Nationale en internationale phishing-aanvallers onthuld

Nieuws - 26 september 2024 - Communication EWI

Phishing-aanvallen, waarbij gebruikers worden overgehaald om privégegevens te delen, vormen al jaren een grote bedreiging voor de online veiligheid. Volgens een FBI-rapport uit 2023 is het de belangrijkste vorm van digitale misdaad. Assistant Professor Giovane Moura en Prof. Georgios Smaragdakis van de afdeling Intelligent Systems hebben samengewerkt met drie Europese landcodetopniveaudomeinen (ccTLD's) om phishing-aanvallen te karakteriseren, waarbij ze zich richten op .nl in Nederland, .be in België en .ie in Ierland. Door deze patronen te begrijpen, wil het onderzoek de beveiligingsmaatregelen verbeteren en internetgebruikers beschermen tegen phishingdreigingen.

Twee hoofdtypen aanvallers

Het onderzoek identificeert twee hoofdtypen aanvallers die actief zijn in de Nederlandse .nl- en Belgische .be-zones:

  • Lokale aanvallers: Deze aanvallers registreren nieuwe, zorgvuldig gekozen domeinnamen om zich voor te doen als lokale bedrijven, zoals update-your-card.nl om zich voor te doen als ING bank. Ze zijn verantwoordelijk voor 20% van de phishingaanvallen en vereisen dat aanvallers betalen voor domeinnamen en deze configureren. Ze spreken de talen van de landen.
  • Internationale aanvallers: In plaats van nieuwe domeinnamen te registreren, misbruiken deze aanvallers elke kwetsbare website, zoals websites met verouderde Content Management Systemen (CMS) zoals WordPress. Deze methode is relatief eenvoudig uit te voeren met geautomatiseerde tools, wat leidt tot een grote populatie aanvallers die azen op elke kwetsbare domeinnaam. Een website als flowers-delft.nl kan bijvoorbeeld worden gebruikt voor een phishingaanval gericht op een bank in Tanzania. Zij zijn verantwoordelijk voor 80% van de phishingaanvallen.

 

Gevolgen voor beleid en beveiliging

Deze verschillen zijn cruciaal voor het beperken van deze aanvallen. Domeinnamen van lokale aanvallers kunnen snel worden verwijderd uit het DNS, maar aangetaste websites vormen een complexere uitdaging, omdat ze niet kunnen worden beperkt op DNS-niveau (dit zou legitieme websites van het internet verwijderen) en beperking vereisen bij hostingproviders.

Het door vakgenoten beoordeelde onderzoek heeft belangrijke gevolgen voor het beleid en de beveiliging, die momenteel binnen de drie Europese ccTLD's worden besproken. Beleidsaanpassingen worden verwacht als resultaat van dit onderzoek.

De resultaten van dit onderzoek zullen worden gepresenteerd op de komende ACM Conference on Computer and Communications Security (ACM CCS 2024).