Blog

Hoe verlopen domeinen leiden tot cyberaanvallen

Hoe verlopen domeinen leiden tot cyberbeveiligingsaanvallen In 2018 werd British Airways aangevallen door de exploitatie van een JavaScript-pakket van derden

Jul 08, 2024 • 8 min read

Simon Wijckmans Founder & CEO

Hoe verlopen domeinen leiden tot cyberaanvallen — vertrouwde bronnen overgedragen aan aanvallers

In 2018 werd British Airways aangevallen door de exploitatie van een JavaScript-pakket van derden dat op hun site draaide. Het script werd gecompromitteerd en de aanvallers voegden regels code toe die automatisch alle creditcard- en transactiegegevens van klanten kopieerden naar een nieuw domein: baways.com. Dit domein werd slim aangekocht door de aanvallers enkele dagen voor de operatie.

cside is momenteel eigenaar van baways.com. Als je de site bezoekt, vind je een uitleg van de hele aanval van begin tot eind. Het domein is nu volledig veilig en dient educatieve doeleinden.

De vraag die we echter stellen is deze: Hoe konden we een domein verkrijgen dat eerder werd gebruikt in een cyberaanval?

Hoe we baways.com verwierven

Toen de aanval plaatsvond, werd het domein gehost in Roemenië door een Litouwse hostingprovider die virtuele servers aanbood tegen betaalbare tarieven.

Vandaag kan cside dergelijke anomalieën detecteren en soortgelijke problemen voorkomen. Helaas waren we toen niet beschikbaar. Je kunt meer leren over hoe deze aanval plaatsvond door het volledige artikel op baways.com te lezen.

De ophef rond deze aanval nam af na oktober 2020 toen British Airways een recordboete kreeg voor een datalek. Eerst vastgesteld op £183 miljoen, later verlaagd tot £20 miljoen. Na juli 2021 rondden ze het af door de juridische claim met de getroffen klanten te schikken.

Toen de nieuwsberichtgeving over het incident uiteindelijk stopte, ging de wereld verder.

Dus, hoe zijn we erin geslaagd het domein te verwerven dat werd gebruikt in de grootste aanval van zijn soort op dat moment?

Hoewel we graag een ingewikkeld verhaal zouden delen over het doorzoeken van dubieuze forums en het onderhandelen over schimmige deals, is de waarheid eigenlijk verontrustender. We kochten het op een openbaar register.

Een paar weken voordat cside officieel werd opgericht, twitterde onze oprichter het volgende:

Tweet van oprichter Simon Wijckmans over de aanschaf van het British Airways-aanvalsdomein

Terwijl hij onderzoek deed voor wat uiteindelijk cside zou worden, onderzocht hij artikelen over het datalek van British Airways. Tijdens dit onderzoek trok het betreffende domein zijn aandacht. Tot zijn verbazing was het beschikbaar voor iedereen om te claimen.

Openbaar register dat het domein baways.com beschikbaar toont voor aankoop

Het kopen van een verlopen domein dat betrokken was bij een cyberaanval is om verschillende redenen zorgwekkend:

Toegang tot gegevens

Controle krijgen over een domein met eerder gebruik, kan toegang geven tot de meest privégegevens.

Inti De Ceukelaire, een cyberbeveiligingsexpert uit België, deelde deze blogpost in mei 2024. Hij had verschillende verlopen domeinen gekocht die eerder eigendom waren van lokale politiediensten en sociale instellingen in België.

Schermafbeelding van verlopen domeinen verworven door beveiligingsonderzoeker Inti De Ceukelaire

Hij kocht uiteindelijk meer dan 100 domeinen en rapporteerde het volgende:

"Voor de 848 e-mailadressen die ik binnen een week kon identificeren, heb ik met succes de wachtwoordherstel-e-mails verkregen voor 80 Dropbox-accounts, 142 Google Drive-accounts, 57 Microsoft / OneDrive / SharePoint-accounts en een dozijn Smartschool- en Doccle-accounts. Ik realiseerde me dat ik door deze domeinen te kopen toegang had gekregen tot tonnen gevoelige burgerinformatie opgeslagen in de cloudaccounts gekoppeld aan deze e-mailadressen."

