Tja, iedereen kan vrij domeinnamen registreren, en er is geen controle op bijna-dezelfde namen.
Dan is er logisch gevolg dat aanvallers vergelijkbare namen gaan registreren.

Iemand zou nieuwe domeinnamen kunnen controleren of ze veel lijken op bekende of populaire diensten, om vervolgens in geval van misbruik ze in een of andere blokkeer feed te gooien. Dan maak je het hackers al een heel stuk moeilijker.

Wat IP's betreft, dit is prima in mijn ogen. Deze laag van het internet is bedoeld voor open communicatie zonder restricties of discriminatie. Eventueel aanhoudend misbruik behoort wel door autoriteiten aangepakt te worden, maar Rusland heeft daar lak aan of geen tijd voor. Gelukkig zou iedere zelf-respectabele ISP standaard deze kwaadaardige IP's van Rusland kunnen blokkeren, om hun eindgebruikers te beschermen tegen deze gevaren. Trouwens, het terugtrekken van IP-ranges door ICANN/IANA vind ik een heel zwaar midden dat hooguit in de zwaarste gevallen gebruikt mag worden.

ISP's kunnen de meeste ongeing relatief makkelijk de grond in boren voor het ooit een klant bereikt ware het niet dat het geld kost. We zijn zelf een managed provider voor bedrijven waar we de volledige controle overnemen qua beveiliging inclusief het beoordelen van phising berichten ge-automatiseerd als handmatig.

Onze klanten krijgen een lijst per dag wat is tegengehouden en ze kunnen aan ons doorgeven wat ze denken wel erdoor te willen laten. Wij controleren vervolgens geautomatiseerd de headers reputatie en content type en bij twijfel krijgen we een alert voor handmatige check. Blijkt uit het onderzoek dat meestal maar minuut in beslag neemt dat het fake is dan sturen we een korte uitleg naar de klant waarom we het weigeren vrij te geven. Dus geen reliek als ham spam waarbij je de berichten al standaard naar een spam folder zet maar in een quarantaine plaatst met 0 mogelijkheid tot script uitvoerigen.

Het enige nadeel voor de klant is verminderde privacy vs veiligheid en mogelijk 1 dag vertraging met mails maar daar tekenen ze voor het moment dat ze vragen voor controle. En ze hebben de mogelijkheid het uit te schakelen maar dan is alle schade voor hun eigen rekening plus reparatie op uur tarief. We leven in een tijd dat het haast onmogelijk is voor klanten zelf om phising te herkennen. Je krijgt daarnaast een risico op controle fatique bij klanten waar ze laks worden met zelf beoordelen dus geef ze gewoon niet die verantwoordelijkheid.


Als bedrijf maar nog beter als ISP kun je verder de firewalls of login failure daemon koppelen aan reputatie check lijsten.
Bijvoorbeeld https://www.talosintelligence.com/reputation_center/lookup?search=193.143.1.14
Je ziet dan meteen dat deze range qua provider foute boel is en je kan dan ook CIDR block erop zetten van bijvoorbeeld /24 Met een beetje slimme software en betaalde lijst dienst is dit volledig geautomatiseerd te krijgen om om het uur of ag een lijst refresh te doen.


Of je kan mits je systemen het ondersteunen een ASN block doen Dat vergt meestal dan wel weer wat finetuning.
Domein blocks daarin tegen zijn niet effectief zoals je zelf al liet zien kunnen er duizenden sites draaien op 1 IP qua variant.
Plus dat een IP block vele male minder resources kost dan een domein block in de praktijk.


Verder moet je ook als bedrijf, ISP stevig in je schoenen staan en als klanten wel willen dat iets vrijgegeven wordt waarvan je weet dat het problemen geeft gewoon nee verkopen. We gooien zelf klanten van ons netwerk als we grijze, zwart handel herkennen bijvoorbeeld. Zo hebben we paar maanden geleden nog een computer shop als klant gedag gezegd omdat deze persé wou dat we mails vrijgaven met licentie codes aankopen voor windows machines uit rusland waarbij na kort onderzoek de verdenking al bevestigd werd dat het om illegale handel ging en het IP ook bekend stond voor phising. We willen geen deelname aan voortzetting van zulke praktijken dus heeft de klant maand gehad de boel op te pakken en andere provider te zoeken met lagere standaards.


Om zelf ongein als provider van je eigen netwerk te voorkomen kun je duurdere A.I oplossingen inzetten gebaseerd op Visual Regression Tests waarbij je dus klant sites monitored op de visuele weergave door screenshots te maken om het uur en als deze boven een bepaald procent afwijking komt na een uur is er een grote kans op ongein.

