Het is toch vreemd dat iedereen zomaar even 'nl-sidn.nl (of s1dn.nl) kan registreren en er meteen mee aan de slag kan zonder dat er ook maar enige goede controle is op wie het nou echt registreert.
Om met de controle van personen te beginnen: dat is net als met merkrechten een juridische kwestie voor als er iemand achteraf klachten heeft. Kan je als organisatie zeggen dat je je best hebt gedaan om een identiteit te controleren terwijl de crimineel een katvanger inzet of een gestolen reisdocument bij registratie gebruikt. En kom aub niet aanzetten met digid, dat is slechts authenticatie en zolang er maar genoeg geld te verdienen is weten criminelen die gegevens nog altijd door list en bedrog te krijgen en misbruiken.
En waarom je bijna alle domeinnamen kan registeren die je kan bedenken? Namen en merken zijn niets anders dan reeksen karakters die aan niemand toebehoren, tenzij je in een bepaald land woont en een berg geld hebt betaald om een reeks karakters te kunnen claimen voor een bepaald doel.
Domeinnamen daarop preventief tegenhouden is inderdaad niet te doen. En heeft ook geen zin. Een domeinnaam registreren is nog geen misdaad. En heel veel phishers nemen genoegen met (gekaapte) domeinnamen die niet van doen hebben met een merk of ze voorzien een gekaapt subdomeinen als hier.staat.een.heel.bekend.merk.waar.iedere.jan-doedel.op.klikt.security.nl. En internetters klikken gewoon. klik klik care.
Dan is het natuurlijk goed dat SIDN daar iets voor heeft, maar waarom meteen een prijskaartje (wat duurder is dan je hele domeinnaam gok ik zo maar even, anders stond het er wel bij op de site wat het kost)? Daar schieten we als gebruikers van .nl toch niets mee op?
Wereldwijde werkt abuse handling ongeveer zo: bij klachten ga je als eerste klagen bij de verantwoordelijke. (Potentiele) slachtoffers kloppen aan bij de klantenservice van het merk waar ze ingetrapt zijn, sturen een mail naar de phisher of gaan naar de politie. Security bedrijven en onderzoekers kiezen hun eigen weg naar een verantwoordelijke. Die kloppen meestal aan bij de abuse-desk van de netwerkeigenaar waar de foute service gebruik van maakt of waar het domein is geregistreerd. SIDN zorgt er voor dat bedrijven domeinregistratie als dienst kunnen aanbieden. Die aanbieders zijn dan bijna altijd het punt waar de klachten het eerst en meest binnenkomen. En dat bedrijf of (ingehuurde) abuse-desk merkt snel genoeg als er dat er phishing is, dan komen de meldingen in de honderden of duizenden binnen. En er gaan per dag duizenden verschillende phishingcampagnes de ronde dus dat is een aardig belasting op de omzet van veel hostingbedrijven. Aan de andere kant zijn de marges op de domeinnamen heel groot en worden per jaar miljoenen domeinnamen aangevraagd of verhuisd. Veel van die afhandeling zit al in de prijzen die je betaald voor domeinnaam. SIDN ziet slechts een fractie van de omzet terug mede omdat SIDN non-profit werkt om .nl mogelijk te maken. Het lijkt me niet meer dan logisch dat wie het meeste geld vangt ook de meeste verantwoordelijkheid heeft.
Voor niets gaat de zon op. SIDN zal geen prijs vragen om winst te maken maar hooguit om de kosten van het ontwikkelen en de service te draaien en onderhouden te dekken. Als ze de prijs willen verwerken in de bulkcontracten dan zullen die contracten eerst vernieuwd moeten worden of opengebroken moeten worden. Dat kost jaren. Maar waarom zou iedere domeineigenaar moeten opdraaien voor de problemen die ontstaan doordat merkrechthouders hun verantwoordelijkheid niet willen nemen? Misschien is het dan een goed idee om alleen bedrijven die een merk claimen meer te laten betalen om hun merk te beschermen en zodat ze publiek kunnen laten zien dat ze niet alleen de lusten van hun merk willen. Maar de meeste bedrijven hebben hun domeinnaman allang geregistreerd en is ook dat afhankelijk vna de bulkcontracten met de registratiebedrijven. Dus daarom waarschijnlijk die losse prijs. Het liefst zou ik zien dat mensen die in die phishingmailtjes trappen zelf op de blaren zitten. Zij maken phishing lucratief en laten de winsten het meest verdampen. Maar ik wil liever niet opdraaien voor de laksheid van die figuren of de personen die hun domeinen of websites door slechte beveiliging op een presenteerblaadje aan criminelen geven. Het liefst heb ik zelfs dat alleen mensen met een internetrijbewijs een website of domeinnaam mogen opzetten of mogen mailen. Maar ja, dat is niet heel goed voor de handel schijnt. Dus hoor je mij niet klagen dat er tenminste wat mensen zijn die een extra hulpmiddel bedenken. Want de meeste mensen doen gewoon niets aan beveiliging en gaan klagen als een ander wel wat doet. En dat helpt helemaal niets.