Evenals:

"Dit waren niet de enige e-mails die ik begon te ontvangen. Schokkend genoeg ontvingen ze, jaren nadat deze e-mailadressen waren verlaten, nog steeds extreem gevoelige informatie [...]. Vertrouwelijke justitie-informatie, informatie over vrijgelaten gedetineerden en openbare verdedigers, betalingsherinneringen voor mensen met schulden, e-mails met betrekking tot de gezondheid of sociale situatie van kwetsbare mensen, uitnodigingen voor speciale commissies, [...]"

Je kunt zijn volledige onderzoek hier lezen.

Vertrouwen in je merk verliezen

De Royal Mail in het VK gebruikt ongebruikelijk ogende domeinen die het vertrouwen kunnen ondermijnen. Dit blijkt uit een andere tweet (X-post) die we plaatsten nadat we dit probleem zelf tegenkwamen. Hoewel we misschien alerter zijn op dit probleem, zijn we ervan overtuigd dat we niet de enigen zijn die zich ongemakkelijk voelen bij het klikken op dergelijke links.

Tweet van oprichter Simon Wijckmans over een look-alike-domein van Royal Mail

Wat de situatie erger maakte, was dat hun eigen supportteam reageerde met de mededeling dat dit een phishing-sms was. Maar dat was onjuist. Een oudere tweet van Royal Mail hieronder gebruikte hetzelfde domein als URL-verkorter. Dit ondermijnt het vertrouwen bij oplettende gebruikers en toont duidelijk aan dat bedrijven het overzicht over hun eigen domeinnamen zijn kwijtgeraakt.

Oude Royal Mail-tweet met een inmiddels verlopen link-shortener-domein

We gebruiken HubSpot als laatste voorbeeld. Ze hebben tientallen domeinen met verschillende niveaus van structuur. Deze domeinen worden gebruikt in verschillende scripts en op verschillende platforms:

hubspot.com
hs-scripts.com
hs-banner.com
hs-analytics.net
hubapi.com
hsforms.com
hscollectedforms.net
...

Het risico hier is dat mensen deze domeinen in scripts kunnen tegenkomen en ze niet vertrouwen, of dat het gemakkelijker wordt voor een kwaadwillende om een domein te kopen dat legitiem lijkt omdat het een vergelijkbaar formaat volgt als de andere domeinen.

Domeinen worden gebruikt in oude scripts van derden

We rapporteerden onlangs over de Polyfill-aanval. Een domein dat werd gebruikt door een open-sourceproject werd gekocht. Het domein werd vervolgens betrapt op het injecteren van kwaadaardige code. Deze code genereerde dynamisch payloads op basis van HTTP-headers, activeerde alleen op specifieke apparaten, ontweek detectie, vermeed admin-gebruikers en vertraagde de uitvoering.

In sommige gevallen ontvangen gebruikers gemanipuleerde JavaScript-bestanden, die een typosquatted domein bevatten googie-anaiytics[.]com/gtags.js. Deze link leidt gebruikers om naar verschillende sportwedden- en volwassen websites op basis van hun regio. Maar omdat dit JavaScript is, zou het op elk moment nieuwe aanvallen kunnen introduceren zoals formjacking, clickjacking en bredere gegevensdiefstal.

Bij de Polyfill-aanval was de service verouderd en grotendeels niet meer nodig. Toch bleef het domein actief op duizenden websites.

Als het niet het domein is dat wordt gekocht, kunnen tools failliet gaan, worden stopgezet of geen updates meer ontvangen. Wanneer dit gebeurt, slagen sommige websites er niet in de verouderde scripts uit hun code te verwijderen. Als het oude domein of script van een ter ziele gegaan bedrijf vervolgens wordt verworven, wordt het automatisch ingebed in duizenden websites, waardoor een gemakkelijke weg voor aanvallen ontstaat.

Veel beveiligingstools controleren alleen de bronnen van scripts, wat in deze genoemde gevallen niet zou volstaan. Aanvallen zouden gewoon onopgemerkt doorstromen. Lees hier meer over dit probleem.

