image

SIDN lanceert bewakingsservice voor domeinnamen

maandag 20 april 2015, 13:15 door Redactie, 35 reacties

De Stichting Internet Domeinregistratie Nederland (SIDN), verantwoordelijk voor de uitgifte van .nl-domeinnamen, heeft een dienst gelanceerd die bedrijven waarschuwt voor domeinnaamregistraties die sterk lijken op bijvoorbeeld hun merknaam. Op deze manier kunnen organisaties hun merknaam beschermen en gerichte phishingactiviteiten voorkomen.

De Domeinnaambewakingsservice (DBS) werd vorig jaar al gelanceerd, maar is nu uitgebreid zodat meer bedrijven er gebruik van kunnen maken. De groep bedrijven die al werkte zijn vooral bekende merken, zoals banken en grote webwinkels, voor wie de bescherming van hun .nl-domein belangrijk is. Volgens de SIDN zijn het vaak ook zelf registrars. "Voor de meeste andere bedrijven is het belang iets minder groot. Toch kunnen ook zij schade lijden door bijvoorbeeld merkinbreuk en phishing."

Voor deze bedrijven ontwikkelde SIDN "DBS Feed". Gebruikers loggen niet in, maar worden door hun registrars op de hoogte gebracht via e-mail. DBS Feed wordt aan registrars aangeboden als xml-applicatie waarmee hun programmeurs zelf aan de slag kunnen. Registrars kunnen de informatie geautomatiseerd ophalen uit DBS, eventueel met eigen data verrijken en aan bedrijven aanbieden.

Typosquatting

Bekende merken hebben namelijk vaak te maken met domeinnaamregistraties die lijken op hun merknaam, zo stelt de SIDN. Een voorbeeld hiervan is typosquatting: waarbij verkeerd gespelde varianten van de merkdomeinnaam worden geregistreerd. Zodra internetgebruikers een typefout in het adres maken komen ze op deze varianten uit. DBS is in staat om deze registraties te detecteren en maakt daarbij gebruik van een algoritme om niet alleen simpele afwijkingen te detecteren, maar ook complexere waarbij meerdere letters afwijken.

Verder waarschuwt de SIDN dat het regelmatig voorkomt dat er ook tijdelijke websites worden gemaakt, die een kopie zijn van een betrouwbare website of webwinkel, maar in de praktijk slechts worden ingezet om persoons- of betalingsgegevens te onderscheppen. Volgens SIDN is snelheid belangrijk bij de detectie van dit soort websites. "Het komt regelmatig voor dat een phishingsite of een site met nepproducten bijvoorbeeld op vrijdag online is en op maandag alweer is verdwenen. In die tijd kan er veel schade zijn aangericht. Snelheid is in zo’n geval essentieel."

Reacties (35)
20-04-2015, 14:01 door Anoniem
De indruk bestaat dat het hier primair om extra geld verdienden gaat.
Nergens tarieven zichtbaar.

Helaas missen zowel SIDN als communicatierijk.nl - en vele andere grotere organisaties - de mogelijkheid anoniem suggesties te doen.
Daarmee lopen zij de kans mis om relevante tips te krijgen en in het geval van SIDN op extra omzet.

Beter zou het geweest zijn veiligheid primair voor iedereen gratis beschikbaar te stellen en de mogelijkheid te creëren tips online anoniem door te geven.
Kennelijk allemaal niet belangrijk en niet in het eigen belang.
20-04-2015, 14:54 door Anoniem
Wanneer gaat SIDN eens werk maken van de bescherming tegen phishers die zomaar phishing domeinen registreren? Die kunnen (vaak in het weekend) aan bank phishing doen zonder dat de SIDN er iets aan doet. Daarbij komt dat SIDN in het weekend geen werkende abuse desk heeft.

