Checkjelinkje heeft zich in haar onderzoek specifiek gefocust op domeinnamen die hoogstwaarschijnlijk door cybercriminelen zelf zijn geregistreerd en werden gebruikt voor phishing. Domeinnamen die voor meerdere doeleinden worden gebruikt, legitieme sites die met malware besmet zijn, of domeinen waarvan het gebruik voor phishing niet met zekerheid kon worden vastgesteld, zijn niet meegenomen in de analyse.
De analyse van 3.500 specifieke domeinnamen toont aan dat cybercriminelen steeds sneller handelen. Waar in het derde kwartaal van 2023 de gemiddelde tijd tussen registratie en misbruik nog 13 dagen was, is dat nu verminderd naar 12 dagen. De mediaan is in diezelfde periode zelfs gedaald van 8 dagen naar 7.
Binnen 48 uur actief
Een bijzonder zorgwekkende trend is de toename van het percentage malafide domeinnamen dat razendsnel, namelijk binnen 48 uur na registratie, wordt gebruikt voor phishingaanvallen. In het derde kwartaal van 2023 lag dat percentage nog op 13%, maar is inmiddels gestegen naar 19%.
Deze versnelde inzet van nieuwe domeinnamen voor phishingcampagnes vormt een groeiend probleem. Het verkort namelijk de tijd waarbinnen beveiligingsteams kunnen reageren om dergelijke phishingsites te identificeren en offline te halen, waardoor het risico toeneemt dat onschuldige internetgebruikers slachtoffer worden.
Verschillende tactieken
De strategieën van cybercriminelen zijn divers. Sommigen registreren nieuwe domeinnamen die lijken op bekende organisaties en zetten deze direct in voor phishing. Anderen kiezen voor een subtielere aanpak door generieke domeinnamen te registreren en pas na een periode van inactiviteit subdomeinen voor phishingcampagnes te gebruiken. Daarnaast worden legitieme websites soms door malware gekaapt en misbruikt voor phishing. In de afgelopen periode nam dus met name het percentage domeinnamen dat snel werd ingezet, toe.
Checkjelinkje waarschuwt
Om gebruikers te beschermen tegen deze nieuwe trend, voerde Checkjelinkje een nieuwe waarschuwing in. Deze waarschuwing verschijnt wanneer een gebruiker een link checkt waarvan het domeinnaam kortgeleden is geregistreerd (in de afgelopen paar dagen).
Sinds medio januari werd deze waarschuwing voor een deel van de Checkjelinkje gebruikers actief. Uit verdere analyse blijkt dat deze waarschuwing in minder dan 1% van de checks onterecht werd getoond. Het is dus een betrouwbare indicator voor een mogelijk malafide website.
Tips om te checken of een website veilig is:
- Let op de afzender: Wees alert op e-mails of berichten van onbekende afzenders.
- Gebruik een linkchecker: Check de link met de Checkjelinkje linkchecker.
- Gebruik je gezond verstand: Als iets te mooi lijkt om waar te zijn, is het dat waarschijnlijk ook.