We plaatsen een cookie voor Google Analytics om onze website te verbeteren

Met een cookie kun je advertenties personaliseren. Wij hanteren echter de strikte regels van de Autoriteit Persoonsgegevens. Surfgedrag houden we niet bij en we achtervolgen je ook niet met reclame.

Combosquatting: wat is het precies en waar moet je op letten?

Cybercrime, criminaliteit met ICT als middel en doelwit, wordt steeds geavanceerder. Internetcriminelen blijven methodes ontwikkelen waar jij een slachtoffer van kunt worden. Zo bestaat er ‘combosquatting’, een zeer effectieve methode om je met legitiem klinkende variaties op merknamen naar malafide websites te lokken. Hoe werkt deze manier van misbruik precies en hoe herken je het?

Combosquatting: waar moet je op letten?

Je wilt via internetbankieren even snel geld overmaken. Daarom start je je browser, typt haastig het domein van je bank in en komt vervolgens op een website die er net iets anders uit ziet dan je gewend bent. Je kijkt nogmaals. Ah, je hebt in de haast een typefout gemaakt. Dat verklaart het. Je corrigeert het en logt alsnog in op de legitieme website van je bank.

Gelukkig gaat het in dit voorbeeld goed, maar die nepwebsite zag er wel verdraaid echt uit. De techniek om domeinen met typefouten vast te leggen, met misbruik als doel, wordt ook wel ‘typosquatting’ genoemd. Het is een veelgebruikte manier om bijvoorbeeld achter de inloggegevens van je bankrekening te komen. Een variant hierop is ‘combosquatting’ en wordt volgens recent onderzoek op steeds grotere schaal toegepast.

Combosquatting, wat is het?

Bij combosquatting registreert een internetcrimineel een domeinnaam die lijkt op het legitieme adres. Dit bestaat altijd uit een combinatie van een bekende merknaam met een kleine toevoeging. Bijvoorbeeld, als ‘bank.nl’ het legitieme domein is, dan legt een crimineel ‘bank-support.nl’ vast. Zo is ‘bank-support.nl’ dan in handen van iemand met kwade bedoelingen.

Als het ‘lokdomein’ is vastgelegd, dan doet de eigenaar ervan er vervolgens alles aan om de website erachter zo legitiem mogelijk over te laten komen. Onder andere door de originele website zo goed mogelijk na te maken. Ook proberen ze vertrouwen op te wekken door een SSL-certificaat aan het domein te koppelen, te herkennen aan het groene slotje in de adresbalk.

Ze hoeven je alleen nog een e-mail te sturen vanaf dat adres, bijvoorbeeld over een probleem met je rekeninggegevens en dat jouw actie vereist is. Je hoeft geen link te volgen, maar ze vragen je om zelf naar ‘bank-support.nl’ te gaan en daar in te loggen. Door dat te doen, hebben ze je gegevens en kunnen ze daar verder mee aan de slag.

Waarom herkent een spamfilter het niet?
Deze e-mails komen vaak door een spamfilter heen, omdat ze geen link bevatten naar een phishing-website. Daarnaast zorgen ze ervoor dat de berichten goed gevalideerd worden, bijvoorbeeld met behulp van een SPF-record en het spoofen van het e-mailadres van je bank. Zo lijkt het bericht al snel legitiem, terwijl dat niet zo is.

Combosquatting in de praktijk

We zien wel eens gebeuren dat een domeinhouder een Engelstalige e-mail ontvangt van een andere partij dan Antagonist. Er wordt door die partij verzocht om in te loggen en de domeinnaam bij ze te verlengen. Je gaat twijfelen, je hebt het domein toch niet geregistreerd bij die partij? En had je recentelijk niet al verlengd en verloopt het dus nog lang niet?

Klopt, het gaat hier dan ook om een zogeheten ‘scam’. Je hoeft niet aan een derde partij kosten te voldoen voor jouw domein, registratie en verlenging gaat altijd via de provider waar je het heb vastgelegd. Toch roept het terecht de vraag op of het echt is, want je wilt je waardevolle domeinnaam natuurlijk ook niet verliezen.

