Phishingstrategieën binnen ccTLD’s (en hoe ze te bestrijden)

Hiervoor heeft SIDN Labs onlangs in samenwerking met collega-beheerders van het .be-domein (DNS Belgium) en het Ierse .ie-domein (registry .ie) onderzoek gedaan naar de kenmerken van phishingaanvallen die zijn waargenomen binnen drie Europese landendomeinen (ccTLD’s): .be, .ie en .nl (dat door SIDN wordt beheerd).

Hoewel de drie ccTLD’s uiteenlopende kenmerken hebben (bijvoorbeeld het aantal geregistreerde domeinnamen, registratiebeleid en aantal gesignaleerde phishingaanvallen), biedt de analyse interessante inzichten die voor alle drie de domeinen gelden (en waarschijnlijk ook van toepassing zullen zijn op de andere ccTLD’s).

Nieuw versus bestaand

Zo kan er onderscheid gemaakt worden tussen domeinnamen die specifiek voor phishing geregistreerd worden en bonafide domeinnamen die door hackers gecompromitteerd zijn. Er lijken twee strategieën te bestaan:

• Aanvallers die zich voordoen als nationale bedrijven geven er de voorkeur aan hun eigen domeinen te registreren en hosten, omdat ze dan domeinen kunnen kiezen die klinken als de legitieme domeinnaam, bijvoorbeeld bankpas-valideren.nl. Een dergelijke domeinnaam, met hetzelfde ccTLD als de originele domeinnaam van de bank, in de lokale taal (Nederlands voor Nederland), heeft meer kans om gebruikers met succes om de tuin te leiden dan wanneer deze gehost zou worden op een domein zoals flowershop.jp, dat een ander TLD heeft en geen bankgerelateerde zoektermen.

• Aanvallers die zich voordoen als internationale bedrijven hechten geen belang aan het topleveldomein. Zij geven er de voorkeur aan om de website van iemand anders te compromitteren om hun campagnes uit te voeren, omdat ze daar niet voor hoeven te betalen. Voor deze aanvallers maakt het niet uit of het domein flowershop.jp heet wanneer ze zich voordoen als een Zuid-Afrikaanse bank of een Amerikaanse kredietvereniging.

Daarnaast laat het onderzoek zien dat 20% van de phishingaanvallen nieuwe (kwaadwillig geregistreerde) domeinnamen gebruikt en zich op minder dan 5% van de bedrijven richt (dit zijn voornamelijk lokale bedrijven). Bij de grote meerderheid van de phishingaanvallen (80%) worden oude (waarschijnlijk gecompromitteerde) domeinnamen gebruikt en die richten zich op willekeurige, vaak internationale bedrijven.

Mitigatie

Mitigeren kan op twee niveaus: op DNS-niveau of op webniveau (of beide). Op DNS-niveau kan de voor phishing gebruikte domeinnaam worden verwijderd uit de naamruimte en uit het zonebestand. De domeinnaam kan ook buiten werking worden gesteld (suspended), waarbij hij wordt verwijderd (delisted) uit de DNS-zone, maar niet uit de naamruimte. Ten slotte is het mogelijk dat de domeinnaam in de zone en naamruimte gehandhaafd blijft, maar dat de autoritatieve DNS-servers (NS-records) ervan worden gewijzigd in een veilige server. Op webniveau kan de phishingcontent simpelweg van de website worden verwijderd of kan de content onbereikbaar worden gemaakt via de webserver.

De leeftijd van een domein heeft (onbedoeld) ook invloed op de manier waarop phishing wordt gemitigeerd. Het blijkt dat er bij oude, vaak gecompromitteerde domeinen weinig sprake van mitigatie op DNS-niveau is. Mitigatie vindt plaats op het niveau van webapplicaties en wordt afgehandeld door hostingproviders. Bij nieuw geregistreerde domeinen zien we een mengeling van mitigatie op DNS- en webniveau (afhankelijk van het ccTLD).

Wat niet verschilt: mitigatie van phishing is geen actie die door één enkele partij wordt uitgevoerd. Het is een gemeenschappelijke inspanning van registrars, registry’s, hostingproviders en webmasters, die onafhankelijk van elkaar maatregelen kunnen nemen om phishingaanvallen te mitigeren.

Op dit moment richt het merendeel van het onderzoek zich op de mitigatie van nieuw geregistreerde domeinen, terwijl oude, gecompromitteerde domeinen verantwoordelijk zijn voor 80% van de phishingaanvallen. Meer onderzoek naar gecompromitteerde domeinnamen is dan ook zeer gewenst.

Giovane Moura is Data Scientist bij SIDN Labs