Twee pilots met logoherkenning zorgde ervoor dat SIDN zeker 200 malafide domeinnamen kon opsporen. Deze sites gebruikten bijvoorbeeld de logologo’s van Rijksoverheid of Thuiswinkel.org.
In de pilots werden met LogoMotive alle 6,2 miljoen .nl-domeinnamen geautomatiseerd gescand op gebruik van het Rijksoverheid-logo en het Thuiswinkel Waarborg. De resultaten werden vervolgens door experts van deze partijen geanalyseerd en geclassificeerd. In totaal ontdekte LogoMotive op die manier ruim 200 websites die een van de logo’s onrechtmatig gebruikten. Door het goede resultaat gaat SIDN nu permanent met het systeem werken.
LogoMotive is een zelf-ontwikkeld systeem van SIDN Labs. Het systeem bezoekt geautomatiseerd .nl-websites en maakt screenshots van de homepagina. Het systeem maakt screenshots van de logo’s ogo’s, herkent ze en uploadt de resultaten naar een webapplicatie. Analisten kunnen vervolgens bepalen of de site het logo gerechtvaardigd of met malafide intenties gebruikt.
Analyse
In totaal vond LogoMotive zo’n 11.700 domeinnamen met het Rijksoverheid-logo, en op ongeveer 10.600 .nl-sites trof het systeem het logo van Thuiswinkel.org aan. Analisten bij de Dienst Publiek en Communicatie, onderdeel van de Rijksoverheid en Thuiswinkel.org onderzochten al deze websites vevolgens handmatig. Bij de eerste scan vond het systeem drie phishingwebsites met het Rijksoverheid-logo. Tijdens het scannen naar nieuwe registraties, kwamen er daar nog eens drie bij (op een totaal van 53 websites met het logo). Daarnaast werden er 208 websites gevonden waar onterecht het Thuiswinkel Waarborg stond.
LogoMotive vond ook nog 82 verdachte domeinnamen met het Rijksoverheid-logo die bezoekers doorstuurde naar een authentieke overheidswebsite via HTTP-redirects. Dit waren domeinnamen die sterk leken op bekende overheidsdomeinen. De hoeveelheid DNS-verkeer toonde aan dat deze sites regelmatig bezocht werden.
Bij twee redirects werd verwezen naar websites van gespecialiseerde takken van de Rijksoverheid, waaronder een inlogportaal voor medewerkers. Dit kan duiden op een zogenaamde spearphishing-aanval. De dader wil dan specifieke overheidsmedewerkers aanvallen.
Aanvallers kunnen deze domeinnamen gebruiken om malafide e-mails te sturen. Bij een van deze domeinnamen vond het systeem MX-records van een dubieuze mailserver. Dergelijke redirects zijn volgens de onderzoekers van SIDN Labs een sluimerend risico, omdat ze (nog) niet malafide zijn en dus niet op blocklists staan. In het geval van spearphishing worden ze ook niet snel gemeld, omdat slechts een kleine groep mensen ze bekijkt.
Vincent Romviel, jurist en beleidsadviseur bij Thuiswinkel.org: “Dankzij LogoMotive hebben wij veel misbruik van ons logo kunnen opsporen. Door onterecht gebruik van ons logo tegen te gaan, zorgen we voor een veiliger internet voor consumenten. De pilots tonen dan ook aan dat logodetectie helpt om het .nl-domein nog veiliger te maken. Malafide websites, verdachte domeinnamen en onbekende domeinnamen worden zo sneller gedetecteerd en indien nodig kan er tijdig actie worden ondernomen door merkhouders.”
Merkbewaking
Op basis van deze nieuwe inzichten gaat SIDN LogoMotive integreren in SIDN Merkbewaking. Deze tool vindt voor gebruikers (malafide) domeinnamen die sterk lijken op een merknaam of de merknaam bevatten.
Door de uitbreiding van deze merkbewaking kunnen klanten profiteren van logoherkenning en hun merk zo nog beter beschermen en daarmee uiteindelijk .nl-gebruikers. SIDN Labs stelt ook de code van LogoMotive beschikbaar voor academici die het in vervolgonderzoek willen gebruiken, en voor collega-registry’s om het in hun DNS-zones toe te passen.
Lees ook:
- Van wie is al die data?
- Wat is een digitale supply chain nou écht?
