image

SIDN detecteert malafide domeinnamen door middel van logoherkenning

maandag 28 maart 2022, 13:37 door Redactie, 16 reacties

Het onderzoeksteam van de Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, heeft een systeem ontwikkeld dat malafide domeinnamen door middel van logoherkenning kan detecteren. Het LogoMotive-systeem bezoekt geautomatiseerd .nl-websites en maakt screenshots van de homepagina. Logo's op de homepagina worden vervolgens herkend en de resultaten geüpload naar een webapplicatie. Analisten kunnen zo controleren of het logo terecht of voor malafide doeleinden wordt gebruikt.

Recentelijk is het systeem getest met logo's van de Rijksoverheid en Thuiswinkel.org. In beide pilots scande SIDN Labs meerdere keren alle 6.2 miljoen .nl-domeinnamen met LogoMotive. In totaal werden zo'n 11.700 domeinnamen met het Rijksoverheid-logo gevonden. Het Thuiswinkel Waarborg-logo werd op ongeveer 10.600 .nl-sites aangetroffen. Er werden via LogoMotive meer dan 260 websites gevonden die onterecht van de logo's gebruikmaakten. In de meeste gevallen ging het om het logo van ThuisWinkel.org.

Tijdens de pilot werden ook 318 legitieme domeinnamen van de Rijksoverheid gevonden die nog niet in het domeinnaamregister van de Dienst Publiek en Communicatie (DPC) stonden. Naast het interne domeinnaamregister publiceert DPC ook een publiek websiteregister, waarin alle publieke overheidswebsites staan. Met deze registers controleert de overheid of alle Rijksoverheidsdomeinen aan veiligheidsstandaarden voldoen.

Volgen SIDN Labs blijkt uit het onderzoek dat logodetectie een doeltreffend mechanisme is om snel nieuwe malafide sites te ontdekken, voordat ze slachtoffers kunnen maken. De helft van de phishingwebsites was op het moment van herkenning nog niet gemeld op populaire blocklists. "Het is ook nuttig voor partijen die zelf nog weinig monitoren op misbruik", aldus research engineer Thijs van den Hout.

SIDN gaat LogoMotive binnen de eigen diensten gebruiken. Daarnaast wordt de code van het systeem beschikbaar gesteld voor academici en voor andere registry’s om het in hun dns-zones toe te passen.

Reacties (16)
28-03-2022, 13:49 door Anoniem
Reverse image search in Google met je eigen logo levert vaak ook al interessante websites op die je nog niet kende.
28-03-2022, 14:05 door Anoniem
Leuk project , en uit het aangehaalde project hebben ze al wat interessante vondsten van "klaar om malafide gebruikt te worden" sites gevonden.

(typo-squatting site die NU een redirect geeft naar de werkelijke site , soms ook voor inlogportals van overheids-sites ).

Ik zie het wel als wederom een illustratie hoe jammer het is dat er geen strak subdomein-beleid geweest is voor .nl - en intern bij de rijksoverheid .

Als je vanaf het begin bij registratie al had afgedwongen dat _alles_ van de overheid onder .gov.nl viel - en dat daaronder ook alleen overheids-sites geregistreerd konden worden had je heel nepsites kunnen vermijden .
En was de publieks en medewerker campagne "alleen overheid als het .gov.nl is " zoveel eenduidiger geweest .

Het is natuurlijk ook wel de de schuld van die eigen diensten en hippe marketeers die voor alle onzin campages een eigen domeintje moesten registereren .
En - helaas- iedereen in de IT weet ook hoe het gaat als je zo'n centrale interne dienst (overheid of enterprise) hebt waar je zou moeten zijn voor een (sub) domeinen - dat wordt dan zo'n ongelofelijk shit proces dat je vanzelf wel een extern domeintje registreert .

Maar bij elkaar jammer , dan je dan nu een brute-force scan-en-logo-match service op moet tuigen om inzicht te krijgen in de wildgroei van domeinen.
En dat is alleen nog maar NL - waar SIDN lekker de zonefiles en updates van ziet .
Er zullen , vrees ik, ook nog wel een paar echte overheids domeinen onder .com of .eu hangen

Niet alleen een NL probleem trouwens - sommige ambassades in NL (van buitenlanden, dus) hebben hun officiele website NIET onder hun ministerie-buitenlandse-zaken.land hangen .
28-03-2022, 14:16 door Anoniem
Ik vind het eigenlijk veel verbazingwekkender dat er ruim 10.000 domeinnamen schijnen te zijn waarbij het Rijksoverheidslogo wél legitiem gebruikt wordt.
Op te zoeken in het publiek websiteregister van de DPC, dat dan weer wel. /s
28-03-2022, 14:20 door Anoniem
Mooi bedacht natuurlijk. Maar het roept ook vragen op of de SIDN de aangewezen instantie is om zich met dit soort activiteiten bezig te houden. En tot op welke hoogte de SIDN eventueel nog verder gaat in het "keuren" van content. Op servers die niet van hun zijn.

