Phishing og falske domener – slik beskytter du merkevaren

En kunde klikker på en lenke som ser ut til å komme fra deg – men havner på et falskt nettsted som stjeler innloggingsinformasjonen deres. Phishing via falske domener er en av de vanligste metodene kriminelle bruker for å utnytte etablerte merkevarer. Det rammer ikke bare kundene dine; det rammer tilliten til merkevaren din.

Hvordan falske domener fungerer

Angripere registrerer domener som er vanskelig å skille fra det ekte domenet ditt – enten visuelt eller kognitivt – og bygger deretter en kopi av nettsiden din på toppen.

Typosquatting

De vanligste variantene er enkle skrivefeil som brukere lett gjør:

Doble bokstaver: domenehhuuset.no
Manglende bokstav: vymo.no → domenehset.no
Byttet bokstav: domwnehuset.no
Ekstra ord: Vymologin.no
Annen TLD: Vymo.com i stedet for vymo.no

Homoglyf-angrep

Her brukes tegn fra andre alfabet som ser identiske ut med latinske bokstaver. For eksempel kan det kyrilliske «а» se identisk ut med det latinske «a» i de fleste fonter. Et domene som ser ut som vymo.no kan i realiteten inneholde kyrilliske tegn og peke til en helt annen server.

Lookalike TLD-er

Noen ganger er selve domenenavnet identisk, men toppdomenet er annerledes – .com i stedet for .no, eller nyere TLD-er som .house, .net eller .online.

Tiltak for å beskytte merkevaren

Defensiv domeneregistrering

Det mest direkte tiltaket er å registrere de mest sannsynlige variantene selv – de du ikke vil at andre skal eie. Prioritér:

De viktigste alternative TLD-ene (.com, .net hvis du primært bruker .no)
Åpenbare skrivefeil basert på domenenavnets tegn
Varianter med og uten bindestrek

Dette er ikke mulig å gjøre uttømmende, men å sikre de mest åpenbare variantene reduserer risikoen betydelig. Les mer om å beskytte merkevaren med domener og strategier for flere domener .

DMARC med sterk policy

En DMARC-policy (p=reject) forhindrer at angripere sender e-post som ser ut til å komme fra domenet ditt. Men den beskytter ikke mot look-alike-domener med sine egne DNS-poster. For det trenger du overvåking.

DMARC-rapportene gir deg innsikt i hvem som forsøker å sende e-post fra domenet ditt – noe som også kan avsløre pågående angrep. Les mer om SPF, DKIM og DMARC .

Domeneovervåking

Det finnes tjenester som overvåker nyregistrerte domener og varsler deg dersom noen registrerer noe som ligner på ditt. Tjenester som DNSTwist eller kommersielle merkeovervåkingstjenester kan avdekke angrep tidlig.

HTTPS og sertifikatovervåking

Sertifikatoversikter (Certificate Transparency Logs) publiserer alle utstedte SSL/TLS-sertifikater offentlig. Tjenester som crt.sh lar deg søke etter sertifikater utstedt for domener som ligner ditt. Dette er et godt verktøy for å oppdage phishing-sider raskt.

Selv phishing-sider bruker i dag HTTPS – grønn hengelås er ikke en garanti for at siden er legitim.

Brukeropplæring og tydelig kommunikasjon

Tekniske tiltak er nødvendige, men ikke tilstrekkelige. Fortell kundene dine:

Hvilke domener du faktisk bruker
At du aldri ber om passord via e-post
Hvordan de kan verifisere at de er på riktig nettsted

Rapportér og få tak ned falske sider

Oppdager du et phishing-domene som misbruker merkevaren din:

Dokumentér med skjermbilder og domeneinformasjon (WHOIS)
Kontakt domeneregistraren for det falske domenet – de fleste har prosedyrer for misbruksanmeldelser
Rapportér til Google Safe Browsing og Microsoft SmartScreen
Vurder juridiske skritt ved omfattende misbruk

En realistisk tilnærming

Ingen kan registrere alle mulige varianter av domenet sitt. Målet er ikke å eliminere risikoen helt, men å gjøre det vanskeligere og dyrere for angripere, og å oppdage angrep tidlig slik at du kan handle raskt.

Kombinasjonen av defensiv registrering, sterk DMARC-policy, sertifikatovervåking og brukeropplæring gir et solid grunnlag.

Bruk domenesøket vårt for å sjekke tilgjengeligheten på varianter av domenet ditt, og se Priser for en oversikt over registreringskostnader. Ta kontakt med Kundeservice for rådgivning om domenebeskyttelse.