Niet dat dat wat uitmaakt, want op maandag gebeurt er ook niets met een abuse klacht.
20-04-2015, 15:13 door Anoniem
Waarom zou je anoniem een suggestie willen doen? Als dat echt zo belangrijk is kun je toch altijd een @gmail account aanmaken met een alias en zo je suggesties insturen? Dan heb je meteen een mogelijkheid om feedback te krijgen.
20-04-2015, 15:41 door Anoniem
Door Anoniem: Waarom zou je anoniem een suggestie willen doen? Als dat echt zo belangrijk is kun je toch altijd een @gmail account aanmaken met een alias en zo je suggesties insturen?
Omdraai vragen van iemand die van sommige dingen weinig heeft begrepen.
20-04-2015, 16:11 door Anoniem
Door Anoniem:
Door Anoniem: Waarom zou je anoniem een suggestie willen doen? Als dat echt zo belangrijk is kun je toch altijd een @gmail account aanmaken met een alias en zo je suggesties insturen?
Omdraai vragen van iemand die van sommige dingen weinig heeft begrepen.

"enlighten me then"

Volgens mij is het indienen van suggesties bij een organisatie nooit een probleem. Sterker nog: liever niet anoniem aangezien je dan ooit feedback kunt krijgen over je suggestie. Als er toch een prangende reden is om dat anoniem te doen (bvb omdat je bepaalde zakelijke belangen hebt en bang bent iemand op de tenen te gaan staan) lijkt mij een anonieme mailbox de gewenste weg. Of ben je van de 'als ik het over de schutting gooi en nooit meer wat van hoor gaat het vast goed komen' methodiek?

Ik laat me graag met inhoudelijke informatie (of feiten) van het tegendeel overtuigen, simpele reacties zoals hierboven roepen bij mij echter een 'hakken in het zand' reactie op..
21-04-2015, 02:06 door Anoniem
Volgens mij is het indienen van suggesties bij een organisatie nooit een probleem.

SIDN geeft nergens antwoord op. Dat is blijkbaar de standaard procedure. Misschien moet je iets meer weten van het onderwerp voor je reageert met boude stellingen.
21-04-2015, 08:52 door Anoniem
Door Anoniem
SIDN geeft nergens antwoord op. Dat is blijkbaar de standaard procedure. Misschien moet je iets meer weten van het onderwerp voor je reageert met boude stellingen.

Ik heb toch andere ervaringen.. maar chapeau voor de subtiele overgang van 'ik wil een optie om anoniem suggesties in te dienen' naar 'ze geven nergens antwoord op'!

Het kan aan mij liggen, maar dan heeft een optie om anoniem suggesties in te dienen ook weinig nut :)

#On topic:##
Op zich lijkt mij de procedure redelijk simpel: bij het zien van phishing sites is het kanaal in eerste instantie registrant / registrar. Alleen als men daar gehoor weigert te geven kan SIDN het als case oppakken. Of zou je liever zien dat SIDN zonder tussenkomst van de registrars domeinnamen mag disablen? Gezien hun rol/positie lijkt me dat niet wenselijk.

Wellicht rammel je dus aan de verkeerde deur zodra je een phishing site tegenkomt.

Wat betreft het vrij toegankelijk maken van informatie zoals in DBS:
Als je de beschrijving leest stelt het je in staat om registraties van domeinnamen te monitoren op basis van woorden. Een korte zoektocht op internet laat al zien dat ze ook typo's/afwijkingen rapporteren met een in te stellen delta. Ook registraties die het woord bevatten worden apart gerapporteerd.
Dus: AAA tracken levert hits op op aaa.nl, aba.nl en aaa-bedrijf.nl.

Nou ben ik schijnbaar (in jouw ogen) niet zo heel erg kritisch. Maar ik kan me toch een paar use-cases voorstellen waarbij het ongewenst is om dit openbaar te maken. Denk aan een pepsi die alle domeinregistraties van coca wil monitoren. Laat dat maar lekker achter een hoge muur zitten, met een gevalideerde registratie.

(in afwachting van je volgende dooddoener ;))
21-04-2015, 09:19 door Anoniem
Door Anoniem:
Volgens mij is het indienen van suggesties bij een organisatie nooit een probleem.

SIDN geeft nergens antwoord op. Dat is blijkbaar de standaard procedure. Misschien moet je iets meer weten van het onderwerp voor je reageert met boude stellingen.

Dat klopt helemaal, maar dat is toch helemaal niet het onderwerp?
Die man die wil gewoon fijn zijn "beste stuurman staan aan wal" kreten naar dat bedrijf kunnen sturen en dat kan ie niet.
En nou is ie gepikeerd. Mag toch? Er zitten wel hopelozere gevallen hier op het forum.

Of er ook iets met die suggesties gedaan wordt dat is een heel ander onderwerp. Er zijn zat bedrijven waar je keurig
suggesties kunt doen en keurig een "bedankt voor uw suggestie maar we hebben verkozen om er niets mee te doen"
antwoord krijgt. Dat is blijkbaar waar hij biij van wordt, en wat hij ook bij SIDN wil zien.
21-04-2015, 09:21 door [Account Verwijderd]
[Verwijderd]
21-04-2015, 14:32 door Anoniem
Ik was niet degene die daar mee kwam maar ik heb wel dezelfde ervaring.

Toen er een incident was waarbij de DNS van een grote hoster was gemanipuleerd door (ik geloof via social engineering)
achter het wachtwoord van die hoster op de inlog bij SIDN te komen heb ik daar in vriendelijke bewoordingen de
vraag gesteld of men een user/pass wel een verantwoorde beveiliging voor zo iets belangrijlks vond en of daar geen 2nd
factor bij zou kunnen en daarop heb ik ook nooit wat terug gehoord.

Het viel me toen op dat de teneur in de berichtgeving was "provider gehacked" terwijl het eigenlijk toch het tekortschieten
van de beveiliging bij SIDN was.
21-04-2015, 17:55 door Anoniem
@Vandaag, 08:52 door Anoniem

Anoniem zijn is moeilijk. Je neemt voetstoots aan dat de reactie "Vandaag, 02:06 door Anoniem" dezelfde is als "Gisteren, 14:01 door Anoniem". Dat is niet zo. Ik tel in deze draad minimaal 3 mensen met negatieve ervaringen met SIDN abuse handling.

Was getekend,
"Vandaag, 02:06 door Anoniem" :)

@mdav (1 geplaatste reacties)

Hoi nieuweling,

Als jij van SIDN bent (kans is aanwezig, dit is je eerste posting): ik kan je van harte aanbevelen een werkende abuse desk op te zetten. Als er iemand vraagt om het verwijderen van een duidelijk phishing domein voor internetbankieren, dan kun je het beste zorgen dat die site direct niet meer bereikbaar is: verwijderen uit de zone. Abusemelding niet negeren, niet geen antwoord geven, en niet er van uitgaan dat iemand anders het wel oplost.
21-04-2015, 20:40 door Anoniem
Door Anoniem: @Vandaag, 08:52 door Anoniem

Anoniem zijn is moeilijk. Je neemt voetstoots aan dat de reactie "Vandaag, 02:06 door Anoniem" dezelfde is als "Gisteren, 14:01 door Anoniem". Dat is niet zo. Ik tel in deze draad minimaal 3 mensen met negatieve ervaringen met SIDN abuse handling.


(anoniem 08:52 -> Tja.. anoniem zijn is inderdaad lastig.. maar een account aanmaken is ook weer zoiets :P)
wat betreft de berichten: Zelfde tone of voice en redenatiewijze.. dus ik ging er inderdaad van uit dat het 1 persoon was (met een 2e anoniemer die tussendoor wat riep)

Anyway: Volgens mij zijn die abuseprocessen toch echt wel helder hoor, eerst via de registrar en pas als die weigert gehoor te geven naar SIDN. Het lastige met dit soort processen lijkt me de grens trekken, voordat een partij als SIDN lukraak domeinen uit de zone plukt zullen ze daarover eerst afspraken moeten maken met de registrars.

