Geparkeerde domeinen blijken veel gevaarlijker dan aangenomen. Onderzoek toont aan dat meer dan 90% van deze domeinen bezoekers doorleidt naar illegale content, scams of malware. Criminelen misbruiken hiervoor het verdienmodel van direct search-advertising op grote schaal.
Een geparkeerd domein wordt momenteel niet gebruikt voor een actieve website. Domeineigenaren verkopen het verkeer naar deze domeinen aan adverteerders die bieden op zoekwoorden en verkeerskenmerken. Dit was jarenlang een eenvoudige manier om inkomsten te genereren uit ongebruikte domeinnamen.
Het onderzoek van Infoblox Threat Intel laat een dramatische verschuiving zien. Waar ruim tien jaar geleden minder dan 5% van geparkeerde domeinen als malafide werd aangemerkt, geldt nu het tegenovergestelde. Met name veranderingen in de reclamesector het afgelopen jaar hebben geleid tot grootschalig misbruik van direct search-advertising.
Criminelen kopen strategisch domeinen op
Niet alleen legitieme domeinen gebruiken deze advertentiediensten. Criminelen kopen verlopen domeinen op of registreren lookalikes van bekende merken en overheidsinstanties. Ze koppelen deze aan direct search en verkopen elke bezoeker door als advertentie-klik. Eén verkeerde klik kan gebruikers direct in handen van malvertisers brengen.
Deze methodiek vormt een uitdaging voor securityteams omdat ze moeilijk te repliceren is. Criminelen verbergen malafide content door bezoekers door een reeks traffic distribution-systemen (TDS) te leiden. Onderweg worden IP-adres, apparaat, browser en locatie uitgelezen om te bepalen of iemand een echte gebruiker is en een waardevol doelwit vormt.
Geavanceerde detectie van securitytools
Het systeem herkent VPN’s, cloudomgevingen en securitytools. Bij verdacht verkeer verschijnt een onschuldige pagina. Bij normale thuisgebruikers volgen zonder waarschuwingen redirects naar malvertising, nep-antivirussoftware, illegale goksites, nepplatforms of directe malware-downloads.
Het onderzoek heeft meerdere grote beheerders van domeinportefeuilles geïdentificeerd die deze tactieken inzetten. Elk richt zich op andere merken en doelgroepen, waardoor de dreiging breed en moeilijk detecteerbaar wordt. Door dit complexe ecosysteem blijkt het in de praktijk vrijwel onmogelijk om misbruik effectief te rapporteren.
Meta description:
