Het DNS Abuse Institute, in 2021 opgericht door PIR, de organisatie achter het .org-domein, publiceert sinds vorig jaar statistieken over malafide gebruik van het Domain Name System (DNS) en domeinnamen in een maandelijkse DNS-abuserapportage. Deze maand publiceerde het instituut voor het eerst statistieken per domeinnaamextensie. Goed nieuws voor .nl: met 0,4 malafide domeinnaam per 100.000 domeinnamen scoort ons nationale internetdomein beter dan welk ander groot landendomein dan ook. Het rapport, mede opgesteld door Maciej Korczynski van Grenoble Alps University en samenwerkingspartner van SIDN Labs, is om meerdere redenen lezenswaardig.
DNS Abuse Institute
Het DNS Abuse Institute (DNSAI) is in 2021 opgericht door Public Interest Registry (PIR), de beheerder van onder meer het .org-domein. Het instituut heeft geen winstoogmerk en heeft tot doel misbruik van het DNS te onderzoeken om het systeem weerbaarder te kunnen maken tegen abuse. Maandelijks publiceert DNSAI het DNSAI Compass om DNS-misbruik wereldwijd te meten. Onder DNS-misbruik wordt hier verstaan: het gebruik van DNS en domeinnamen voor malware, botnets, phishing, pharming en spam.
Methodiek
Het rapport focust binnen DNS-abuse op bewust malafide registraties van domeinnamen met als doel deze te gebruiken voor phishing en malwaredistributie. De onderzoekers maken een lijst van dit soort domeinnamen, registrars en domeinnaamextensies bestaande lijsten van anti-phishingpartijen te combineren. Het resultaat is een wereldwijd overzicht van phishing en malwaredistributie. De onderzoekers kunnen niet uitsluiten dat er zich vals positieven in de bronnen bevinden.
Resultaat .nl
Voor .nl is het onderzoek zonder meer positief. In de lijst van grote landendomeinen scoort het domein het laagste van allemaal als het gaat om bewust malafide registraties voor malware en phishing. De onderzoekers vinden er over de periode oktober – maart, gemiddeld niet meer dan 1 per 250.000 domeinnamen per maand. Daarmee blijft .nl de domeinen van Canada en België nipt voor. Ter vergelijking: in de landendomeinen met het meeste misbruik vonden de onderzoekers 1 tot 5 malafide domeinnamen per 10.000 domeinnamen.
Tabel 1: best scorende landendomeinen in DNSAI-rapportage op basis van bewust malafide registraties voor phishing en malwaredistributie per maand (Bron: DNSAI Compass juni 2023).
| Positie | TLD | Aantal malafide registraties per 100.000 domeinnamen | Totaal aantal domeinnamen onder TLD |
|---|---|---|---|
| 1 | .nl | 0,40 | 6.019.363 |
| 2 | .ca | 0,46 | 3.247.883 |
| 3 | .be | 0,48 | 1.658.288 |
| 4 | .de | 0,52 | 16.489.946 |
| 5 | .es | 0,66 | 1.984.381 |
| 6 | .jp | 0,66 | 1.657.441 |
| 7 | .kr | 0,69 | 1.009.679 |
| 8 | .uk | 0,76 | 10.506.877 |
| 9 | .it | 0,79 | 3.158.357 |
| 10 | .ga | 0,79 | 8.944.624 |
Investeringen in veiliger DNS betalen zich uit
De hoge score voor .nl is geen verrassing. Ook in eerdere studies van onder meer McAfee, Scamadviser en de Anti Phishing Working Group (APWG), scoorde .nl goed. Samen met de .nl-registrars investeren we veel in het verbeteren van de veiligheid van het DNS. Ook zijn er procesmatige verbeteringen doorgevoerd om malafide registraties sneller te identificeren. SIDN Labs loopt voorop in onderzoek naar DNS-abuse. Cristian Hesselman, directeur van SIDN Labs hierover: “Het bestrijden van misbruik met domeinnamen is en blijft een kat-en-muisspel. Je hebt er niet alleen telkens nieuwe detectietechnieken zoals RegCheck voor nodig, maar juist ook een nauwe samenwerking tussen partijen in het .nl-ecosysteem zoals SIDN, .nl-registrars, NCSC en universiteiten. Het DNSAI-rapport bevestigt dat we daar als .nl-community goed in slagen en dat we een veilige infrastructuur bieden voor Nederland en het hele internet”.
Onveilige domeinen en registrars vooral elders
Op domeinniveau zijn de onveiligste domeinen vooral enkele nieuwe generieke extensies en landendomeinen van kleine landen die hun TLD openstellen voor gebruik buiten het land zelf. De meest onveilige registrars zitten in Rusland en landen in Azië. De onderzoekers hebben er echter voor gekozen terughoudend te zijn in het publiceren van de namen, omdat er tussen de metingen in verschillende maanden vaak erg veel verandert en ze willen voorkomen een partij of domein op basis van een meting schade te berokkenen. Het is dus niet uit te sluiten dat er Nederlandse partijen in de metingen voorkomen.