Plus: als je een "duidelijke" phish uit de lucht trekt zonder langs de registrar te gaan kun je van alles mee down halen. Vooral als men de phish in een bestaand domein onderbrengt kan dat onbedoelde neveneffecten hebben.
22-04-2015, 05:27 door Anoniem


Anyway: Volgens mij zijn die abuseprocessen toch echt wel helder hoor, eerst via de registrar en pas als die weigert gehoor te geven naar SIDN. Het lastige met dit soort processen lijkt me de grens trekken, voordat een partij als SIDN lukraak domeinen uit de zone plukt zullen ze daarover eerst afspraken moeten maken met de registrars.

Plus: als je een "duidelijke" phish uit de lucht trekt zonder langs de registrar te gaan kun je van alles mee down halen. Vooral als men de phish in een bestaand domein onderbrengt kan dat onbedoelde neveneffecten hebben.

Nee, er zijn geen neveneffecten. Het gaat hier over nieuwe door phishers geregistreerde domeinen, niet over gehackte sites.

Zoals gezegt: SIDN reageert niet op abusemeldingen. Misschien moeten we eens op zoek naar een wel werkend alternatief voor deze club. De houding van de mensen die er nu zitten is maatschappelijk niet aanvaardbaar.
22-04-2015, 09:47 door Anoniem
Door Anoniem:

Zoals gezegt: SIDN reageert niet op abusemeldingen. Misschien moeten we eens op zoek naar een wel werkend alternatief voor deze club. De houding van de mensen die er nu zitten is maatschappelijk niet aanvaardbaar.

Het proces is registrar, daarna pas SIDN. Als je alleen op het laatste zinnetje van mijn post gaat reageren zal het een lastig gesprek worden :)
22-04-2015, 11:37 door [Account Verwijderd] - Bijgewerkt: 22-04-2015, 11:52
[Verwijderd]
22-04-2015, 11:46 door [Account Verwijderd] - Bijgewerkt: 22-04-2015, 11:52
[Verwijderd]
22-04-2015, 12:00 door [Account Verwijderd] - Bijgewerkt: 22-04-2015, 12:10
[Verwijderd]
22-04-2015, 12:13 door Anoniem
Door mdav:
Het viel me toen op dat de teneur in de berichtgeving was "provider gehacked" terwijl het eigenlijk toch het tekortschieten van de beveiliging bij SIDN was.

Kun je over twisten. Feit is dat binnen SIDN nu hard gewerkt wordt aan de introductie van 2F (waar voor registrars best uitdagingen door ontstaan, dus dat moest wel eerst goed worden uitgewerkt met ze).

Als je zelf verantwoordelijk bent dan kan er over getwist worden, maar als het ergens anders ligt dan niet.
Kijk hoe het gaat bij de banken. Die hebben zelf hun systeem wel goed voor elkaar maar klanten worden slachtoffer
van inbraken in hun eigen systeem en social engineering. Het is gebruikelijk om dat probleem bij de banken neer te
leggen. Maar nu SIDN zo iets heeft dan "kun je er over twisten". Ik ben het daar dus niet mee eens, het openstellen
van dergelijke belangrijke systemen via alleen maar user/pass dat is slecht, daar valt niet over te twisten.

Dat er nu pas hard gewerkt wordt dat is ook al een teken aan de wand, daar had al hard aan gewerkt moeten worden
toen ze dat soort opties voor toegang opzetten. Maar ik weet het, dat is niet hip. Alles moet online en naar de veiligheid
kijken we later wel. Dan gaan we hard (en duur) werken. Eerst maar eens scoren.

