Hoe geparkeerde domeinen worden ingezet voor malvertising
Geparkeerde domeinen blijken een stuk minder onschuldig dan gedacht. Uit onderzoek van Infoblox Threat Intel blijkt dat geparkeerde domeinen in meer dan 90 procent van de gevallen leiden naar illegale content, scams, scareware of malware. Vooral het verdienmodel achter direct search- of zero-click-advertising wordt daarvoor op grote schaal misbruikt.
Een geparkeerd domein is momenteel niet in gebruik voor een ‘echte’ website. Wanneer een domeineigenaar hiervoor kiest, wordt het verkeer naar het domein verkocht aan adverteerders die bieden op zoekwoorden en verkeerskenmerken. Dit is jarenlang een makkelijke manier geweest om inkomsten te genereren voor domeinnamen die je momenteel niet in gebruik hebt.
Maar waar ruim tien jaar geleden nog minder dan 5 procent als malafide content werd aangemerkt, is vandaag de dag het tegenovergestelde waar. Met name in het afgelopen jaar hebben veranderingen in de reclamesector geleid tot de ingebruikname van direct search. Als gevolg daarvan zijn veel gebruikers waarschijnlijk al eens met deze bedreigingen in aanraking gekomen of kennen ze iemand die dat is overkomen, maar hebben ze zich niet gerealiseerd wat er precies is gebeurd.
Niet alleen legitieme domeinen maken namelijk gebruik van deze advertentiediensten. Criminelen kopen verlopen domeinen op of registreren lookalikes van bekende merken en overheidsinstanties, koppelen deze aan direct search en verkopen iedere bezoeker vervolgens door als advertentie-klik. Zo kan één verkeerde klik ervoor zorgen dat een gebruiker meteen in handen van een malvertiser terechtkomt.
Deze methodiek vormt een uitdaging voor securityteams omdat ze moeilijk te repliceren is. Om malafide content te verbergen, worden bezoekers door een reeks traffic distribution-systemen (TDS) geleid. Onderweg worden IP-adres, apparaat, browser en locatie uitgelezen om te bepalen of iemand een echte gebruiker is en of het een waardevol doelwit is. Lijkt het verkeer op een VPN, cloudomgeving of securitytool, dan verschijnt een onschuldige pagina. Lijkt het op een normale thuisgebruiker, dan volgen – zonder kliks of waarschuwingen – redirects naar malvertising, nep-antivirussoftware, illegale goksites, fake dating- en pornoplatformen of directe malware-downloads.
Het onderzoek heeft meerdere grote beheerders van domeinportefeuilles (“domainers”) geïdentificeerd die deze geavanceerde tactieken inzetten. Elk van hen richt zich op andere merken en doelgroepen, wat de dreiging zeer breed maakt en lastig te detecteren. En door dit complexe ecosysteem is het in de praktijk vrijwel onmogelijk om misbruik effectief te rapporteren.
Lees hier het volledige onderzoeksrapport van Infoblox Threat Intel.
Meer over Internet
Over Witold Kepinski
