Checkjelinkje waarschuwt: Phishingdomeinen steeds sneller in gebruik

Cybercriminelen versnellen het misbruik van domeinnamen voor phishingaanvallen. Checkjelinkje analyseerde 40.000 malafide websites en ontdekte dat de gemiddelde tijd tussen registratie en misbruik daalt. In het derde kwartaal van 2023 was dat 13 dagen, nu is dat nog maar 12 dagen. Opmerkelijk is ook dat steeds vaker, inmiddels in bijna een vijfde van de gevallen, domeinnamen zelfs binnen 48 uur na registratie worden misbruikt voor phishing.

Lees het bericht op de website.

Checkjelinkje heeft zich in haar onderzoek specifiek gefocust op domeinnamen die hoogstwaarschijnlijk door cybercriminelen zelf zijn geregistreerd en werden gebruikt voor phishing. Domeinnamen die voor meerdere doeleinden worden gebruikt, legitieme sites die met malware besmet zijn, of domeinen waarvan het gebruik voor phishing niet met zekerheid kon worden vastgesteld, zijn niet meegenomen in de analyse.

De analyse van 3.500 specifieke domeinnamen toont aan dat cybercriminelen steeds sneller handelen. Waar in het derde kwartaal van 2023 de gemiddelde tijd tussen registratie en misbruik nog 13 dagen was, is dat nu verminderd naar 12 dagen. De mediaan is in diezelfde periode zelfs gedaald van 8 dagen naar 7.

Binnen 48 uur actief
Een bijzonder zorgwekkende trend is de toename van het percentage malafide domeinnamen dat razendsnel, namelijk binnen 48 uur na registratie, wordt gebruikt voor phishingaanvallen. In het derde kwartaal van 2023 lag dat percentage nog op 13%, maar is inmiddels gestegen naar 19%.

Deze versnelde inzet van nieuwe domeinnamen voor phishingcampagnes vormt een groeiend probleem. Het verkort namelijk de tijd waarbinnen beveiligingsteams kunnen reageren om dergelijke phishingsites te identificeren en offline te halen, waardoor het risico toeneemt dat onschuldige internetgebruikers slachtoffer worden.

Verschillende tactieken
De strategieën van cybercriminelen zijn divers. Sommigen registreren nieuwe domeinnamen die lijken op bekende organisaties en zetten deze direct in voor phishing. Anderen kiezen voor een subtielere aanpak door generieke domeinnamen te registreren en pas na een periode van inactiviteit subdomeinen voor phishingcampagnes te gebruiken. Daarnaast worden legitieme websites soms door malware gekaapt en misbruikt voor phishing. In de afgelopen periode nam dus met name het percentage domeinnamen dat snel werd ingezet, toe.

Checkjelinkje waarschuwt
Om gebruikers te beschermen tegen deze nieuwe trend, voerde Checkjelinkje een nieuwe waarschuwing in. Deze waarschuwing verschijnt wanneer een gebruiker een link checkt waarvan het domeinnaam kortgeleden is geregistreerd (in de afgelopen paar dagen).

Sinds medio januari werd deze waarschuwing voor een deel van de Checkjelinkje gebruikers actief. Uit verdere analyse blijkt dat deze waarschuwing in minder dan 1% van de checks onterecht werd getoond. Het is dus een betrouwbare indicator voor een mogelijk malafide website.

Hoe heeft Checkjelinkje het onderzoek uitgevoerd?

Checkjelinkje heeft voor deze analyse 3.500 specifiek voor phishing gebruikte domeinnamen onderzocht, geselecteerd uit een dataset van 40.000 malafide websites uit de periode juli 2023 tot nu. De focus lag op domeinnamen die actief misbruikt werden en als kwaadaardig geverifieerd zijn, waarbij “legitieme” domeinnamen en domeinnamen die breed door verschillende partijen worden gebruikt, werden uitgesloten.

Door registratie- en eerste verschijningsdata in onze database te vergelijken, kon de snelheid van misbruik worden vastgesteld, met speciale aandacht voor de bescherming van gebruikersprivacy.

Om de privacy van gebruikers te beschermen, bewaren we niet altijd de volledige URL’s na een check. We bewaren wel het domeinnaam, waardoor we konden bepalen wanneer een domeinnaam voor het eerst in onze database voorkwam.

De statistieken zijn met name relevant voor websites gericht op Nederlandse of Nederlandstalige gebruikers, hoewel er ook internationale phishingsites in de dataset waren.

Vragen over dit artikel?

Neem contact met ons op via pr@checkjelinkje.nl.