SIDN sprak over deze trend en de rol van de domeinnaamindustrie met Greg Aaron, een autoriteit op het gebied van cybersecurity en domeinnaammisbruik. Greg is Senior Research Fellow bij APWG, president van adviesbureau Illumintel Inc. en lid van de Security and Stability Advisory Committee (SSAC) van ICANN.
Het aantal phishingpogingen in 2021 heeft al verschillende records gebroken. Alleen al in juni werden er maar liefst 250.000 pogingen gesignaleerd. Hoeveel zorgen moeten we ons hier als sector over maken?
“Dit soort verschijnselen gaan vaak in een golfbeweging. Wat we in 2020 zagen, was dat er veel meer melding werd gemaakt van phishing en dat is daarna op dat relatief hoge niveau gebleven. Ik was betrokken bij een afzonderlijk onderzoek door Interisle Consulting waarbij gebruik werd gemaakt van een omvangrijke dataset en wat we daar zagen was dat over een tijdsbestek van een jaar de hoeveelheid phishing met ongeveer 70 procent leek te stijgen. Phishing nam in 2020 toe en is sindsdien op dat niveau gebleven. Zoals ik het bekijk, zou het daar niet blijven als het niet effectief was. Wat phishing en cybercriminaliteit aantrekkelijk maakt, is dat de daders meestal niet in dezelfde gemeenschap wonen als de slachtoffers. Vanuit het oogpunt van een crimineel is het dus moeilijker om gepakt te worden.”
Het stijgende aantal pogingen is des te zorgelijker omdat de gemiddelde uptime van phishingwebsites in veel gebieden is gedaald, ook in Nederland. Betekent dit dat de tegenmaatregelen een wapenwedloop tussen phishers en beveiligingsprofessionals aanwakkeren? Met steeds meer sites die steeds sneller uit de lucht worden gehaald?
“Die wapenwedloop is er altijd geweest. Een phishingaanval is het meest effectief in de eerste zeven of acht uur nadat een site opduikt en onder de aandacht van mensen wordt gebracht. Onderzoek door Google en PayPal heeft dat aangetoond. De verminderde uptime heeft dus een relatief lage impact op de winstgevendheid, omdat de meeste inkomsten uit phishing worden gegenereerd in de eerste acht uur. En omdat de uptime van een site vaak wordt gemeten vanaf het moment dat de site wordt gedetecteerd, geven de officiële cijfers niet altijd een adequaat beeld van de werkelijke uptime en aangerichte schade. Dus zelfs als we ons werk als beveiligers goed doen, is het nog niet goed genoeg omdat cybercriminelen steeds meer sites lanceren. Wat ze niet zouden doen als het niet lucratief was.”
Hoe heb je de rol van de domeinnaamindustrie – en daarmee bedoel ik met name registry’s en registrars – de afgelopen jaren zien ontwikkelen als het gaat om phishing?
“De meeste domeinnamen die gebruikt worden voor phishing, worden kwaadwillig geregistreerd. In sommige gevallen kan een phisher inbreken in het hostingaccount van iemand anders en een phishingpagina op de website van een onschuldige partij plaatsen. En dan zijn de eigenaar en de provider van het domein gecompromitteerd en treft hen geen blaam. Maar in de meeste gevallen registreert een phisher zelf een aantal domeinnamen. Uit het COMAR-project, waarvoor SIDN Labs heel goed werk heeft verricht, kwam naar voren dat 60 procent van de domeinnamen die voor phishing werden gebruikt, kwaadwillige registraties waren.
Registry’s en registrars kunnen deze kwaadwillig geregistreerde domeinen afsluiten zonder nevenschade te veroorzaken of onschuldige partijen overlast te bezorgen. Ik ben dat in 2007 bij een domeinnaamregistry gaan doen, zonder ’false positives’, en het is een effectieve en praktische werkwijze. Sommige registry’s, zoals SIDN en Nominet, zijn in dat opzicht vooruitstrevend bezig, maar over het algemeen wordt er binnen de industrie geen haast gemaakt om effectief en uniform op te treden. Phishers kunnen nog steeds ongestraft grote aantallen kwaadaardige domeinen registreren.”
Lees het complete interview op de website van SIDN.
