Het aantal nieuwe, Oekraïne-gerelateerde domeinnamen is significant gestegen. Dit blijkt uit een analyse door de Threat Intelligence Group van securityspecialist Infoblox. Sinds de Russische invasie van Oekraïne op 24 februari zijn meer dan twee keer zoveel domeinen voor het eerst waargenomen dan in de voorgaande week. Veel van deze websites zijn daadwerkelijk opgezet om Oekraïners te ondersteunen. Maar cybercriminelen maken gebruik van deze behoefte om te helpen. Daarom hebben zij sites opgezet die deze hulpacties nabootsen om cryptovaluta buit te maken.
Analyse van domeinnamen
De Infoblox Threat Intelligence Group heeft een uitgebreide lijst van indicatoren van cybercrime geïdentificeerd die erop kunnen wijzen dat er sprake is van fraude. Daarnaast hebben onderzoekers handmatig tientallen van de nieuwe domeinnamen geanalyseerd.
Het kan met op het eerste gezicht lastig zijn om malafide websites van het echte werk te onderscheiden. De URLs, de vormgeving en de gebruikte teksten lijken allemaal op die van legitieme initiatieven. Geautomatiseerde scans zijn tot op zekere hoogte behulpzaam. Maar die kunnen ook averechts werken. Zo kunnen legitieme websites automatisch gemarkeerd worden als kwaadaardig. Dit, als ze bijvoorbeeld linken naar gedeelde documenten. Juist daarom is handmatig onderzoek nodig om kenmerken van fraude te vinden. Daarvoor moet je verder kijken dan de homepage.
Voorzichtigheid geboden
Denk daarbij aan de mogelijkheid om met cryptomunten te doneren. Met name aan adressen die geen transactiegeschiedenis hebben. Ook claims van domeinnamen die niet publiek inzichtelijk zijn, zijn een signaal.
Fouten en slordigheden in de gebruiksvoorwaarden komen ook regelmatig voor. Zo verwees één van de gebruiksvoorwaarden op een frauduleuze website naar een eerdere fraudecampagne. Namelijk rond COVID-19. Ook komt het voor dat meerdere recent opgezette websites vanaf hetzelfde IP-adres worden gehost.
Naast frauduleuze websites ziet Infoblox ook e-mailcampagnes waarbij gebruikers worden verleid om een bijlage te openen met de Agent Tesla keylogger trojan. Het advies vanuit Infoblox is dan ook: wees voorzichtig.
Lijst met domeinnamen
Infoblox raadt iedereen aan niet zomaar op links naar sites of bijlagen te klikken. En de legitimiteit van de links vooraf te verifiëren. Sommige sites kunnen dienen als dekmantel voor criminele groeperingen. Die plaatsen spyware op apparaten en verzamelen persoonsgegevens. Voordat gebruikers persoonlijke of financiële gegevens aan websites verstrekken, zou je deze altijd moeten checken bij gevestigde autoriteiten.