Uiteraard heb je dan ook false postives ertussen van klanten die hun hele site omgooien maar omdat we zelf managed provider zijn doen we ook het gros van alle aanpassingen sitematig dus daar heb je dan een lijst van webdesign voor om excludes tijdelijk erin te zetten. Kost ruimte en CPU, GPU maar veel betere detectie dan een reguliere bestands scanner omdat phising afhankelijk is van de site weergave en dat kun je als code niet verbergen.

Daarnaast ondersteund het ook je devops, webdesign team omdat als een aanpassing of een update iets toch verknalt wat over het hoofd is gezien het snel met een snapshot restore gefixed kan worden of ingeplande handmatige actie.


Er zijn dus genoeg middelen om risico's aanzienlijk te verlagen zonder de klant verantwoordelijk te stellen voor de controle of te eisen dat ze kennis hebben. Het kost enkel meer geld en van je klanten iets meer geduld en soms wat privacy. En dan komen we bij het probleem dat het niet rendabel is voor ISP's om dit te doen voor consumenten, kleinbedrijf. Want de diensten moeten dan vele malen duurder verkocht worden en dan gaan de consumenten, kleinbedrijf gewoon naar goedkopere alternatieven die er genoeg zijn.

Die route is al vaker voorgesteld, maar die is m.i. kansloos om meerdere redenen.

1) Een naam is een "alias" voor een entiteit - een potentieel nietszeggend identificerend gegeven. Als jouw achternaam "Hitler" is, kun je jouw zoon desgewenst "Adolf" noemen. Het gaat dan immers niet om dezelfde persoon (die alsnog om oorlogsmisdaden vervolgd zou moeten worden). Dit geldt ook voor domeinnamen die in andere handen vallen. Linksom of rechtsom wil je weten naar welke entiteit een alias verwijst, bij website-domeinnamen wie voor die website verantwoordelijk is. Dat blijkt te vaak niet uit de domeinnaam.

2) Je kunt aan een domeinnaam vaak niet zien wat de intenties van de huurder zijn. Een domeinnaam zoals "facebook-complaints·com" kan van iemand zijn die klachten over Facebook verzamelt, of (later) worden gebruik om te suggereren dat je daar kunt klagen over (bijv. pesten op) Facebook, waarbij de huurder je laat inloggen met jouw Facebook wachtwoord (en eventuele 2FA-code) en zo jouw account kaapt.

3) Als iemand nl-secure·com of misecure·com (*) registreert, zegt dat niets. De huurder van zo'n domeinnaam kan vervolgens naar believen subdomeinen creëren, zoals rabobank.nl-secure·com. "Stom" of niet, mensen trappen daar in.

4) Er bestaat een levendige handel in "geparkeerde" domeinnamen - die vaak worden "witgewassen". Dat doen half-criminele parkeerders door absurde en/of bewust misleidende subdomeinnamen te registreren (en daar "brave" websites achter te stoppen). Vaak worden daar ook duizenden certificaten voor uitgegeven. Twee voorbeelden van idiote domeinnamen: "sberbank.yandex.ozon.pay.notexistskwid9.amourethenwife·top" en "git.git.git.git.git.login.joomla-agentur-pforzheim·de. Die laatste is te vinden in https://crt.sh/?Identity=joomla-agentur-pforzheim.de&deduplicate=Y - met foutmelding omdat het er teveel zijn om weer te geven. Opmerkelijk is dat er op 2024-02-03 minstens 1515 domeinnamen eindigend op .joomla-agentur-pforzheim·de achter 104.21.6.105 van Cloudflare te vinden waren).

5) In browsers en/of besturingssystemen zijn "trusted root certificates" opgenomen. Er bestaat een toezichthouder die CSP's (Certificate Service Providers) en CA's (Certificate Authorities) erop aanspreekt als zij onterecht certificaten uitgeven of zich op andere wijze niet aan de overeengekomen regels houden. Helaas is die organisatie een slager die diens eigen vlees keurt (met Google die de meeste stemmen in dat CA/B forum heeft opgeëist). Wat, in elk geval in theorie, wél kan, is dat je zelf rootcertificaten blokkeert en/of toevoegt. Een vergelijkbaar systeem voor domeinnamen is niet standaard aanwezig in browsers en/of besturingssystemen (uitgezonderd firewalls maar daar schiet je te weinig mee op, zie de volgende twee punten).

6) Steeds vaker "zitten" websites, zowel authentieke als neppe, achter CDN's (zoals Cloudflare en Fastly). Bovendien kunnen er "achter" één IP-adres duizenden websites "zitten". Het blokkeren van IP-addressen of zelfs -reeksen ís mogelijk, maar lijdt tot zeer veel valspositieven: meestal worden dan ook legitieme websites geblokkeerd.

