagen was, is dat nu verminderd naar 12 dagen. De mediaan is in diezelfde periode zelfs gedaald van 8 dagen naar 7.

 

Binnen 48 uur actief

Een bijzonder zorgwekkende trend is de toename van het percentage malafide domeinnamen dat razendsnel, namelijk binnen 48 uur na registratie, wordt gebruikt voor phishingaanvallen. In het derde kwartaal van 2023 lag dat percentage nog op 13%, maar is inmiddels gestegen naar 19%.

Deze versnelde inzet van nieuwe domeinnamen voor phishingcampagnes vormt een groeiend probleem. Het verkort namelijk de tijd waarbinnen beveiligingsteams kunnen reageren om dergelijke phishingsites te identificeren en offline te halen, waardoor het risico toeneemt dat onschuldige internetgebruikers slachtoffer worden.

 

Een bijzonder zorgwekkende trend is de toename van het percentage malafide domeinnamen dat razendsnel, namelijk binnen 48 uur na registratie, wordt gebruikt voor phishingaanvallen.

 

Verschillende tactieken

De strategieën van cybercriminelen zijn divers. Sommigen registreren nieuwe domeinnamen die lijken op bekende organisaties en zetten deze direct in voor phishing. Anderen kiezen voor een subtielere aanpak door generieke domeinnamen te registreren en pas na een periode van inactiviteit subdomeinen voor phishingcampagnes te gebruiken. Daarnaast worden legitieme websites soms door malware gekaapt en misbruikt voor phishing. In de afgelopen periode nam dus met name het percentage domeinnamen dat snel werd ingezet, toe.


Checkjelinkje waarschuwt

Om gebruikers te beschermen tegen deze nieuwe trend, voerde Checkjelinkje een nieuwe waarschuwing in. Deze waarschuwing verschijnt wanneer een gebruiker een link checkt waarvan het domeinnaam kortgeleden is geregistreerd (in de afgelopen paar dagen).

Sinds medio januari werd deze waarschuwing voor een deel van de Checkjelinkje gebruikers actief. Uit verdere analyse blijkt dat deze waarschuwing in minder dan 1% van de checks onterecht werd getoond. Het is dus een betrouwbare indicator voor een mogelijk malafide website.

Voorbeeld van de waarschuwing in de linkchecker.

 

 

Tips om te checken of een website veilig is:

  • Let op de afzender: Wees alert op e-mails of berichten van onbekende afzenders.
  • Gebruik een linkchecker: Check de link met de Checkjelinkje linkchecker.
  • Gebruik je gezond verstand: Als iets te mooi lijkt om waar te zijn, is het dat waarschijnlijk ook.

 

Checkjelinkje heeft voor deze analyse 3.500 specifiek voor phishing gebruikte domeinnamen onderzocht, geselecteerd uit een dataset van 40.000 malafide websites uit de periode juli 2023 tot nu. De focus lag op domeinnamen die actief misbruikt werden en als kwaadaardig geverifieerd zijn, waarbij "legitieme" domeinnamen en domeinnamen die breed door verschillende partijen worden gebruikt, werden uitgesloten.

Door registratie- en eerste verschijningsdata in onze database te vergelijken, kon de snelheid van misbruik worden vastgesteld, met speciale aandacht voor de bescherming van gebruikersprivacy.

Om de privacy van gebruikers te beschermen, bewaren we niet altijd de volledige URL's na een check. We bewaren wel het domeinnaam, waardoor we konden bepalen wanneer een domeinnaam voor het eerst in onze database voorkwam.

De statistieken zijn met name relevant voor websites gericht op Nederlandse of Nederlandstalige gebruikers, hoewel er ook internationale phishingsites in de dataset waren.

Bij het onderzoeken van phishingaanvallen stuiten we vaak op zogenaamde "gedeelde domeinnamen". Dit zijn domeinnamen die in bezit zijn van legitieme organisaties, zoals hostingbedrijven, en worden aangeboden voor gebruik door hun klanten. Voorbeelden hiervan zijn domeinnamen die eindigen op ".cloudfront.net", ".amazonaws.com" of ".azurefrontdoor.net". Deze domeinen zijn legitiem en worden dagelijks gebruikt door een groot aantal legitieme bedrijven voor hun online diensten.

Het unieke aan deze gedeelde domeinnamen is dat, hoewel ze eigendom zijn van betrouwbare partijen, ze ook kunnen worden gebruikt door anderen, waaronder cybercriminelen, om hun eigen inhoud te hosten. Dit maakt het voor ons lastiger om te bepalen of een specifiek subdomein schadelijk is of niet, gebaseerd op de domeinnaam alleen.

De leeftijd van deze domeinnamen is ook minder relevant in onze analyse. Omdat het niet de cybercriminelen zijn die deze domeinnamen registreren, maar de hostingbedrijven, biedt de registratiedatum weinig inzicht in wanneer domeinnaam mogelijk voor kwaadaardige doeleinden is ingezet.