Nee, zo werkt het dus niet. Dit had best veilig opgezet kunnen worden, en het is een FAAL dat dat niet gedaan is
en later de specs weer veranderd moeten worden waardoor het ineens een hele klus is.
En het is ook een FAAL dat daar niet over gecommuniceerd wordt maar dat het gewoon stil blijft.
22-04-2015, 16:28 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Waarom zou je anoniem een suggestie willen doen? Als dat echt zo belangrijk is kun je toch altijd een @gmail account aanmaken met een alias en zo je suggesties insturen?
Omdraai vragen van iemand die van sommige dingen weinig heeft begrepen.

"enlighten me then"

Wat is er op tegen ergens op een website een anoniem feedback veld te implementeren?

De enige echte garantie om als boodschapper niet juridisch beschoten te worden is anoniem te kunnen melden.
Het is naief te veronderstellen dat de opgeworpen drempels tegen anoniem melden geen achterliggende reden hebben. Het belang de identiteit van de melder te kunnen achterhalen lijkt onverholen hoger dan de wil gemelde problemen op te lossen. Het stilhouden van lekken is immers veel goedkoper dan er wat aan te doen. Dreigende disclosure voorwaarden tegen openbaring helpen daarbij.

Genoeg security bewuste mensen die wel wat beters te doen hebben dan voor alles een apart mailaccount aan te maken en met de kans op van alles en nog wat daarna.
Over het gebruik van gmail in bepaalde contexten is al genoeg gezegd op deze website.
Snap je dat nog steeds niet dan is dat jammer voor jou en alle organisaties waaronder sidn die liever geen concrete feedback willen. Resultaat is minder meldingen.
Uiteindelijk hebben de eindgebruikers en de melders het nakijken en de grote vraag is wie dat nou eigenlijk werkelijk echt wel of niet interesseert.

Mochten sidn, banken, overheid inderdaad meelezen dan zijn zij bij deze alsnog uitgenodigd om gegarandeerde anonimiteit te faciliteren en kunnen zij ervan verzekerd zijn per omgaande op dit onderwerp interessante feedback te ontvangen over hun websites in relatie tot beheerde domeinen.

eerste anoniem derde reactie
22-04-2015, 19:46 door Anoniem

Mochten sidn, banken, overheid inderdaad meelezen dan zijn zij bij deze alsnog uitgenodigd om gegarandeerde anonimiteit te faciliteren en kunnen zij ervan verzekerd zijn per omgaande op dit onderwerp interessante feedback te ontvangen over hun websites in relatie tot beheerde domeinen.

Stomme vraag misschien, maar is het een idee om ergens op een printer die niet van jou is een brief te printen en die per post naar het bedrijf in kwestie te sturen? Dat is toch anoniem genoeg? En ook nog eens heel praktisch en makkelijk.
22-04-2015, 20:00 door [Account Verwijderd] - Bijgewerkt: 22-04-2015, 20:14
[Verwijderd]
22-04-2015, 20:16 door Denan

De enige echte garantie om als boodschapper niet juridisch beschoten te worden is anoniem te kunnen melden.
Het is naief te veronderstellen dat de opgeworpen drempels tegen anoniem melden geen achterliggende reden hebben. Het belang de identiteit van de melder te kunnen achterhalen lijkt onverholen hoger dan de wil gemelde problemen op te lossen. Het stilhouden van lekken is immers veel goedkoper dan er wat aan te doen. Dreigende disclosure voorwaarden tegen openbaring helpen daarbij.

Volgens mij heeft SIDN niet een dergelijke insteek. Maar maak het eens concreet, wat zou je precies willen? Alleen een invulveldje ergens waar je tekst kunt invoeren met een "post" knop eronder? Persoonlijk zou ik het prettiger vinden om jullie gegevens erbij te hebben voor het geval de suggestie of feedback niet helder is.. of als we extra vragen zouden hebben.

