Vaak gebruikte websitetechnologieën door internetoplichters

Bij het herkennen van oplichterij gaat het om het vermogen om de signalen die uit de beschikbare gegevens komen te zien en te evalueren. Bijna alles kan een signaal zijn dat de gebruiker alarmeert over de mogelijkheid van verdachte activiteiten op een website. Bijvoorbeeld de leeftijd van de domeinnaam of de lengte ervan, de aan- of afwezigheid van een SSL-certificaat, de grammatica van de tekstinhoud, afbeeldingen, knoppen voor sociale media, enzovoort. Er moet ook rekening worden gehouden met de technologische stapel van de website.

Techradar.nl

Fraudeurs gebruiken vaak bepaalde websitetechnologieën om nietsvermoedende slachtoffers te verleiden tot het verstrekken van gevoelige informatie, het stelen van geld of het compromitteren van hun identiteit. Dat wil niet zeggen dat de technologieën zelf slecht zijn. Het gaat erom hoe ze door kwaadwillenden worden gebruikt. Zoals met elke andere technologische vooruitgang, kunnen ze zowel voor goede als slechte dingen worden gebruikt. Het meest bekende voorbeeld hiervan is misschien wel vuur, dat gebruikt kan worden voor het bereiden van een maaltijd of voor brandstichting. Dat gezegd hebbende, zijn er zeker bepaalde patronen in het gebruik van bepaalde technologieën die kunnen worden beschouwd als signalen van verdachte activiteiten.

Fraude kan natuurlijk op veel verschillende manieren plaatsvinden en de technologieën die worden gebruikt voor kwaadaardige activiteiten kunnen het meest geavanceerd zijn. Met dit artikel willen we geen uitgebreide lijst van technologieën geven, maar wel voorbeelden van hoe sommige websitetechnologieën kunnen worden uitgebuit door internetoplichters vanwege bepaalde kenmerken die ze bezitten of bieden, namelijk:

• Betaalbaarheid
• Anonimiteit
• Veiligheid
• Bruikbaarheid

Betaalbaarheid: Domeinnaam registratie

Het maken van een website begint met het registreren van een domeinnaam, wat niet kan zonder de diensten van een domeinnaamregistrar.

Volgens onderzoek uitgevoerd door Scamadviser in september 2022 heeft GoDaddy, 's werelds grootste domeinregistrar, zijn aandeel in het hosten van dubieuze domeinen verhoogd van 3% vorig jaar naar 7,5% dit jaar. Dit percentage is iets lager dan het algemene gemiddelde, maar in absolute aantallen is dit enorm.

De top drie registrars met het hoogste percentage geregistreerde domeinen met een lage score zijn Alibaba (63,8%), NameSilo (28,2%) en NameCheap (14,8%).

Deze populaire domeinnaamregistratiediensten, die bekend staan om hun betaalbaarheid, zijn helaas niet immuun voor misbruik door internetfraudeurs. Door hun lage kosten en gebruiksgemak kunnen deze platforms onbedoeld de creatie van bedrieglijke websites vergemakkelijken.

Het feit dat de domeinnaam is geregistreerd bij een van de bovengenoemde registrars betekent geenszins dat het om oplichterij gaat, aangezien miljoenen legitieme domeinnamen bij hen zijn geregistreerd. Het is echter wel een signaal waar men op moet letten en informatie die moet worden overwogen in combinatie met andere signalen bij het evalueren van een website.

Anonimiteit: Inhoud afleveringsnetwerk

Een Content Delivery Network, kortweg CDN, is een netwerk van servers verspreid over verschillende locaties over de hele wereld. De belangrijkste functie is het snel leveren van internetcontent.

De distributie van servers zorgt ervoor dat gebruikers toegang krijgen tot inhoud van een server die geografisch dicht bij hen in de buurt staat, wat resulteert in snellere laadtijden. Dit is vooral belangrijk voor het laden van zware inhoud zoals video's, afbeeldingen en scripts.

Wanneer een gebruiker een webpagina opvraagt, leidt het CDN het verzoek om van de server van de oorspronkelijke site naar een server in het CDN die zich het dichtst bij de gebruiker bevindt en levert de inhoud in de cache vanaf die server. Als de inhoud niet beschikbaar is in de cache, vraagt de CDN-server deze op bij de origin server, slaat de inhoud op in de cache voor toekomstig gebruik en serveert deze aan de gebruiker.

