Toenemende noodzaak voor goede merkbeveiliging door homograph aanvallen

By oktober 10, 2018Domeinnamen

Met geïnternationaliseerde domeinnamen (IDN’s) kunnen gebruikers domeinnamen in vrijwel alle geschreven taal registreren, waardoor het wereldwijde internet van vandaag de dag, meer meertalig kan worden. Niet-Latijnse Unicode-tekens maken het voor cybercriminelen echter gemakkelijker om domeinnamen te registreren voor phishingwebsites. Deze phishingtechniek met websites, die bekend staat als een homograafaanval of IDN-adresvervalsing, is op zich niet nieuw maar rapporten duiden op een groeiend probleem. Als uw domein niet wordt bewaakt, is uw merk niet beschermd en kan het een risico lopen.

Confusable tekens in Unicode staan centraal bij homograph aanvallen

Farsight Security, ‘s werelds grootste leverancier van DNS-gegevens, meldt dat tussen mei 2017 en april 2018 bijna 36.000 domeinen werden gebruikt om 466 topmerken te imiteren met dubbelgangerdomeinen, die gebruik maken van verwarrende tekens. Deze merken waren afkomstig uit verschillende sectoren, uiteenlopend van banken tot detailhandel en technologie. 91 procent van deze IDN’s werden als “verwarrend” beschouwd.

IDN’s bevatten tekens in andere scripts dan Latijn. Net als andere domeinen vertrouwen IDN’s op Unicode, de norm voor digitale weergave van alle talen ter wereld. De sleutel tot een homograafaanval is echter een specifieke Unicode-formule die bekend staat als Punycode. Punycode zet niet-Latijns scripttekens in code om die door DNS kan worden gelezen. españa.com omgezet door Punycode levert bijvoorbeeld het domein xn-espaa-rta.com op. DNS heeft geen enkele moeite om xn-espaa-rta.com te herkennen omdat het geen niet-Latijnse tekens bevat.

Het probleem is echter dat letters van verschillende alfabetten er in andere talen hetzelfde kunnen uitzien. Deze noemen we “confusables”.


Te verwarren tekens zijn voor gebruikers, e-mailclients of webbrowser vrijwel niet te detecteren. Kijk eens naar dit voorbeeld (vermeld in The Sun).


Voor het ongetrainde oog is er geen probleem. Maar kijk eens goed naar de “o” van “tower” en u zult een klein diakritisch teken zien staan: “ȯ” – wat in sommige talen gebruikt wordt en daarom door Unicode wordt ondersteund.

Dit is het soort kleine verandering in het taalscript waar fraudeurs op vertrouwen. Ze misleiden zodat u denkt dat u iets ziet terwijl u in werkelijkheid naar een phishing site wordt gestuurd die erop lijkt.

Verantwoordelijkheid nemen in de strijd tegen homograph aanvallen

ICANN (Internet Corporation for Assigned Names and Numbers) heeft actie ondernomen om homograph aanvallen te bestrijden. De richtlijnen voor de implementatie van geïnternationaliseerde domeinnamen voorziet registry’s en registrars in regels die zijn bedoeld om het aantal homograph aanvallen te beperken en merken te beschermen. Helaas duidt het onderzoek van Farsight erop dat niet iedereen zich aan de regels houdt.

Veel browsers hebben ook gereageerd op de toenemende bedreiging van homograph aanvallen door gebruikers te waarschuwen over potentiële dubbelgangers van Punycode. U krijgt het volgende te zien als u https://www.са.com/ in Chrome en Safari typt:

Browser warning

Let op hoe in beide voorbeelden het websiteadres naar Punycode wordt omgezet: “xn--80a7a.com”. Zo hebben bezoekers een beter inzicht dat het een dubbelgangersite betreft. Het is de echte “.ca.com” site waarnaar ze op zoek zijn. In plaats daarvan wordt de Cyrillische “a” gebruikt om gebruikers om de tuin te leiden.

Maar hoe zit het met externe browsers die niet zo’n waarschuwing afgeven? Gebruikers hebben dan een aantal opties:

  • Klik niet op links in e-mails die er verdacht uitzien, vooral niet van afzenders die u niet kent.
  • Kijk of uw e-mailclient de optie biedt om links in inkomende e-mailberichten helemaal uit te schakelen.
  • Een wijziging in het filter voor ongewenste mail zal het aantal schadelijke inkomende berichten aanzienlijk reduceren.
  • Gebruik zowel voor links in e-mail en sociale media een link checker (er bestaan hiervan verschillende) om links te verifiëren.

Hulpmiddelen voor domeinbewaking zorgen ervoor dat uw merk beschermd blijft

Uiteraard is EBRAND Services er om bedreigingen weg te nemen die uw merknaam zouden kunnen ondermijnen.

Wij gebruiken hulpmiddelen voor de bescherming van merken om registraties van nieuwe domeinnamen te bewaken, en stellen snel vast welke domeinen identiek zijn aan of verwarrend veel lijken op uw merk, bedrijfsnaam of handelsmerk. Wij identificeren de inbreukmakende derde. Indien nodig, ondernemen we gerechtelijke stappen om derden ervan te weerhouden op uw domein inbreuk te maken.

Voor meer informatie over hoe wij uw domeinnaam uit handen van anderen houden, neemt u contact op met een van onze ondersteunende medewerkers. Wij zetten ons ervoor in dat uw merknaam nooit meer door kwaadwillende intenties door derden wordt gebruikt als zij hun volgende grote homograph aanval inzetten.

Author Lutz Berneke

More posts by Lutz Berneke