‘Bijna driekwart nieuwe domeinnamen schadelijk’

Een onderzoek van Palo Alto Networks laat zien dat Newly Registered Domains (NRD’s) in 70 procent van de gevallen gebruikt worden met kwaadaardige bedoelingen of ‘not safe for work’ (NSFW) zijn. Dit meldt het bedrijf dinsdag in een rapport.

Palo Alto meldt dat dit bijna tien keer zo veel is als de kwaadaardige domeinnamen bij de top 10.000 domeinnamen van Alexa. Ook heeft het overgrote deel van de kwaadwillend gebruikte domeinnamen een erg korte levensduur. Soms zelfs zo kort dat security-experts de sites niet eens kunnen detecteren voordat het kwaad al is geschied. Volgens Palo Alto moeten bedrijven daarom NRD’s standaard blokkeren, als voorzorgsmaatregel.

Soorten misbruik

Het systeem van Palo Alto identificeert iedere dag meer dan 200.000 NRD’s. De domeinnamen worden door Palo Alto in een aantal categorieën verdeeld. Dit zijn kwaadaardig, verdacht, ‘not safe for work’, goedaardig en overig. De eerste categorie gaat over domeinen voor malwaredistributie, command & control (domeinen die malware laten functioneren), en phishingsites. Verdachte sites kunnen bijvoorbeeld zo aangemerkt worden doordat er geen activiteit of te weinig inhoud op de site staat. NSFW gaat over alles wat bedoeld is voor de werkvloer, van bijvoorbeeld goksites tot sites waar pornografisch materiaal op te vinden is.

Niet verrassend is dat het topleveldomein .com de meeste NRD’s ziet, gevolgd door .tk en .cn. De meeste kwaadaardige NRD’s werden echter gevonden bij de TLD’s .to, .ki en .nf. Redenen voor het gebruik van deze domeinen zijn onder andere gratis registratie, minder strenge regelgeving of het moeilijker kunnen vinden van de geregistreerde gebruikers. Ook komt het fenomeen “typosquatting” veel voor: dit zijn NRD’s voor het misbruiken van typfouten. Als iemand bijvoorbeeld “googel” in plaats van “google” typt, wordt het domein “googel.com” misbruikt voor bijvoorbeeld advertentie-inkomsten of phishing.

Palo Alto noemt nog een aantal vergelijkbare technieken waarmee NRD’s door cybercriminelen worden misbruikt. Palo Alto raadt aan om deze domeinnamen te blokkeren door middel van URL-filtering. Ook al worden de goedaardige websites zo over een kam geschoren, want het risico van NRD’s is simpelweg te groot, zegt het bedrijf.