Hier wordt het lastig, vooral als het gaat om Cloudflare

Wanneer de CDN-services van Cloudflare door een website worden gebruikt, wordt de werkelijke host van de website niet onthuld. Cloudflare biedt een reverse proxyservice die als tussenpersoon fungeert tussen de hostserver en de bezoekers, waardoor de origin server verborgen blijft. Vanuit handhavingsperspectief betekent dit dat wanneer een website IP schendt en Cloudflare als CDN-provider gebruikt, de enige informatie die onmiddellijk beschikbaar is voor de rechthebbende, is dat Cloudflare CDN-diensten levert. De operator van de site wordt niet onthuld, noch de ware hostlocatie van de site. Hoewel dit bescherming biedt tegen cyberaanvallen zoals een denial-of-service-aanval, kan het een tweesnijdend zwaard zijn omdat de verkregen anonimiteit ook kan worden gebruikt voor kwaadaardige doeleinden.

Volgens de bevindingen van het onderzoek uitgevoerd door Corsearch in 2022:

• 71% van de websites die door Corsearch bij Google zijn aangemeld voor degradatie in de zoekmachine gebruikte Cloudflare's Content Delivery Network (CDN) diensten
• Bijna de helft (49%) van alle websites die werden gemarkeerd voor contentpiraterij (bijv. film, tv, muziek, fotografie) gebruikte Cloudflare
• Een kwart (23,5%) van alle websites die zijn gemarkeerd voor het aanbieden van namaakproducten gebruikte Cloudflare.

Nogmaals, CDN van Cloudflare is een geweldig en noodzakelijk product, maar het wordt vaak gebruikt door kwaadwillenden om hun identiteit te verbergen. Het kan dus worden beschouwd als een signaal voor degenen die cybercriminelen bestrijden bij het beoordelen van de geloofwaardigheid van een website.

Beveiliging: SSL Certificaten

SSL-certificaten (Secure Socket Layer), meestal gesymboliseerd door het voorvoegsel 'https' en een hangslotpictogram in de adresbalk, zijn ontworpen om gegevensoverdracht tussen de browser van een gebruiker en de website die hij bezoekt te versleutelen. Deze certificaten worden vaak gebruikt als teken van websitebeveiliging en gegevensbescherming. Helaas maken internetoplichters misbruik van deze veiligheidsperceptie om hun snode activiteiten een aura van legitimiteit te geven.

Fraudeurs, vooral die achter phishingcampagnes, beveiligen vaak SSL-certificaten voor hun bedrieglijke websites. Aangezien veel gebruikers het pictogram 'https' en het hangslotje associëren met veiligheid en betrouwbaarheid, kan deze tactiek gebruikers effectief misleiden en hen laten denken dat een frauduleuze site echt is.

Let's Encrypt, een certificaatautoriteit zonder winstoogmerk opgericht door de Internet Security Research Group (ISRG), biedt gratis SSL/TLS-certificaten aan als onderdeel van een beweging om een veiliger en privacy-respecterend web te creëren. Maar de gemakkelijke toegang en de gratis aard van deze certificaten hebben ze helaas ook aantrekkelijk gemaakt voor internetoplichters.

Volgens gegevens verzameld door DomainCrawler heeft 96,99% van alle e-commerce websites een SSL-certificaat. 65% wordt uitgegeven door Let's Encrypt.

Websites met e-commerce, gegevens van DomainCrawler per 28 augustus 2023

Zo gaat het vaak: een fraudeur maakt een bedrieglijke website die is ontworpen om een gerenommeerd merk of een gerenommeerde dienst na te bootsen. Om de schijn van legitimiteit op te houden, kopen ze een SSL-certificaat van Let's Encrypt. Het 'https'-voorvoegsel en het hangslotpictogram die nu zichtbaar zijn in de adresbalk van de gebruiker, kunnen gebruikers dan misleiden door hen te laten denken dat ze op een veilige, betrouwbare site zijn.