7) Cybercriminelen verzinnen voortdurend nieuwe domeinnamen en/of verhuizen hun websites naar andere IP-adressen (soms dagelijks). Dat maakt blokkeren met een firewall zinloos, omdat je voortdurend achter de feiten aanloopt.

(*) Een heel erg foute club die al heel lang actief is zonder dat die domeinnaam wordt afgenomen, met naast de "grappige" subdomeinnaam "evilginx.misecure·com", maar bijv. ook (bron: de sectie "Subdomains (6.5 K)" in het "RELATIONS" tabblad van https://www.virustotal.com/gui/domain/misecure.com/):

Daarmee worden criminelen nog meer richting CDN's en Big Tech cloud hosting (Google, Amazon, Microsoft, LeaseWeb, Rackspace, OVH etc.) gedwongen, en die treden ook steeds minder op tegen cybercriminelen.

Het is noodzakelijk dat internetters, voor (voor hen) risicovolle websites, kunnen vaststellen wie daar verantwoordelijk voor is. Naast dat het totaal niet schaalt om elke internetter dit zelf te laten uitzoeken, wordt dat, online, opzettelijk onmogelijk gemaakt.

Dit probleem kan alleen worden opgelost met vertrouwde en betrouwbare derde partijen, die namens internetters, met duidelijk kenbaar gemaakte betrouwbaarheid, de traceerbare identiteit van de verantwoordelijke voor een website vaststellen en in een digitaal ondertekend document opnemen. Dat is precies waar digitale certificaten voor bedoeld zijn.

Een domeinnaam bevat, in steeds meer gevallen, onvoldoende informatie om de identiteit van de verantwoordelijke voor een website vast te stellen. Daardoor kun je die entiteit niet (laten) vervolgen als zij of hij jou belazert. Dit maakt het internet onnodig steeds onveiliger.

Alle redenen die je hier aanhaalt zijn juist wél redenen om ervoor te zorgen dat niet elke `jan-met-de-korte-achternaam een domeinnaam kan registreren, maar terug te gaan naar het model van eind jaren 90 dat het registreren van domeinnamen was voorbehouden aan bedrijven.

De selfmade haptotherapeut of bloemschilder hééft ook helemaal geen domeinnaam meer nodig zijn zijn business aangezien dat inmiddels is ingehaald door Instagram en TikTok.

OF maak de registratie van een domeinnaam gewoon 3000 euro per jaar of zo.

Het is geen toeval dat dit soort scams begonnen nadat een domeinnaam door ieder jan l*l geregistreerd kan worden voor een euro per jaar.

Buiten de andere security features die IPv6 biedt zie ik dit punt ook zeker als een belangrijk security voordeel van IPv6. Kan een eindpunt met een /64 lekker 18 miljard miljard services op unieke IP-adressen hosten in plaats van al dat gedoe met SNI.

Ik heb geen moeite met de eis dat publieke CA's een traceerbare identiteit moeten vaststellen. Het ondertekenen van een certificaat zou een verklaring van de CA moeten zijn dat deze identiteit vastgesteld en gecontroleerd is. En dat de CA bereid is die identiteit aan autoriteiten te verschaffen bij een gerechtelijk bevel.

Maar opnemen in het certificaat... Oei. Voor mij is (de mogelijkheid tot) anonimiteit op het internet een belangrijk recht dat niet vervalt als je een website wil hosten waar niet de alarmbellen in elke browser bij afgaan.

Het ophouden met het tonen van de bedrijfsnaam bij EV certificaten is erg jammer geweest. Het was geen perfecte oplossing, maar het was wel een middel dat de voorzichtige gebruiker kon helpen.

De ideale CA structuur (gecombineerd met browser functionaliteit), die de mogelijkheid tot publieke anonimiteit bewaart, maar wel voordelen biedt om oplichting te voorkomen of achteraf op te sporen, zou in mijn ogen zijn:

- Weg met DV-only certificaten. Doei Let's Encrypt.

- Vervang dit voor iets dat je Simple Validation zou kunnen noemen. Gelijk aan huidige DV-only, behalve dat de CA hiermee verklaart de identiteit van de aanvrager vastgesteld te hebben en aan autoriteiten kan overleggen in het geval van fraude. Identiteit niet opnemen in Certificaat.

- Gewoon weer in de browserbalk tonen van de organisatienaam bij EV certificaten. Maak het onderscheid tussen niet-EV en wel-EV certificaten in elk geval zichtbaar. Nee, niet iedereen controleert het elke keer, maar het is beter dan niets.

- Bring back het groene slotje. Laat hem misschien de eerste paar seconden dat je een pagina zonder EV certificaat laadt knipperen. En zet er "Identity unknown" naast. Als je dat normaal nooit ziet als je bij de bank inlogt, dan trekt dat misschien nog een beetje de aandacht. Maar je moet gewoon een HTTPS website kunnen hosten zonder dat elke bezoeker je identiteit kent.

Jan Lul hier, met een eigen domeinnaam. Kan je op Instagram of TikTok e-mail ontvangen? Kan je ermee naar een andere provider overstappen als je huidige je niet meer bevalt, zonder van e-mailadres of webadres of wat dan ook te moeten veranderen? En moet ik voor die mogelijkheid opeens duizenden euro's per jaar gaan betalen terwijl ik het nu voor een paar tientjes krijg? Ben jij zo aardig om het verschil voor mij op te gaan hoesten, en voor wie er nog meer door geraakt wordt?

Misschien moet je even wat verder kijken dan je eigen neus lang is.

Om je eerste vraag te beantwoorden, ja dat kan inderdaad. Alleen heet het daar geen e-mail maar anders. Bovendien heb je geen provider meer nodig (ik neem aan dat je hosting partij bedoelt). Maar als je dan zo’n groot bedrijf bent en je spullenboel bij de KVK en belastingdienst hebt gedeponeerd schrijf je die 3K maar af op je bedrijfskosten, en mag je van mij de netto kosten daarna inderdaad best doorbelasten ja.

Maar de Suske en Wiske verzamelaar, mooi weer dichter of hobby psycholoog hebben geen WWW-producten nodig.
Daarvoor zijn er na 1990 genoeg andere faciliteiten op internet beschikbaar gekomen.

Dat is de enige oplossing die werkt tegen deze vorm van internetfraude. Maar als we met z’n ahem liever in de jaren 90 willen blijven hangen want “niemand pakt mij wat af” is dat ook een keuze.

Totale nonesense

Wat denk je dat er gebeurt als domeinen niet interesant meer zijn voor phising dan verplaatsen ze zich naar andere mediums. De scams waren er al toen we nog werkte met IP in adres balk het is alleen door automatisering tich keer makkelijker geworden om services op te zetten.

Daarnaast worden er ook heel veel scams gedraaid over legitieme domeinen door exploits en injecties dus die ga je hier ook niet mee uit de weg. Sterker nog dan krijg je false sense of security bij mensen als ze weten dat het zoveel geld kost omeen domein in de lucht te houden want dan kan het geen scam zijn right.

Naast dat geen enkele top level domain organisatie de inkomsten door hun neus laat boren omdat het zogenaamd veiliger is. Dan krijg je straks bepaalde landen die spot goedkoop dit gaan aanbieden en de concurentie aangaan met reguliere top level domains.

Waar ze moeten mee kappen zijn alle overbodige top level domains beperk het tot
1 land tld 1 non profit en 1 commerciele 1 overheid en de rest zoals militaire etc via afgeschermde domeinen.
Niet die bs van .top .xyz .dad en alle andere troep die ze elk jaar verzinnen. Dan kun je als isp al heel wat spul op slot zetten zonder constant rekening te moeten houden met andere tlds. Je hebt ook maar een enkeling aan aanspreekpunten.

Het enige resterende probleem is subdomeinen en daar is helaas niks op te verzinnen momenteel. Daar hadden we nooit aan moeten beginnen. Deze versimpeling gaat niet gebeuren maar dat zou een hele hoop administratie schelen.

Al het genoemde is wensdenken en niet realistisch.

De phishing scams zullen zich altijd verplaatsen naar een ander medium als domeinnamen niet meer interessant zijn. Of dat nu gebeurd door een onfeilbare PKI infrastructuur of een verbod op het aanvragen van domeinnamen maakt daarbij niet uit.


Precies, daarom is het implementeren van een onfeilbare PKI infrastructuur ook totaal achterhaald.


Dat probleem is op te vangen als er vanuit de overheid eindelijk eens gestuurd word op voorwaarden om een domeinnaam te mogen aanvragen.

Wat jammer.

Waar het oorspronkelijke Internet ooit opgezet was als bron van vrijheid , zien we hier weer telkens weer de controlfreaks die het willen beperken tot een elite feestje voor "ons soort mensen" (cq "onze werkgevers" ).

Niet heel verbazingwekkend, want achter de baarden en anarcho zwarte t-shirts zijn nogal wat systeembeheerder-types - en al helemaal degenen die iets met security hebben - waanzinnige controlfreaks.

Echte dictatortjes op hun systeem, en natuurlijk dromen ze ervan om dat voor een hele maatschappij door te voeren.