Wel prachtig dat het kan natuurlijk! Maar nog te vaak wordt te gemakkelijk gedacht dat als iets werkt en kan, dat het ook mag. Of wenselijk is.
28-03-2022, 15:42 door Anoniem
Door Anoniem: Mooi bedacht natuurlijk. Maar het roept ook vragen op of de SIDN de aangewezen instantie is om zich met dit soort activiteiten bezig te houden. En tot op welke hoogte de SIDN eventueel nog verder gaat in het "keuren" van content. Op servers die niet van hun zijn.

Wel prachtig dat het kan natuurlijk! Maar nog te vaak wordt te gemakkelijk gedacht dat als iets werkt en kan, dat het ook mag. Of wenselijk is.
Hoewel ik er hier en daar ook wat vraagtekens bij zet, kan ik me er in de meeste gevallen wel in vinden...
SIDN probeert het .nl TLD zo "schoon" mogelijk te houden.
Ik heb er ook profijt van, want mede door dit beleid worden .nl domeinen bijvoorbeeld niet en masse geblokkeerd in spamfilters.
28-03-2022, 15:53 door Anoniem
Door Anoniem:
Ik zie het wel als wederom een illustratie hoe jammer het is dat er geen strak subdomein-beleid geweest is voor .nl - en intern bij de rijksoverheid .

Als je vanaf het begin bij registratie al had afgedwongen dat _alles_ van de overheid onder .gov.nl viel - en dat daaronder ook alleen overheids-sites geregistreerd konden worden had je heel nepsites kunnen vermijden .
En was de publieks en medewerker campagne "alleen overheid als het .gov.nl is " zoveel eenduidiger geweest .

Niet alleen dat, er is toegelaten dat de meest wanstaltige .nl namen geregistreerd werden waardoor malafide namen
niet meer opvielen. Men had als iemand "werkenbijns,nl" wilde registreren meteen de feedback moeten geven van
"dat doe je niet goed, je hebt al ns.nl dus gebruik gewoon werkenbij.ns.nl of ns.nl/werken ofzo".
Helemaal in het begin moest je voor een .nl domein registratie een KVK nummer overleggen, en werd er per uniek
KVK nummer maar EEN domein geregistreerd. Dat was een prima systeem maar het werd de nek omgedraaid toen
domeinregistratie in plaats van een technisch gebeuren met stricte richtlijnen een juridisch gebeuren met kort gedingen
enzo werd. En er dus bedrijven naar de rechter stapten omdat ze geen extra domein mochten registreren.
28-03-2022, 16:06 door Anoniem
Door Anoniem: Ik vind het eigenlijk veel verbazingwekkender dat er ruim 10.000 domeinnamen schijnen te zijn waarbij het Rijksoverheidslogo wél legitiem gebruikt wordt.
Op te zoeken in het publiek websiteregister van de DPC, dat dan weer wel. /s

Ja daarom zou .gov.nl of .overheid.nl of .rijk.nl best een goed idee zijn... dan weet je iig zeker dat het domein klopt.
28-03-2022, 17:54 door Anoniem
Door Anoniem:
SIDN probeert het .nl TLD zo "schoon" mogelijk te houden.
Dat hoop ik toch niet, want als ze dat wel proberen dan is dat wel een gigantische FAAL.
Piet Beertema probeerde dat, ja. Maar sinds het SIDN is geworden is die doelstelling vervangen door "SIDN probeert met .nl zoveel mogelijk geld te verdienen"...
28-03-2022, 17:59 door Anoniem
Door Anoniem:
Door Anoniem: Mooi bedacht natuurlijk. Maar het roept ook vragen op of de SIDN de aangewezen instantie is om zich met dit soort activiteiten bezig te houden. En tot op welke hoogte de SIDN eventueel nog verder gaat in het "keuren" van content. Op servers die niet van hun zijn.

Wel prachtig dat het kan natuurlijk! Maar nog te vaak wordt te gemakkelijk gedacht dat als iets werkt en kan, dat het ook mag. Of wenselijk is.
Hoewel ik er hier en daar ook wat vraagtekens bij zet, kan ik me er in de meeste gevallen wel in vinden...
SIDN probeert het .nl TLD zo "schoon" mogelijk te houden.
Ik heb er ook profijt van, want mede door dit beleid worden .nl domeinen bijvoorbeeld niet en masse geblokkeerd in spamfilters.

Nou ja, het heeft er ook een beetje wat van weg als dat bijvoorbeeld vroeger de PTT de hele telefoongids zou gaan bellen om te controleren of er wel "keurig" wordt opgenomen. Nu heeft de SIDN altijd wel al zo een Vereniging van Huisvrouwen tikje gehad. Betutteled. Net als bijvoorbeeld de KvK. Een beetje buiten het boekje belangrijk zitten wezen. Los van dat genoemde activiteit zeker nuttig is. Maar hoort naar mijn mening niet achter dat loket te gebeuren.
28-03-2022, 18:03 door Anoniem
Ook een fraaie staat in het LogoMotive-systeem artikel waar security naar linkt...
Onder de kop: Inzicht #2: logodetectie onthult redirects als sluimerend risico:
LogoMotive vond ook 82 verdachte domeinnamen met het Rijksoverheid-logo die gebruikers naar een authentieke overheidswebsite doorstuurden via HTTP-redirects. De houders van deze domeinnamen hadden echter geen enkele connectie met de overheid; ze zouden in een later stadium zomaar kunnen besluiten om bezoekers door te sluizen naar een valse website of mails versturen die afkomstig lijken van de overheid.
https://www.sidnlabs.nl/nieuws-en-blogs/malafide-nl-websites-opsporen-met-logodetectie-in-de-praktijk#inzicht-2-logodetectie-onthult-redirects-als-sluimerend-risico
28-03-2022, 18:32 door Anoniem
Door Anoniem:
"SIDN probeert met .nl zoveel mogelijk geld te verdienen"...
.nl behoort tot de goedkoopste landelijke TLD's van Europa en is een stuk goedkoper dan .com, etc.
28-03-2022, 22:00 door Anoniem
Door Anoniem:
Door Anoniem:
"SIDN probeert met .nl zoveel mogelijk geld te verdienen"...
.nl behoort tot de goedkoopste landelijke TLD's van Europa en is een stuk goedkoper dan .com, etc.
Denk even na. Het gaat niet alleen over de prijs per stuk maar ook over het aantal domeinen dat je registreert.
29-03-2022, 00:46 door Anoniem
Iets dat maltiverse al langer doet bij haar analyses, voorbeeld:
https://maltiverse.com/search;query=lb01.parklogic.com;page=1;sort=creation_time_desc

luntrus
29-03-2022, 04:51 door Anoniem
Door Anoniem: Ik zie het wel als wederom een illustratie hoe jammer het is dat er geen strak subdomein-beleid geweest is voor .nl - en intern bij de rijksoverheid .

Als je vanaf het begin bij registratie al had afgedwongen dat _alles_ van de overheid onder .gov.nl viel - en dat daaronder ook alleen overheids-sites geregistreerd konden worden had je heel nepsites kunnen vermijden .
En was de publieks en medewerker campagne "alleen overheid als het .gov.nl is " zoveel eenduidiger geweest .
Roerend mee eens, ik zou alleen voor het bestaande .rijksoverheid.nl kiezen. Wat mij betreft blijft de Nederlandse rijksoverheid het Nederlands als primaire taal gebruiken, ook in domeinnamen.
29-03-2022, 09:43 door Anoniem
Denk even na. Het gaat niet alleen over de prijs per stuk maar ook over het aantal domeinen dat je registreert.

Denk even na. SIDN is een Stichting zonder winstoogmerk. En ja, de prijs per stuk maakt nogal uit. Daar kan theoretisch veel meer marge op. Indien winst maken het doel zou zijn.
29-03-2022, 12:07 door Anoniem
Door Anoniem:
Door Anoniem: Ik zie het wel als wederom een illustratie hoe jammer het is dat er geen strak subdomein-beleid geweest is voor .nl - en intern bij de rijksoverheid .

Als je vanaf het begin bij registratie al had afgedwongen dat _alles_ van de overheid onder .gov.nl viel - en dat daaronder ook alleen overheids-sites geregistreerd konden worden had je heel nepsites kunnen vermijden .
En was de publieks en medewerker campagne "alleen overheid als het .gov.nl is " zoveel eenduidiger geweest .
Roerend mee eens, ik zou alleen voor het bestaande .rijksoverheid.nl kiezen. Wat mij betreft blijft de Nederlandse rijksoverheid het Nederlands als primaire taal gebruiken, ook in domeinnamen.

Mw, ik zou een second-level domain .gov. gehouden hebben .

1) Internet is internationaal - met de analogie van .gov TLD is dan wereldwijd duidelijk dat het "de overheid" is - welk soort overheid mag dan verder nederlands, maar het allereerste level /sublevel heeft een wereldwijde doelgroep
2) kort
3) breder in betekenis dan "rijksoverheid" .

We hebben een hoop "overheid" die niet meteen RIJKSoverheid is , of een speciaal deel RO - gemeentes, waterschappen , "zelfstandige bestuursorganen" etc.

amsterdam.gemeente.minbiza.rijksoverheid.nl was 'm echt nooit geworden .
amsterdam.gov.nl had wel kunnen werken als vertrouwde indicator dat dit de gemeente zelf is.

cwi.edu.nl en cwi.gov.nl waren dan ook duidelijk geweest . (centrum wiskunde & informatica / centrum werk en inkomen )
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.