Dat heeft nauwelijks zin. Blacklists worden al snel veel te lang, en de website achter de meest recente domeinnaam in de lijst was meer dan 1 jaar geleden kwaadaardig (op 14-04-2024).

Domeinnamen van nepsites kunnen na een witwasperiode opnieuw voor kwaadaardige doeleinden worden ingezet, maar er zijn nagenoeg oneindig veel andere verschillende domeinnamen mogelijk.

Wat je wel in de CSV kunt zien is een toenemend gebruik van subdomeinnamen voor een eigen (van de PhaaS provider) domein, zoals (daarachter hoe vaak het voorkomt in de lijst):

Of die laatste (duckdns[.]org) van een PhaaS provider is, weet ik niet, maar meestal wil je websites met een domeinnaam die daarop eindigen, niet bezoeken.

In de derde kolom ("VT") zie je de aantallen subdomeinnamen die VirusTotal "kent". Dat getal is meestal lager dan de werkelijkheid (regelmatig zie ik nieuwe subdomeinnamen gemeld worden door VT die nog niet vóórkomen in die optelsom). Je vindt zo'n totaal door het RELATIONS-tabblad in bijv. https://virustotal.com/gui/domain/duckdns.org te openen.

Nb. in die sectie ("Subdomains") is de domeinnaam bovenaan de laatst bekende bij VT (dit in tegenstelling tot de lijst met "Siblings" in de RELATIONS tab van bijv. https://virustotal.com/gui/domain/apszstopfy.duckdns.org: die lijst is op alfabetische volgorde).

De laatste tijd valt het mij op dat cybercriminelen steeds vaker (naast Cloudflare) "maagdelijke" IP-adressen weten te vinden en daar websites op inrichten (of gebruiken om de browser automatisch door te sturen naar een andere website), d.w.z. waar VirusTotal nog nauwelijks of geen domeinnamen op "kent", en waar geen enkele virusscanner of blacklist op aanslaat.

Uit de tabel en de VT-cijfers kun je zien dat die FBI-lijst maar een kleine fractie van alle criminele domeinnamen bevat. Het internet is één grote criminele bende, gefaciliteerd door big tech - cybercrime waar zij vet aan meeverdienen. Zeer veel domeinnamen zeggen, in het gunstigste geval, helemaal niets; de meesten zijn bewust misleidend en hartstikke anoniem (je kunt er zelden achter komen wie de huidige huurder is).

Ik heb een veel langere lijst met (vaak) foute hoofddomeinnamen, laat maar weten als daar belangstelling voor bestaat.

Met welk doel, de domeinen zijn niet langer actief. Beetje zinloos werk, domeinen die in het verleden kwaadaardig gebruikt zijn, gaan blokkeren.

Hoe kun je dan een anti-phishing-detector implementeren?

[simpel voorbeeld](function() {
'use strict';

// Lijst met verdachte woorden en patronen (AI-achtig, maar handmatig samengesteld)
const phishingPatterns = [
/beveiliging/i,
/uw account wordt gedeactiveerd/i,
/klik hier om te verifiëren/i,
/dringend actie vereist/i,
/bankgegevens/i,
/wachtwoord opnieuw instellen/i,
/last warning/i,
/provider/i,
/verlengen/i
];

// Controleer alle tekst op de pagina
const bodyText = document.body.innerText;
let suspicion = false;
phishingPatterns.forEach(pattern => {
if (pattern.test(bodyText)) {
suspicion = true;
}
});

// Controleer alle links op verdachte domeinen (zoals .ru, .cn, of rare lettercombinaties)
const links = document.querySelectorAll('a');
links.forEach(link => {
if (/(\.ru|\.cn|login|verify|secure)/i.test(link.href)) {
suspicion = true;
}
});

// Toon waarschuwing als er iets verdachts wordt gevonden
if (suspicion) {
alert("Waarschuwing: Mogelijk phishinggedrag gedetecteerd op deze pagina!");
}
})(); [/simpel voorbeeld]

#luntrus

Domeinen blokkeren zijn we terug in de oertijd van internet?
Welke provider geloofd erin dat dit gaat helpen?
Nee wordt tijd voor grondigr opschoning en niet van domeinen maar van providers.

