Een aanvaller hoeft jouw domein niet te hacken om je merk te misbruiken. Hij registreert simpelweg een domein dat er bijna identiek uitziet, met een omgewisselde letter of een ander achtervoegsel, en stuurt daarmee overtuigende phishing naar je klanten en medewerkers. Dit heet typosquatting, en het is een onderschat maar reeel gevaar. Je kunt het echter detecteren en grotendeels neutraliseren.
Wat typosquatting is
Typosquatting draait om visuele gelijkenis. De aanvaller registreert een domein dat het menselijk oog moeilijk onderscheidt van het jouwe. Denk aan een omgewisselde letter, een toegevoegde of weggelaten letter, een cijfer dat op een letter lijkt, of hetzelfde woord met een ander topleveldomein. Een klassiek voorbeeld is rnijnbedrijf.nl, waarbij de combinatie rn op afstand leest als een m.
Met zo'n domein stuurt hij mail die op het eerste gezicht van jou lijkt te komen. SPF, DKIM en DMARC beschermen je eigen domein, maar niet tegen een ander, apart domein dat er alleen maar op lijkt. Dat vraagt om een andere aanpak.
Typosquatting is geen spoofing
Bij spoofing vervalst de aanvaller jouw echte domein, wat SPF, DKIM en DMARC blokkeren. Bij typosquatting gebruikt hij een ander, legitiem geregistreerd domein dat alleen lijkt op het jouwe. Jouw authenticatie raakt dat niet, want het is technisch niet jouw domein. Daarom heb je aanvullende maatregelen nodig.
Variaties in kaart brengen
De eerste stap is weten welke lookalikes mogelijk zijn. Maak een lijst van waarschijnlijke variaties van je domein, zodat je weet waar je op moet letten en wat je eventueel zelf registreert.
Variaties van je domein inventariseren
- Schrijf je domeinnaam op en bedenk veelvoorkomende typefouten.
- Noteer variaties met omgewisselde, toegevoegde of weggelaten letters.
- Voeg variaties toe met cijfers die op letters lijken en omgekeerd, zoals
1voorlof0vooro. - Lijst dezelfde naam met andere topleveldomeinen op, bijvoorbeeld
.comnaast.nl. - Overweeg de belangrijkste variaties zelf preventief te registreren.
- Zet monitoring op voor nieuwe registraties die op je domein lijken.
Zelf registreren als verdediging
Een effectieve maatregel is de meest voor de hand liggende variaties zelf registreren voordat een aanvaller dat doet. Je hoeft niet elke denkbare variant te bezitten, dat is onbetaalbaar, maar de meest waarschijnlijke typefouten en het aangrenzende topleveldomein zijn een verstandige investering.
| Wel zelf registreren | Niet haalbaar, gebruik monitoring |
|---|---|
| De meest waarschijnlijke typefouten | Elke denkbare combinatie |
| Een omgewisselde of weggelaten letter | Alle topleveldomeinen ter wereld |
| Het meest gangbare andere topleveldomein | Exotische variaties die niemand intikt |
| Herkenbare merkvariaties |
Monitoring en detectie
Je kunt niet alles registreren, dus monitor je het overige. Monitoringdiensten signaleren wanneer iemand een domein registreert dat op het jouwe lijkt. Zo weet je vroeg dat er een dreiging ontstaat en kun je actie ondernemen, zoals een melding of een takedown-verzoek.
Wacht niet tot er schade is
Wacht niet tot een klant gephisht is om actie te ondernemen tegen een lookalike-domein. Zodra monitoring een verdachte registratie signaleert, onderneem dan meteen stappen: documenteer het, waarschuw je medewerkers en klanten indien nodig, en start een takedown-procedure bij de registrar of hosting. Een actief misbruikt lookalike-domein dat dagen blijft staan, kan veel schade aanrichten.
Workspace-bescherming en training
Binnen Google Workspace zet je in de Admin-console onder de geavanceerde phishing- en malwarebescherming de optie Bescherming tegen domeinspoofing op basis van gelijkende domeinnamen aan. Die markeert of plaatst inkomende mail van domeinen die op je eigen domein of je contacten lijken in quarantaine. Combineer dat met Bescherming tegen spoofing van werknemersnamen, die mail vangt waarvan de weergavenaam matcht met je directory maar van buiten je domein komt. Per instelling kies je drie acties: laten staan met waarschuwing, naar spam verplaatsen, of in quarantaine plaatsen.
Techniek alleen is nooit waterdicht, dus combineer dit met training. Leer medewerkers het afzenderdomein letter voor letter te lezen bij gevoelige verzoeken.
Spel het afzenderdomein hardop
Leer medewerkers bij elk verzoek om geld of gegevens het volledige afzenderdomein hardop te spellen, niet alleen de naam ervoor te vertrouwen. Een lookalike valt vaak pas op als je de letters echt naast elkaar legt. Deze simpele gewoonte vangt typosquatting die door alle technische filters glipt, want het menselijk oog ziet wat het verwacht te zien.
Beschermt DMARC tegen typosquatting?
Nee, DMARC, SPF en DKIM beschermen je eigen domein tegen vervalsing. Een lookalike-domein is technisch een apart, legitiem geregistreerd domein, dus jouw domeinauthenticatie raakt het niet.
Moet ik alle mogelijke variaties zelf registreren?
Nee, dat is onbetaalbaar en onnodig. Registreer de meest waarschijnlijke typefouten en het meest gangbare andere topleveldomein zelf, en dek de rest af met monitoring en detectie.
Kan ik een lookalike-domein laten verwijderen?
Vaak wel via een takedown-verzoek bij de registrar of de hostingpartij, zeker als er sprake is van merkinbreuk of aantoonbaar misbruik. Documenteer het bewijs voordat je de melding indient.
Helpt Google Workspace tegen inkomende typosquatting?
Ja. Zet in de Admin-console de bescherming tegen gelijkende domeinnamen en tegen spoofing van werknemersnamen aan. Inkomende mail van verdachte afzenderdomeinen wordt dan gewaarschuwd, naar spam verplaatst of in quarantaine gezet.
Hoe leg ik het verschil met spoofing uit aan collega's?
Spoofing vervalst jouw echte domein en wordt door je authenticatie tegengehouden. Typosquatting gebruikt een ander domein dat er alleen op lijkt, dus daar helpt techniek deels en blijft menselijke oplettendheid nodig.
Typosquatting omzeilt je domeinauthenticatie door een apart, gelijkend domein te gebruiken. De verdediging is meerlaags: registreer de waarschijnlijkste variaties zelf, monitor de rest, activeer de bescherming tegen gelijkende domeinnamen in Workspace en train je mensen om afzenderdomeinen nauwkeurig te lezen. Zo bescherm je je merk en je mensen tegen een aanval die techniek alleen niet tegenhoudt.