Van vraag over Phishing naar websites met nep artikelen

genuine-fake-watches630415Maandag werd vanaf het SIDNsupport Twitter account deze boodschap verspreid: “SIDN haalt phishingsites offline bij uitblijven actie van houder, registrar, etc. Lees meer op de registrarssite […]” Een link naar het registrar gedeelte dat is voorzien van een log-in. Niet iedereen die daar meer van wil weten is echter registrar. Dus wat staat er achter het slotje?

Die vraag hebben we de SIDN per mail gesteld en het antwoord staat hier onder:

SIDN haalt phishingsites offline bij uitblijven actie
Wij willen phishing en malware in de .nl-zone verminderen. Daarvoor zijn we het Abuse204.nl-programma gestart (abuse ‘to zero for .nl’). In het kader van Abuse204.nl kun je als registrar mails krijgen als er problemen zijn op een site van een van je klanten, waaronder phishing en malware. Om de schade van phishing en malware in de .nl zone te beperken is snelheid van belang. Daarom scherpen wij ons beleid vanaf nu aan: ondernemen de betrokken partijen (domeinnaamhouder, reseller, hoster of registrar) geen of niet tijdig actie, dan halen wij de domeinnaam sneller uit de zone.
Achtergrond
Netcraft is onze partner in het Abuse204.nl-programma. Zij zijn gespecialiseerd in het opsporen van malware en phishing. Wanneer Netcraft een malafide .nl-site detecteert ontvang jij als eerste een mail op jouw abuse-adres. Heb je geen abuse-adres doorgegeven? Dan stuurt Netcraft een bericht naar alle contactgegevens gerelateerd aan de registratie van de domeinnaam. Jij krijgt de mail in dat geval via het adres van de registrarcontactpersoon. Is de aanval na 4 dagen nog steeds actief? Dan stuurt Netcraft nog een bericht naar iedereen die bij de registratie betrokken is waarvan ze contactgegevens kunnen vinden. Dit gebeurt meerdere malen. Vaak is dit al voldoende om de criminele activiteiten te laten stoppen.
Blijft actie uit, dan grijpt SIDN in
Met name bij phishing is het noodzakelijk dat er snel gehandeld wordt. Alleen dan kunnen we de schade beperken. Onze lijntjes met de registrars zijn over het algemeen goed en kort. Toch is het niet altijd de registrar die de criminele activiteiten kan laten stoppen en is er soms een actie vereist van een van de andere betrokken partijen. Blijft actie van de registrar of een van de andere partijen uit, dan grijpen wij vanaf nu in door de domeinnaam inactief te maken. De domeinnaamregistratie blijft bestaan, we ontkoppelen alleen de nameservers. Dit gebeurt op z’n vroegst 114 uur na de laatste waarschuwing aan het adres van de betrokken partijen. We benadrukken dat het hier gaat om uitzonderingssituaties, waarbij we geen contact kunnen krijgen met de betrokken partijen of de betrokken partijen geen actie ondernemen die leiden tot het stoppen van de phishingactiviteiten. Uiteindelijk is iedereen gebaat bij een veilig .nl-domein. Deze beleidswijziging is tot stand gekomen in overleg met de Vereniging van Registrars.
Vragen?
Heb je vragen naar aanleiding van dit bericht, neem dan contact op met onze supportdesk via support@sidn.nl of 026-352 55 55. Wil je een abuse-mailadres opgeven? Dat kan ook via support@sidn.nl.

Duidelijk verhaal en het lijkt ons ook goed daar meer aandacht aan te besteden, want phishing is het type overlast waar niemand op zit te wachten. Daarbij is het ook iets dat vaak in combinatie met andere cyberoverlast plaatsvind, een legitieme site wordt eerst gehackt, et cetera. Bewijs van dat laatste kun je deels al terugvinden in de reacties op de genoemde site Abuse204.nl. Er staan niet veel reacties, maar wat er staat lijkt afkomstig te zijn van niet-registrars die tegen nepsites zijn aangelopen.

Dat deed de volgende vraag rijzen: komen er veel reacties (en hoe dan) bij SIDN over (bijvoorbeeld) nepsites binnen. Het antwoord op die vraag staat op het moment van schrijven nog open, maar we kregen wel van de zuiderburen ongevraagd een antwoord in de vorm van een persbericht. Dit jaar hebben de Belgische Federale Overheidsdienst Economie en de Douane al 3.000 websites doen sluiten waarop nepartikelen werden aangeboden. Nog even los van wat de definitie van een website hier exact is (met een ~homepage of gratis blog kunnen ook nepartikelen worden aangeboden), het is wel een heel fors aantal.

(UPDATE: SIDN laat nog het volgende weten: in reactie op de vraag over of men ons weten te vinden met vragen over ons Abuse204.nl-programma, naast vragen stellen als reactie op de webpagina: onze supportdesk wordt enkele malen per maand gebeld of gemaild met vragen n.a.v. meldingen die ze ontvingen i.h.k.v. van ons programma. Het gaat er dan bijvoorbeeld over dat hun website malware bevat en dat ze actie moeten ondernemen. Ook via Twitter worden regelmatig benaderd met vragen over malafide sites.)

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.