Een ander belangrijk punt: SIDN kan niet zomaar processen om gaan gooien of zaken aanpassen zonder overleg met de registrars. Die zijn namelijk in grote mate afhankelijk van de werkprocessen van SIDN. Als jullie een goede suggestie inschieten en er gebeurt niets, wil dat niet zeggen dat er onder water niet allemaal processen in gang zijn gezet om iets met die suggestie te doen.

Daarbij is het ook belangrijk dat zulke veldjes niet @random gebruikt worden om abuse meldingen te spuien. Dat zie je nu af en toe ook gebeuren bij newsposts op de SIDN website; bergen opmerkingen over vage domeinen of registraties, terwijl SIDN in principe niet de contactpartij daarvoor is.

https://www.sidn.nl/a/nl-domeinnaam/klacht-over-inhoud-website

escalatie/contact volgorde klacht domeinnaam:
1:de aanbieder van de content (tekst of beeld)
2:de aanbieder van de website (domeinnaamhouder)
3:de hoster van de website
4:de aanbieder van de internettoegang (registrar)
5:SIDN (registry)

Daar kun je het niet mee eens zijn en vinden dat SIDN een domein "zomaar" uit de zone mag halen, maar daar hebben de eigenaren/hosters/Registrars vast een andere mening over.
22-04-2015, 22:52 door Anoniem
@Denan

Werk je ook bij SIDN? Het wordt hier ineens druk met mensen die anders geen woord zeggen.

SIDN faalt enorm door niet te reageren op abusemeldingen en door geen gepaste actie te nemen.

Een procedure met 5 stappen die langer duurt dan 15 minutes is niet werkbaar. Het gaat hier om het beperken van de schade die banken en gebruikers lijden. Je moet het niet moeilijker maken dan het is.

Doelbewust geregistreerde phishing domeinen horen niet te worden geserveerd en SIDN dient zich maatschappelijk te verantwoorden als ze meent daar geen effectieve actie op te hoeven ondernemen.
23-04-2015, 08:44 door [Account Verwijderd] - Bijgewerkt: 23-04-2015, 09:11
[Verwijderd]
23-04-2015, 14:48 door Anoniem
@mdav

Ik begrijp dat je je hier probeert te verantwoorden, en dan is het goed mensen die abuse melden te negeren en daarna te beschuldigen van vooringenomenheid.

Je probeert je eronderuit te praten, maar de meeste gevallen van doelbewust geregistreerde domeinen voor Nederlandstalige phishing zijn duidelijke phishing domeinen zoals "iban-registeren.nl" (fictief voorbeeld, een paar dagen oud, met valse whois gegevens, actief misbruikt, geen twijfel mogelijk).

Iedereen weet dat phishers ook gehackte sites/name servers gebruiken, maar daar gaat dit niet over. Het is dan ook geen argument om niets te doen aan de gevallen waar je wel actie kan ondernemen.
23-04-2015, 16:38 door [Account Verwijderd]
[Verwijderd]
24-04-2015, 10:46 door [Account Verwijderd]
[Verwijderd]
24-04-2015, 11:20 door [Account Verwijderd]
[Verwijderd]
24-04-2015, 12:38 door [Account Verwijderd] - Bijgewerkt: 24-04-2015, 12:48
[Verwijderd]
24-04-2015, 13:36 door [Account Verwijderd] - Bijgewerkt: 24-04-2015, 14:12
[Verwijderd]
24-04-2015, 14:08 door [Account Verwijderd] - Bijgewerkt: 24-04-2015, 14:22
[Verwijderd]
24-04-2015, 14:26 door [Account Verwijderd] - Bijgewerkt: 24-04-2015, 14:27
[Verwijderd]
24-04-2015, 14:38 door [Account Verwijderd] - Bijgewerkt: 24-04-2015, 14:44
[Verwijderd]
24-04-2015, 15:43 door [Account Verwijderd] - Bijgewerkt: 24-04-2015, 15:46
[Verwijderd]
24-04-2015, 16:16 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.