Donderdag kwam via socialmedia de vraag van een bakker uit Rotterdam voorbij wat te doen tegen het klonen van de website. Bij het zien van die vraag gingen direct alle seinen op rood, want klonen van content is bijna altijd foute boel.
Als je leest dat websites gekloond zijn kan dat twee dingen betekenen. In het eerste geval is de website eigenaar ergens iets aan het testen of migreren, dat zijn legitieme acties. In alle andere gevallen is het foute boel.
Het klonen van andermans website is in ieder geval een onrechtmatige daad omdat de content zonder toestemming wordt overgenomen. Waartoe dat kan leiden is gisteren nog genoemd op ITchannelPRO, in de zaak tussen Jaggs en Hikvision. Daar ging het niet alleen om de “foute” domeinnaam, maar ook om de inhoud van die website die daaraan gelinkt was.
Gegevens onderscheppen
In het geval van de bakker was direct duidelijk dat hier om de tweede mogelijkheid ging. Al jaren worden legitieme websites gekloond en onder een andere domeinnaam online gezet. Denk daarbij aan de website van banken, maar ook die van kledingmerken.
Het doel van die acties is bekend: argeloze bezoekers verleiden waardevolle gegevens in te vullen en daar misbruik van de maken. Bij banken gaat het om het onderscheppen van de inlogcodes om vervolgens de rekeningen te plunderen. De nep-websites van kledingmerken hebben ongeveer het zelfde doel: dat men alleen met creditcard en PayPal betalen zegt al genoeg.
NIS2
De activiteiten van de cybercriminelen zijn niet nieuw, al jaren wordt er voor gewaarschuwd. Optreden tegen de bendes die scamwebsites lanceren kan en gebeurt in toenemende mate. In de EU lidstaten is het trouwens _mede_ door NIS2 dat registries en registrars beter moeten opletten en controleren of de aanvrager van een domeinnaam wel correctie gegevens invult en daarmee traceerbaar is.
Die stappen zorgen ervoor dat scammers minder makkelijk aan een te misbruiken .NL of ander EU TLD kunnen komen. nTLD’s, zoals .shop of .xyz worden daarvoor massaal misbruikt met als gevolg dat menig filter die hele TLD’s blokkeert. Maar er zijn ook nog andere domeinnaam extensies die zich perfect lenen voor misbruik.
Evident kwaadwillend
Daarmee komen we uit op de klacht van de bakker. Die zag de eigen producten terug op de website ricosvlees[.]com. Op die scamwebsite worden tientallen producten van de Hema, AlbertHeijn, Dr Vogel, Plus en nog vele anderen aangeboden. Dat het om een kwaadwillende actie gaat is evident. Er zijn geen contactgegevens, de KvK ontbreekt, de voorwaarden zijn voor een andere dienst bedoeld en er kan alleen met risicovollere methoden worden betaald.
De [.] com website kan overigens om nog een reden opvallen en dan hebben we het niet over het registeren van de domeinnaam in HongKong.
Wat een bakker uit Rotterdam niet kan weten is dat in Amsterdam Ricos leverancier van vlees met een zekere bekendheid is en iedereen die dit bedrijf kent weet dat ze alleen vlees leveren.
Wat de cybercriminelen hebben gedaan is een “bekende” naam met een iets andere schrijfwijze als [.]com geregistreerd in de hoop daar veel slachtoffers mee te maken. Uit de Googleranking blijkt dat sinds de registratie in juni er behoorlijk is geïnvesteerd in de vindbaarheid.
Van luxe goederen naar levenmiddelen
Veel van de criminele handelingen die hierboven staan volgen een bekend en vast patroon. Wat dat betreft is er niets nieuws onder de zon. Echter, het is de eerste keer dat scamwebsites voorbij komen waarbij het niet gaat om luxe goederen, kleding of schoenen, maar om brood en andere levensmiddelen.
Waarom dat is? Geen idee. Het betekent wel dat nu veel meer websites het risico van klonen lopen. Daarmee komt het probleem onaangenaam dicht in de buurt van menig IT dienstverlener, die met een heel ander soort security risico te maken krijgen.
Wie meer wil weten over het onderwerp. Vorig jaar december op 38C3 is een presentatie over BogusBazaar gegeven. Dat is de naam van het criminele netwerk van scamwebsites met (stand 2024) 75.000 domeinnamen en een geschatte jaaromzet van 50 miljoen.