Niet alleen voor phishing
Combosquatting wordt niet alleen ingezet voor het achterhalen van inloggegevens (phishing). Denk ook aan het verspreiden van malware of verkoop van namaakartikelen van bekende merken.

De schaal van het probleem

Combo- en typosquatting, beide vormen van social engineering, worden al langere tijd ingezet. Tot zover niets nieuws. Het is vooral de schaal waarop dit tegenwoordig gebeurt, waardoor het nu veel onder de aandacht komt. Onderzoekers van de Georgia Tech and Stony Brook University hebben in kaart gebracht dat er ruim 2,7 miljoen combosquatting-websites zijn.

Van een klein probleem is dus geen sprake. En dat het domein zo echt lijkt, dat is de kracht van deze vorm van cybercrime, waar helaas veel mensen intrappen. Het besef ontbreekt vaak dat iedereen een domeinnaam kan registreren, dus ook eentje die op een merknaam lijkt. Zo wordt er misbruik gemaakt van het vertrouwen dat een bekend merk kan opwekken.

Wat kun je ertegen doen?

Bij campagnes over phishing wordt er vaak geadviseerd om niet op een link in een e-mail te klikken, op het groene slotje te letten en te controleren of het domein juist is. Maar wat doe je bij combosquatting? Daar hoef je niet op een link te klikken, de domeinen hebben vaak een SSL-certificaat en het afzenderadres kunnen ze spoofen. En dat er zo enorm veel variaties op legitieme adressen zijn te verzinnen, maakt het er niet gemakkelijker op.

Hoe herken je combosquatting?

Het belangrijkste wat je ertegen kunt doen, is en blijft goed opletten. Als je twijfelt of een e-mail legitiem is, let dan op de onderstaande aspecten.

  • Het afzenderadres
    Cybercriminelen kunnen vaak een afzender spoofen. Als afzenderadres wordt dan bijvoorbeeld ‘info@domein.nl’ weergeven. Echter, als je op ‘reply’ klikt, dan zul je een afwijkend e-mailadres zien. De headers opvragen kan je ook inzicht geven.
  • Taal en spelling
    Als een bedrijf Nederlands is en je ontvangt een bericht met veel spelfouten of in een andere taal, zet hier dan direct je vraagtekens bij. Heb je eerder bericht van deze organisatie ontvangen? Vergelijk ze met elkaar om vast te stellen of het nieuwe bericht legitiem is.
  • Domeinnaamhouder
    Je kunt via de Whois de eigenaar van een domeinnaam controleren. Zo heb je een beter beeld tot wie het domein in het afzenderadres behoort. Voor .NL-domeinen kan dit via SIDN, voor domeinen met een internationale extensie (e.g. .COM of .ORG) kan dit via ICANN.
  • Informeer bij de organisatie en meld misbruik
    Klopt de afzender en is het bericht netjes geschreven, maar vertrouw je het toch niet? Neem dan contact op met de organisatie via kanalen die je vertrouwt. Banken hebben vaak een overzicht met voorbeelden en instructies hoe je een melding kunt maken van misbruik.

Tot slot

Let erg goed op waar je op klikt en welke URL’s je vertrouwt. Mocht je twijfelen, pas dan de bovenstaande tips toe! Daarnaast kun je ook met de (echte) organisatie contact opnemen. Uiteraard doe je dit altijd via contactgegevens die je via legitieme kanalen hebt verkregen.

P.S. Wil je op de hoogte blijven van alle artikelen, updates, tips en trucs die verschijnen op ons blog? Dat kan! Rechts bovenin via RSS, e-mail, het liken op Facebook, het +1’en op Google+ of het volgen op Twitter.

Deel dit blog
Dennis Scholing
Dennis Scholing

Sinds april 2017 werkzaam op de afdeling Support van Antagonist. Door zijn vergaande interesse in IT heeft hij veel ervaring opgedaan met webhosting. Helpt graag iedereen met zijn of haar vragen!

Artikelen: 12

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Sterren Webhosting: 5 sterren uit 5.830 reviews

60.000+ webhostingpakketten actief
Bij de beste webhosters in MT1000 en Emerce 100