Wetgeving opstellen dat bij constatering van herhaaldelijk ongein en geen snelle actie van de IP leaser en uitgever alle providers boven X aantal klanten verplicht een CIDR block moeten opnemen in hun blokkade lijst voor X dagen Class grote afhankelijk van de type ongein en grote van de provider.

En dan hoor ik de meeste zeggen maar dan block je toch te veel? Ja dat raakt onschuldige klanten *en dat is de bedoeling*

Als de angst voor providers namelijk is dat hun klanten ook geblocked gaan worden door ongein van digitale buren vanuit zelfde DC, ASN en of IP range gaan ze ook letten op hun afname partners omdat de schade qua reputatie simpelweg een te groot risico wordt. Een digitale sociale controle.

Onschuldige klanten moeten daarnaast de mogelijkheid krijgen als ze getroffen worden door zo een blokkade binnen één maand opzegging te kunnen regelen *ongeacht lopende contractduur* wegens provider in gebrekenstellen Die wijze is er vanuit sales ook een heel sterk incentive om geen rotte appels aan te nemen.

De blokkade zelf kan geautomatiseerd verlopen met het subscriben naar een blokkade lijst en er moet een onafhankelijke partij achter zitten die bekostigd wordt door verplichte contributie van providers boven X grote. We hebben al zulke lijsten maar niks is verplicht. Alle providers kunnen melding maken van ongein ongeacht grote erin.

Partijen die niet meewerken of aantoonbaar de boel herhaaldelijk niet goed in orde hebben moeten na een boete uit de Uit het beheer gegooid kunnen worden van de getroffen IP ranges waarna andere provider de verantwoordelijkheid kan nemen over de toemallige IP ranges. Daarbij wordt de nieuwe provider verplicht om binnen een tijdspad van één maand alle nieuwe klanten doorgelicht te hebben op legitimiteit en andere klanten informeren de boel op te pakken.


En ik zeg dit als een van eindverantwoordelijk voor zo type provider die hierdoor ook getroffen kan worden. Ik ben het spuugzat dat industrie partners hun beveiliging nog steeds te laks hebben. Te veel moet je ze wijzen op eigen shit op hun netwerken omdat ze weer eens rulesets triggeren dat de meest basic algoritme nog herkend. Te veel hoepels worden opgeworpen om dingen te melden en te lang duurt het om de meest obvious onzin eraf te knallen.

Laat ik wel wezen niet alles is onwil er is ook veel wat we nu niet mogen wegens privacy wetgeving maar dat wordt te vaak als excuus gebruikt door de industrie om bepaalde zaken niet af te kunnen handelen. We verdienen heel veel in deze industrie de marges zijn absurd en het wordt tijd dat we als industrie gestraft worden voor het enkel volgen van het geld en de veiligheid op plaats twee of drie of lager zetten.

Dus de vijand zit feitelijk al overal binnen.
Dat is het grootste kwaad.

Wie kun je eigenlijk nog vertrouwen?

Begin dan maar met alle blokken van Cloudflare, want anders vluchten nog meer cybercriminelen naar die CDN.

Bijvoorbeeld https://deurwaarder-ml[.]help, die claimt van de Belastingdienst te zijn, is nog gewoon live (met een certificaat van "Google Trust Services").

Screenshots van gisteren in https://infosec.exchange/@ErikvanStraten/114433398665160661.

Frans heeft een mail naar de Belastingdienst gestuurd en kreeg deze terugmelding (uit https://mstdn.social/@frans/114433488866049720:

Wat gebeurt er nu?
Niks, anders dan dat er slachtoffers blijven vallen.

Hier gaat het dus mis.
1. Het is niet geautomatiseerd genoeg, blijkbaar. (Of er gebeurd daadwerkelijk niks met de melding?)
2. Er komt geen reactie, wat heel erg demotiverend werkt. (want het voelt alsof er niks gebeurt)
Beide zaken moeten beter wat mij betreft.