Studie naar nepwebwinkels brengt werkwijze van oplichters in kaart en haalt duizenden fakeshops offline

Inzichten uit wetenschappelijke publicatie over onderzoek naar nepwebwinkels

Stel, je zoekt nieuwe schoenen of een mooie tas. Je ziet online een goede aanbieding en bestelt direct. Je bestelling komt alleen nooit aan. Het lukt je ook niet om in contact te komen met de webwinkel. Herkenbaar? Grote kans dat je in zo’n geval hebt besteld bij een nepwebwinkel. Dit soort webwinkels leveren namelijk niets of namaakartikelen van lage kwaliteit. SIDN Labs detecteert al een paar jaar nepwebwinkels en we schreven een wetenschappelijk artikel over onze detectiesystemen en de werkwijze van oplichters.

Effectiviteit van detectiesystemen

SIDN Labs detecteert nepwebwinkels, omdat we willen voorkomen dat consumenten worden opgelicht en hierdoor hun vertrouwen in .nl afneemt. We beschrijven in het artikel de effectiviteit van onze systemen: we detecteerden 20 duizend verdachte domeinnamen tussen augustus 2017 en maart 2019. Daarnaast beschrijven we 2 casestudies waarin we samenwerkten met een grote registrar en creditcardprovider ICS Cards. Tijdens deze gecontroleerde studies werden 4.455 nepwebwinkels verwijderd en onderzochten we de werkwijze van oplichters. Het artikel presenteren we binnenkort op de PAM2020-conferentie, een van de internationale topconferenties op het gebied van internetmetingen. In deze blogpost delen we alvast de belangrijkste inzichten.

Nepwebwinkels zijn lopendebandwerk

De verdachte domeinnamen waren vaak herregistraties (80%). Een .nl-domeinnaam die wordt opgezegd kan na 40 dagen opnieuw worden geregistreerd. Ongeveer 60% van de verdachte domeinen werd direct na deze 40 dagen geregistreerd. Daarnaast lijken nepwebwinkels op elkaar en hebben ze bijna altijd uitverkoop. Ook zijn registrars die API’s aanbieden om geautomatiseerd domeinnamen te registreren populair. Dit laat zien dat nepwebwinkels lopendebandwerk zijn: oplichters wachten tot een domeinnaam vrijkomt, registreren het domein met behulp van scripts, en installeren vervolgens ook volautomatisch een standaard webwinkel die ze een beetje aanpassen.

Nepwebwinkels zijn wegwerpartikelen

Normale webwinkels worden met zorg en aandacht onderhouden. Dit betekent bijvoorbeeld dat een domeinnaam niet snel wordt opgezegd. Bij nepwebwinkels zien we iets anders: 80% bestaat na een jaar al niet meer. Ook bevatten nepwinkels regelmatig taalfouten en dode links. Deze bevindingen ondersteunen het beeld van een “hagelschot-tactiek”: oplichters registreren veel domeinnamen en wachten op slachtoffers. Een paar domeinnamen die in de tussentijd offline worden gehaald zijn niet zo’n probleem. Oplichters hebben immers meer ijzers in het vuur en zien hun webwinkels als wegwerpartikelen.

Registry’s hebben ideaal perspectief

Banken, merkenbeschermers, overheidsdiensten en andere belanghebbenden kunnen nepwebwinkels lastig detecteren, omdat ze geen overzicht hebben van alle domeinnamen die bestaan. Registry’s, zoals SIDN voor de .nl-zone, hebben echter een heel ander perspectief: zij overzien alle domeinnamen binnen hun zone en hebben toegang tot registratiegegevens waarin je soms patronen kunt ontdekken. En dat is precies wat we hier gedaan hebben: we extraheerden patronen uit bekende nepwebwinkels en detecteerden vervolgens duizenden nepwebwinkels door te zoeken op die patronen.

Made in China

Een voorbeeld van zo’n patroon zijn de e-mailadressen die houders gebruiken om een domeinnaam te registeren. Als we naar alle .nl domeinnamen kijken zien we veel adressen die eindigen op bekende namen zoals gmail.com. Bij nepwebwinkels zagen we ook veel e-mailproviders die vooral populair zijn in China, zoals 163.com (25%). Wat ook opvalt is dat veel verdachte domeinnamen zijn geregistreerd tijdens Chinese kantoortijden. Dit laat Figuur 1 goed zien. De balkhoogte geeft aan hoeveel verdachte domeinnamen er per uur geregistreerd zijn. Bovenaan staan de Nederlandse tijden en onderaan de tijd in Beijing. De meeste nepwebwinkels worden gehost vanuit een klein aantal netwerken, maar dit zijn (gek genoeg) geen Chinese netwerken.

blog registration hour

Figuur 1: Tijdstip waarop gedetecteerde domeinnamen zijn geregistreerd.

Labs blijft nepwebwinkels detecteren

De handel in namaakartikelen is lucratief en een nepwebwinkel is snel gemaakt. Dit blijkt uit ons onderzoek, maar ook uit berichten van de NOS en Consumentenbond. We verwachten dus ook niet dat nepwebwinkels snel verdwijnen. Dit betekent dat we onze unieke positie als registry blijven inzetten voor de detectie van verdachte webwinkels. Ook evalueren we regelmatig of de geëxtraheerde patronen nog relevant zijn, omdat we verwachten dat oplichters blijven proberen onze detectiesystemen te omzeilen. Ten slotte hopen we onderzoekers en andere topleveldomeinen (TLD's) te helpen bij het aanpakken van nepwebwinkels binnen hun DNS-zone door onze detectiemethodes en inzichten te delen.

Downloads

Reacties

Nanneke-Franken-260x260

Nanneke Franken

Medewerker support

+31 26 352 55 00

nanneke.franken@sidn.nl

  • donderdag 14 november 2019

    Nieuws

    Hoera, het Internet bestaat 50 jaar!

    Frances

    6 Nederlandse internetpioniers geven een uniek kijkje in de geschiedenis

    Lees meer
  • vrijdag 15 februari 2019

    Nieuws

    Veiligheid van slimme apparaten steeds belangrijker

    Smart+home+tumb

    De markt voor smarthomeproducten groeit

    Lees meer
  • woensdag 20 februari 2019

    Weblog

    .nl niet getroffen door wereldwijde kapingscampagne

    Thumb-skull-form-of-binary-code-on-computer-screen

    We gaan onze DNS-bewakingsvoorzieningen verder uitbreiden

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.