Een oplichter kan bijvoorbeeld een nagemaakte webshop maken en producten aanbieden waar veel vraag naar is tegen sterk gereduceerde prijzen. Nadat ze een gratis SSL-certificaat van Let's Encrypt hebben bemachtigd, kunnen ze potentiële slachtoffers phishing-e-mails sturen die hen naar hun "veilige" website leiden.

Het is cruciaal om te begrijpen dat Let's Encrypt en andere SSL-certificaten weliswaar een essentiële beveiligingslaag bieden door gegevens te versleutelen, maar dat ze de integriteit van de websitebeheerder of de inhoud van de website niet verifiëren. Het is echter veel minder waarschijnlijk voor oplichters om Extended Validation types van SSL-certificaten te gebruiken.

Replicatie: SaaS CMS en E-commerce platforms

Het wijdverspreide gebruik van Software-as-a-Service (SaaS) CMS en E-commerce platforms, zoals Shopify, WooCommerce, Wix of Squarespace, heeft de drempel voor online bedrijven verlaagd, wat helaas ook geldt voor illegale activiteiten. Deze platforms bieden alle noodzakelijke hulpmiddelen voor het maken van een online winkel, inclusief productlijsten, afbeeldingen, winkelwagentjes en betalingsgateways, waardoor oplichters geavanceerde, mooie websites kunnen maken met de mogelijkheid om e-commerce functionaliteit toe te voegen.

Het belangrijkste voordeel is de snelle installatie. Deze platforms bieden gebruiksvriendelijke interfaces en sjablonen, waardoor iedereen snel een professioneel uitziende online winkel kan opzetten, ook oplichters. Ze kunnen snel een valse webshop maken, deze vullen met productlijsten (vaak gekopieerd van legitieme sites) en beginnen met het "verkopen" van producten.

Daarnaast creëert beperkte verificatie mogelijkheden voor oplichters. Hoewel SaaS-platforms een beleid hebben tegen frauduleuze activiteiten, kan het door het grote aantal nieuwe shops dat wordt aangemaakt moeilijk zijn om elke shop grondig te controleren. Fraudeurs kunnen hier misbruik van maken, tenminste voor een korte periode, totdat ze ontdekt en afgesloten worden.

Conclusie

Websitetechnologieën kunnen worden gebruikt voor zowel legitieme als illegale doeleinden, zoals bijna alles in de wereld.

Anonimiteit, snelle replicatie en een lage prijs zijn de dingen die een bepaalde oplossing of technologie populair maken onder fraudeurs. Voorzitter van GASA, Jorij Abraham, zegt: Oplichters gebruiken geen dure software, maar ze professionaliseren. We zien dat sommige scammers hele scamplatforms hebben ontwikkeld, waardoor het heel gemakkelijk is om hun scams van het ene domein naar het andere te kopiëren/plakken. We hebben het zelfs een keer gemeten. Een website werd neergehaald en automatisch, binnen 3,5 minuut, werd de volgende site gelanceerd. Dit bevestigt alleen maar dat we onze reactie moeten automatiseren. We kunnen dit niet handmatig winnen.

Oplossingen zoals DomainCrawler en ScamaviserAnalyzer maken het mogelijk om het gebruik van websitetechnologieën te volgen om het proces van het opsporen en bestrijden van scams efficiënter te maken.

Volodymyr Holovash | Hoofd marketing bij DomainCrawler

Volodymyr is een doorgewinterde marketingprofessional met een passie voor big data. Hij werkt samen met DomianCrawler sinds de lancering in 2021. Voor zijn betrokkenheid bij DomainCrawler werkte hij bij een Zweedse hostingprovider, Internet Vikings, als contentstrateeg en eventmanager.

DomainCrawler

DomainCrawler is een toonaangevende B2B-leverancier van hoogwaardige domeingegevens in verschillende sectoren. Van domeinnaamregisters en -registrars tot agentschappen voor merkbescherming en OSINT-onderzoekers - DomainCrawler levert nauwkeurige gegevens waarmee zijn klanten cybercriminaliteit kunnen bestrijden, het hele internet kunnen bewaken, veranderingen in domeinactiviteit kunnen detecteren, verborgen connecties op het web kunnen blootleggen en uitgebreid marktonderzoek kunnen uitvoeren.