SIDN: Nederlandse phishingsites waren in 2021 gemiddeld 19 uur online

De gemiddelde levensduur van Nederlandse phishingsites of .nl-websites met malware bedroeg in 2021 19 uur. Dat schrijft de SIDN in zijn jaarrapport. In 2020 was de gemiddelde levensduur 22 uur en in 2019 waren dergelijke sites gemiddeld 30 uur in de lucht.

Volgens de Stichting Internet Domeinregistratie Nederland is het .nl-domein één van de veiligste topleveldomeinnamen ter wereld. De SIDN verwijst naar een Europese studie van begin 2022 en een onderzoek van scamadviser. Om dat zo te houden neemt de stichting naar eigen zeggen verschillende maatregelen. Een ervan is het zogenaamde programma abuse204.nl waarin samengewerkt wordt met hostingproviders en registrars om .nl-phishingsites of Nederlandse websites die malware bevatten, zo snel als mogelijk te detecteren en in sommige gevallen offline te halen. Dit resulteerde vorig jaar volgens de SIDN in een gemiddelde levensduur van .nl-phishingsites, en Nederlandse websites met malware, van 19 uur.

De stichting schrijft in zijn jaarverslag ook dat het op 31 december 2021 6.232.829 geregistreerde .nl-domeinnamen telde. Dat waren er 120.729 meer dan op dezelfde dag in 2020. ‘Hoewel het .nl-domein in 2021 minder hard groeide dan het jaar ervoor, was het aantal nieuwe .nl-domeinregistraties boven verwachting’, klinkt het. In 2021 waren er 896.236 nieuwe registraties van .nl-domeinnamen tegenover 775.507 opheffingen.

2021 was overigens een bijzonder jaar voor de Nederlandse .nl-topleveldomeinnaam want die bestond toen 35 jaar. Op 25 april 1986 registreerde Piet Beertema de topleveldomeinnaam en op 30 april 1986 registreerde het Nederlandse Centrum voor Wiskunde en Informatica de eerste .nl-domeinnaam: cwi.nl. Tweakers interviewde Piet Beertema naar aanleiding van de 35e verjaardag van dit feit.

Uitsnit jaarverslag 2021 SIDN

Door Jay Stout

Redacteur

14-04-2022 • 20:02

23 Linkedin Whatsapp

Reacties (23)

23
22
9
1
0
11
Wijzig sortering
Het is niet duidelijk waarop het aantal uren dat een phishingdomein bestaat gebaseerd is. In de onderzoeken waar naar in het artikel is verwezen lijkt daarover niet te staan, dat gaat kennelijk alleen over de stelling dat .nl een van de veiligste topleveldomeinen zou zijn.

Doordat niet duidelijk is waarop ze het baseren is het dus ook niet duidelijk hoeveel waarde daar aan gehecht kan worden. Net zoals in een jaarverslag verantwoording duidelijk hoort te zijn over de financiele cijfers mag dat soort verantwoording ook wel verwacht worden over andere cijfers die kennelijk graag worden gebruikt om waarde aan te geven.

[Reactie gewijzigd door kodak op 14 april 2022 20:33]

... dat gaat kennelijk alleen over de stelling dat .nl een van de veiligste topleveldomeinen zou zijn.
Netcraft is de grote jongen die veel geld verdient aan het het scannen van websites op Phising, voor instellingen zoals SIDN, maar ook bedrijven zoals ING. Als Netcraft iets vind word dit automatisch gerapporteerd aan de websitehouder, Hoster, TLD etc.

Maar .NL doet het helemaal niet zo goed 1 op de 146 sites is a phising site. Voor .be is het maar 1 op 1661
Ook daarvoor gaat op dat er verwacht mag worden dat er duidelijk genoeg is hoe getallen representatief zijn. Het feit dat er getallen over omvang of inkomsten is te geven zegt niet zomaar iets over representatieve getallen tonen of dat je het zomaar kan gaan vergelijken.

Het is maar net waar je naar wil kijken om te stellen op welk land het zou slaan of over welke periode een getal waarde heeft. Netcraft is wat dat betreft net zo onduidelijk om te kunnen stellen hoe representatief het is. Dat ze veel geld verdienen of een grote jongen zijn maakt daar duidelijk het verschil niet in, hooguit dat ze geld genoeg en professioneel genoeg zouden moeten zijn om net zo goed verantwoording te leveren in plaats van er slechts op te hopen.
Er zijn grote partijen die scannen en classiferen (bijvoorbeeld heel de IPv4 range elke 6 uur). Daar zitten 'soms' ook false positives bij. Een aantal criteria zijn zeer strak ingericht: bij geen uitslag is de default classificatie "malafide".

Dat kan komen doordat de scanner bepaalde teksten niet of anders begrijpt. Of uit gaat van een bepaalde inrichting en de website juist bewust anders werkt.

[Reactie gewijzigd door djwice op 14 april 2022 23:01]

Dan maar naar de Bahamas 1 in 0 als dat al mogelijk is. Dus hoe goed de eigen data is is ook nog wel een dingetje.
Ja ik geloof namelijk ook niks over dat dat maar zoveel uur online zal zijn. Van wat zij vinden wellicht maar ik durf te wedden dat er sommige dingen gewoon weken lang al dan niet langer online staat.
Ja dat heb je natuurlijk met gemiddelden. Vooral als je automatisch triggered op een "insert bank naam" domein in 1 seconde.
Phishing heeft vaak een doelgroep, die worden bereikt op een bepaalde manier, daar kunnen signaleren uit komen, bij vaststelling kan daar snel op geacteerd worden.
Op zich niet slecht. Helemaal niet omdat de phishers gehaaid genoeg zijn om hun sites op te starten op momenten dat de ‘good guys’ minder alert zijn. Midden in de nacht, of vrijdagmiddag laat
Maar dat levert ook minder op, omdat je potentiele slachtoffers ook slapen.
Je potentiele slachtoffers hoeven natuurlijk niet in dezelfde tijdzone te zitten.
Al is het wel waarschijnlijk dat de slachtoffers in GMT+1 zitten als ze een .nl domein willen bezoeken.
Volgens mij is een goede strategie wel om een phising bericht sochtends te sturen hoor, als mensen wakker worden zijn ze een stuk minder alert en een stuk meer geneigd om er in mee te gaan als 'er echt iets dringends is met hun bank'. Als dat je doel is, dan moet je toch de site tegen die tijd al up hebben :)
Dus nooit 's morgens je email checken en alle domeinen jonger dan 48 uur blokkeren.
Mede omdat je automatische doorverwijzingen kunt hebben, is het getal 19 of 22 in dezen nutteloos als je niet weet _hoeveel_ besmette domeinen er waren. Als dat aantal gestegen is van bijv. 10.000 naar 12.000, is de totale hoeveelheid toch groter.
En waarom wordt er gezegd dat zulke .nl sites in _sommige_ gevallen offline worden gehaald? Waarom niet in _alle_ gevallen (na detectie)?

[Reactie gewijzigd door kimborntobewild op 14 april 2022 21:58]

En dan nog inderdaad. Hoe belangrijk is het feit dat .nl gebruikt wordt. Target audience is in de miljoenen terwijl .com, .org, .uk, .au of .de een factoren groter bereik kent. Kul conclusie dat .nl een van de veiligste domeinen is. Wellicht is een ongebruikt domein van een eilandstaat vele malen veiliger.
Maar dat is het mooie van relatieve getallen, dan kun je dingen met elkaar vergelijken die niet 100% met elkaar te vergelijken zijn. Meteen kul noemen is lekker a la Tweakers, alles lekker binair. In de realiteit kun je hier natuurlijk nog steeds conclusies over trekken.
Nutteloos is natuurlijk weer meteen een binaire vorm van denken, het heeft zeker nuance maar het is niet meteen nutteloos. Zeker in de context van het artikel is het verre van nutteloos, en behalve als je specifiek op zoek bent naar enkel de aantallen vind ik nutteloos een overdreven sterke reactie.

Natuurlijk kan het aantal sites gestegen zijn, maar daar gaat dit helemaal niet over. Dit gaat over hoe snel ze ze weg halen, of dat er 200 of 1000 zijn maakt niet uit als dat allemaal nog gemiddeld in die tijd gebeurt.

Niet alle zou zomaar te maken kunnen hebben met de zekerheid die wordt gegeven aan een scam. Ga je een website die 51% zeker een scam is offline halen, of kies je een grens van 40%, of misschien 60. Als je die grens veranderd dan veranderd ook de uitkomst, zeker met een automatisch systeem. Een AI werkt niet binair, het is niet 'dit is 100% zeker een scam', 'dit is 100% zeker geen scam' zonder iets daar tussenin.
Weet dat het via feedback knop moet. Maar ga dat maar eens doen op je mobiel!!!

hostingproviers
Het zou eigenlijk wel heel interessant zijn om te kunnen achterhalen wanneer er een dns record is toegevoegd. Dan block je gewoon alles wat nieuwer is als 24 uur.
Ik vind statistische data zoals dit interessant om te zien wat de ontwikkelingen zijn en soms te bepalen of de goede kant op gaan....
Echter met dit soort ongewenste dingen (hier dus phising websites) denk ik vaak, wat zouden we kunnen doen om het op nihil (richting 0) te brengen ?
Toch wel handig informatie dan, met nextdns.io wordt hier de toegang tot sites jonger dan 30 dagen automatisch geblokkeerd :)

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee