Deel dit artikel
-

ING hengelsite via Argeweb (update)

Hostingbedrijf Argeweb faciliteerde twee dagen lang een oplichterssite onder de naam ING-IBAN.nl, waar ING-klanten worden verzocht om hun persoonlijke gegevens in te voeren. Wordt zo’n site meestal gehost in een ver land, dit keer is het bewuste domein in elk geval aangevraagd via een Nederlands hostingbedrijf.

‘Per 2 december 2013 moet uw Mijn ING jaarlijks bijgewerkt worden vanwege de toename aan internetcriminaliteit’, meldt de mail die vanochtend vroeg al om 06.00 uur in de mailbox van Emerce belandde. De afzender van de mail, die geheel in de stijl van ING is opgemaakt, zit op UPC.

De Whois-gegevens melden als houder van de site Bas Maasen, met een Russisch mailadres krrstonie@yandex.com.

De mail die tamelijk echt is opgemaakt, bevat wel een aantal rare details. Zo staat er in kleine lettertjes dat de e-mail afkomstig is van InSites Consulting, statutair gevestigd te Rotterdam.

Daaronder de voor ontvanger verwarrende standaardregel dat ING-medewerkers nooit vragen naar postbode, wachtwoord en activeringscode, op welke manier ook.

De website wordt niet gehost bij Argeweb, maar maakt gebruik van een zogenoemd frame-redirect. De domeinnaam is vanochtend offline gezet zodat de omleiding niet meer werkt. Het bedrijf zegt de procedures te gaan verscherpen.

Capture

Capture

Deel dit bericht

10 Reacties

Jan

Ipv aktie te ondernemen verscherpen ze de veiligheidsregels

Nu is abmamro-nl geen phisfing website maar de abnamro kan dat domein toch opkopen voorkomt en hoop problemen

Tom van Leeuwen

De website wordt niet gehost bij Argeweb maar maakt gebruik van een frame-redirect. Domeinnaam is offline gezet zodat de redirect niet meer werkt.

Jan Libbenga (Redactie Emerce)

Dank, heb het artikel geactualiseerd. Is menselijke controle op dit soort domeinnamen niet een idee?

Michiel Steltman

Emerce legt in het artikel een verband tussen de hoster Argeweb en de genoemde phishing site. Dat wekt de suggestie dat Argeweb nalatig is als het gaat om het offline brengen van malicious sites of content, en de suggestie dat Argeweb dit had kunnen voorkomen door inspectie van de data of activiteiten van hun klant.

De wijze waarop hosters om moeten gaan met dit type activiteiten is vastgelegd in de procedure notice en takedown (https://www.dhpa.nl/ntd.html). Deze NTD is door de DHPA en andere betrokken partijen ontwikkeld en wordt internationaal geroemd als een goede procedure voor het gericht en effectief offline brengen van malicious content. Het komt erop neer dat een hoster direct in actie komt na een melding, en na toepassen van hoor en wederhoor een site met illegale content of activiteiten offline brengt.
Het toepassen van hoor en wederhoor voorkomt dat hosters ook legitieme content offline zouden kunnen brengen naar aanleiding van een onterechte melding. De NTD is ook gebaseerd op het principe dat hosters zich moeten onthouden van het inspecteren van de content van hun klanten. Hosters zijn immers net als verhuurders: ze dienen de privacy van hun huurders te respecteren. Ze hebben noch het recht noch de verantwoordelijkheid om activiteiten of content (data) van hun huurders te inspecteren of te toetsen. Die rol is voorbehouden aan de belanghebbenden. Hosters rekenen dan ook op de snelle en effectieve meldingen van derden, die de NTD procedure op gang brengen. Bovendien is het inspecteren van content ook nog eens ondoenlijk, hosters als Argeweb hebben honderdduizenden domeinen.

In het genoemde geval is de site door Argeweb binnen een uur na de melding offline gebracht, een duidelijke illustratie van de effectiviteit van de NTD.

De DHPA werkt graag mee aan alle initiatieven die vroegtijdige detectie en melding van malicious content of activiteiten beogen. Voorbeelden zijn projecten zoals ACDC en de ABUSE-IX, beiden gericht op detectie van botnets. Snelle meldingen zouden kunnen komen van de banken zelf, die hier teams voor hebben.

Wellicht zouden de NVB (de Nederlandse Vereniging van Banken) en SIDN eens kunnen onderzoeken hoe registratie van banknaam-achtige domeinen door partijen met minder ethische bedoelingen kan worden voorkomen.

Met vriendelijke groet,

Michiel Steltman
Directeur Dutch Hosting Provider Association (DHPA)

Jan Libbenga (Redactie Emerce)

De ‘nalatigheid’ zit hem volgens mij toch vooral in het feit dat er geen controle heeft plaatsgevonden op de aanvraag van een domeinnaam die al bij een blik verdacht is.

De melding kon niet worden gedaan voor 9 uur, want het bedrijf heeft geen telefoonnummer voor spoedmeldingen. Volgens mij was de omleiding via de domeinserver 2 uur na mijn melding nog steeds actief. En die zwakke schakels kennen deze oplichters maar al te goed. Ze hebben iets van vier uur lang gegevens kunnen binnenharken.

van Deurzen

@Jan Libbenga; waarom is de domeinnaam bij 1 blik al verdacht?! Wat als iemand een ING rekening heeft en zijn mederekeninghouders wil informeren over IBAN uit goedheid en informatievoorziening? Op die manier zijn er heeeeeel veel domeinnamen die ineens verdacht zouden zijn!

Jan Libbenga (Redactie Emerce)

@ Van Deurzen. ING zou deze domeinnaam niet hebben geaccepteerd. Wekt verwarring. Dubbelcheck bij gebruik van erkende handelsnamen lijkt me dan ook geen overbodige luxe.

Vincent

“Daaronder de voor ontvanger verwarrende standaardregel dat ING-medewerkers nooit vragen naar postbode, wachtwoord en activeringscode, op welke manier ook.”

PostBode?
Aan de slechte spelling is al te zien dat het een nepmail is 😉

Sander

Sorry maar een dergelijke domeinnaam registreren in combinatie met de aanvrager gegevens (email adres: yandex.com) geeft toch een bepaalde twijfel?

M. Steltman

Het registreren van domeinnamen is een geautomatiseerd proces. Registraties worden dus niet door mensen beoordeeld. Dat is met de enorme volumes aan registraties ook niet economische haalbaar.
Zou er een oplossing voor dit probleem moeten worden gevonden, dan moet dat dus langs de technische weg. Je krijgt dan te maken met fuzzy logic. Hoe bepaal je twijfelachtige combinaties? Er zijn bijv veel woorden met “ing” erin.
Vooralsnog zoeken wij de oplossing in het versnellen van notices en verbeteren van takedowns. Misschien niet de meest ideale, maar wel de meest haalbare oplossing.

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond