SIDN heeft in 2019 4.340 nepwebwinkels uit de lucht gehaald. Een flink deel van deze nepwebwinkels werd gedetecteerd met behulp van nieuwe zelflerende tools van SIDN Labs.

SIDN is het bedrijf dat ons .nl-domein beheert. Dit betekent dat alle sites met een .nl extensie door hun worden geadministreerd. Daarbij deelt SIDN ook hun kennis, steunen ze initiatieven en ontwikkelen ze nieuwe diensten.

Door websites met een .nl-extensie continu te scannen op kenmerken die kunnen duiden op een nepwebwinkel, probeert SIDN deze shops in een vroeg stadium offline te krijgen. Het tijdstip van de domeinnaamregistratie en het e-mailadres dat daarvoor gebruikt wordt zijn twee van de kenmerken waarop gescand wordt. Deze kenmerken worden overigens voortdurend aangepast op basis van nieuwe inzichten en het zelflerende karakter van het programma.

Als een webshop als nep wordt bestempeld door de tool, checkt de supportafdeling van SIDN dit, om te voorkomen dat bonafide webwinkels ten onrechte offline worden gehaald. Van de .nl-websites die de tool tussen september en december signaleerde, bleek 79,3% ook daadwerkelijk te leiden naar een malafide webwinkel. Het zelflerende algoritme van dit programma zorgt ervoor dat nieuwe technieken van nepwebwinkels sneller worden herkend en eerder onschadelijk gemaakt.

Snelle ontwikkelingen
Nepwebwinkels zijn een grote ergernis van internetgebruikers, veroorzaken veel schade onder consumenten en ondermijnen het vertrouwen in internet. SIDN Labs, het researchteam van SIDN, houdt zich daarom al lange tijd bezig met het bestrijden daarvan en merkt dat ontwikkelingen op dit gebied snel gaan. Thymen Wabeke, research engineer bij SIDN Labs: “Zo waren lange paginatitels waarin de namen van allerlei luxemerken werden genoemd, eerder een sterke indicator dat er sprake was van een nepwebwinkel. Maar zodra malafide shopeigenaren erachter kwamen dat onze detectietool hierop aansloeg, verdwenen deze lange titels weer net zo snel.”

SIDN Labs verbetert dan ook continu de tools die nepwebwinkels moeten herkennen. Op dit moment worden ongeveer negen eigenschappen van een website geanalyseerd die vooral te maken hebben met de domeinnaamregistratie en infrastructuur. Het gaat hierbij bijvoorbeeld om het e-mailadres waarop een domein wordt geregistreerd, het tijdstip van registratie en/of de domeinnaam al eerder door iemand anders was geregistreerd. Wabeke: “Zo valt op dat veel nepwebwinkels tijdens Chinese kantoortijden worden geregistreerd. Ook is er vaak sprake van een herregistratie. Een domeinnaam die wordt opgezegd, kan na 40 dagen opnieuw worden geregistreerd. Meer dan de helft van de verdachte domeinen werd direct na deze periode opnieuw geregistreerd.”

Meer informatie over de werkwijze van nepwebwinkels en de strijd ertegen beschrijft SIDN Labs in een wetenschappelijk artikel dat onlangs geaccepteerd werd voor de prestigieuze Passive and Active Measurement Conference 2020.

Offline halen
Het proces van het eventueel offline halen van een website wordt zorgvuldig uitgevoerd. Als bij controle door de klantenservice blijkt dat de tool het bij het juiste eind heeft, wordt de webhost waar de domeinnaam is geregistreerd hierop attent gemaakt en gevraagd de website uit de lucht te halen. Bij verdachte domeinnamen waar de gegevens van de domeinnaamhouder ontbreken of onjuist zijn, mag SIDN - als de identiteit van de houder niet binnen vijf dagen wordt aangetoond - de nameservers ontkoppelen. Dan is er geen verwijzing meer naar de website, waardoor deze onbereikbaar wordt voor mensen die via die specifieke domeinnaam naar de site willen.

Verantwoordelijkheid
SIDN streeft naar een zo veilig en stabiel mogelijk .nl-domein en speurt daarom proactief naar nepwebwinkels. Roelof Meijer, algemeen directeur van SIDN heeft echter niet de illusie dat het probleem definitief opgelost kan worden: “Er blijven altijd pogingen tot oplichting bestaan, ook online. Maar het blijft belangrijk om criminele praktijken te verstoren. We blijven daarom ook werken aan het verder trainen van onze detectietools, zodat ook nieuwe tactieken van cybercriminelen worden herkend en onschadelijk gemaakt.”

Meijer vervolgt: “Wij hebben een unieke positie als de beheerder van het .nl-domein. We zijn de enige partij die dit kan en vinden het onze verantwoordelijkheid om dit soort onderzoek te doen. Dit stelt ons ook in staat gepaste actie te ondernemen. Bovendien levert dit weer waardevolle inzichten op die ook voor andere landen bruikbaar zijn. Nepwebwinkels zijn zeker geen specifiek Nederlands probleem.”

Daarnaast is het volgens Meijer belangrijk dat consumenten blijven letten op bepaalde eigenschappen van een webshop die kunnen duiden op een nepwinkel. “Kijk bijvoorbeeld of de domeinnaam past bij de inhoud van de website, of de winkel bij de instanties bekend is en of er een Kamer van Koophandel-registratie is. Is dat niet het geval, pas dan op. Als webshops gebrekkige Nederlandse teksten hebben, let ook dan goed op. En ook niet onbelangrijk: lijkt de prijs te mooi om waar te zijn? Dan is dat vaak ook zo.”

Download de volledige checklist.

Een blogpost van SIDN Labs naar aanleiding van de wetenschappelijke publicatie is beschikbaar op sidnlabs.nl.

Dit artikel kwam tot stand in samenwerking met SIDN.