De aard en omvang van fraude door nep-domeinnamen

Het Amerikaanse Proofpoint heeft recent de 2019 editie van het Domain Fraud Report uitgebracht. Hierin beschrijft het bedrijf op welke manieren via domeinnamen fraude wordt gepleegd. Het is helder overzicht geworden waarin toch enkele zaken opvallen.

Domeinnaam essentieel

Dat domeinnamen een essentiële rol vervullen bij fraude en bedrog spreekt voor zich. In een maatschappij waar online een steeds grotere rol vervult is de domeinnaam vaak het eerste waar naar wordt gekeken. De consument kijkt naar de afzender van een e-mail. Dat hij/zij daarbij de domeinnaam controleert zal hem/haar mogelijk niet eens bekend zijn. Dezelfde consument die een website bezoekt kijkt ook steeds vaker of de vlag de lading wel dekt. Past de naam bij de online aanbod en wordt er niet verwezen naar een onlogische domeinnaam of TLD.

Vertrouwen wekken

Fraudeurs weten dat uiteraard ook. Zij worden dus steeds meer bedreven in het gebruiken van domeinnamen die wel vertrouwen wekken. Proofpoint geeft daar in het 14 pagina tellende onderzoek tal van voorbeelden van.

Zo is het aantal frauduleuze domeinnamen voorzien van een certificaat de afgelopen periode verder toegenomen. Dat bewijst dat de consument vaker oog heeft voor “het groene slotje”. De fraudeurs spelen met op die awareness in door zelf ook meer gebruik te maken van certificaten. Het is daarbij opvallend dat Let’s Encrypt niet de meest gebruikte CA is. Tegelijk is dat ook alarmerend, want de “traditionele” CA’s zijn dus niet optimaal in staat fraudeurs te weren en/of te herkennen.

Mail

Een andere Proofpoint bevinding die opvalt is het gebruik van e-mail door fraudeurs. Ruim 15% van alle de nep-domeinnamen heeft MX records. IN het geval van “look-a-likke” domeinnamen is dat zelfs meer dan 30%. Terecht wordt daaraan de conclusie verbonden dat de fraudeurs op enig moment zullen gaan mailen. Dat kan bijvoorbeeld om een spamrun voor een webshop onder die nep-domeinnaam te promoten. Het kan echter ook voor spear phishing en CEO fraude acties.

Wat opvalt is dat een groot aantal van de nep-domeinnamen met MX records lange tijd slapend lijken. Pas na weken, zelfs maanden, worden ze actief. Dat is vanzelfsprekend om voortijdige detectie te voorkomen.

Het rapport van Proofpoint benoemd nog meer risico’s die direct te linken zijn aan domeinnamen. Het is daarmee leerzame materie voor houders van domeinnamen en de partijen die hen daarbij faciliteren, de registrars. Na lezen kan men besluiten gelijkende domeinnamen uit defensieve overwegingen te registreren. Het rapport kan ook gebruikt worden om de awareness bij personeel, klanten en leveranciers te vergroten en daarmee de kans op succesvolle CEO fraude en/of spear phishing te verkleinen.