De noodzaak om je scripts te monitoren

Dit is een van de redenen dat PCI DSS 4.0 tegen maart 2025 monitoring en scanning van scripts op betalingsportalen zal vereisen. cside doet dit automatisch en beveiligt zelfs scripts van derden elke keer dat een pagina door een gebruiker wordt geladen. Dit gebeurt op je hele site, niet alleen op betalingsportalen, wat zelfs verder gaat dan hun aanbevelingen. Lees hier om te begrijpen waarom dit cruciaal is voor de beveiliging van je website.

Hoe de dreiging van verlopen domeinen op te lossen

Dit is een veelzijdig probleem. Het simpelweg kopen van een verlopen domein is niet illegaal. Als een domeinnaam echter een handelsmerk is, kan het kopen ervan (bekend als cybersquatting) mogelijk auteursrechtwetten schenden. Maar dit zal aanvallers die meestal anoniem en onopgemerkt blijven, niet afschrikken.

Toegang krijgen tot e-mails die naar een domein worden gestuurd dat eerder eigendom was van iemand anders (of een ander bedrijf) is juridisch en ethisch een grijs gebied. Hoewel sommige landen wetten hebben die voorkomen dat je fysieke post gericht aan iemand anders opent, is de toepassing van deze wetten op e-mails vaak onderwerp van debat.

Wetten die elektronische communicatie aanpakken, verbieden doorgaans het onderscheppen van communicatie tussen niet-toestemmende of onwetende deelnemers. In het geval van e-mails die naar een verlopen domein worden gestuurd, zou men echter kunnen stellen dat de ontvanger de legitieme eigenaar van de domeinnaam is en daarom de beoogde geadresseerde.

Privacywetten verbieden ook het delen en verwerken van gegevens van individuen zonder hun toestemming. Dus door inhoud naar een verlopen e-mailadres te sturen, kan de afzender eigenlijk indirect de privacyrechten van de ontvanger schenden door een gebrek aan due diligence op het e-mailadres. Een heel ander probleem op zich.

Zoals je kunt zien, is dit een probleem dat het beste helemaal kan worden vermeden als je kunt.

Als bedrijf of website-eigenaar, probeer domeinen met eerder gebruik te behouden, vooral die gebruikt voor het aanmaken van accounts en het overdragen van gegevens. Het verkrijgen van vergelijkbare domeinen en voorkomen dat aanvallers ze gebruiken (dit wordt cybersquatting genoemd) moet ook worden overwogen. Zelfs als dit mogelijk ongewenste jaarlijkse kosten kan toevoegen.

Als je dat niet kunt, of bij het wijzigen van domeinen en e-mailadressen, is het belangrijk om een redelijke aanpassingsperiode voor mensen te bieden. Indien mogelijk, verbeter beveiligingsmaatregelen en stel automatische antwoordmeldingen in voor degenen die tijdens en na deze overgang contact proberen te maken.

Om je site te beschermen tegen kwaadaardige handelingen veroorzaakt door scripts van derden en domeinen in die scripts, is cside er. We proxyen alle scripts van derden op je site en controleren elke sessie voordat de code wordt weergegeven in de browsers van je gebruikers.

Je kunt gratis aan de slag en onze prijsniveaus hier vinden.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Als een bedrijf een domein laat verlopen — zelfs een link-shortener of campagne-URL — kan iedereen het opnieuw registreren. De nieuwe eigenaar erft al het verkeer, wachtwoordresetmails en vertrouwenssignalen die nog naar dat domein gaan.

We kochten baways.com via een openbaar register. Die ene aankoop laat zien hoe aanvallers gevoelige historische domeinen kunnen overnemen zonder bijzondere toegang en de geërfde autoriteit kunnen gebruiken voor phishing, credential-diefstal of skimming.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Account sharing detectie: hoe de handhavingskloof te sluiten die gelijktijdige sessielimieten missen

Gelijktijdige sessielimieten signaleren het voor de hand liggende geval.

Hoe Applebot-Extended op Je Website te Blokkeren

Applebot-Extended is Apples AI-trainingscrawler die Apple Intelligence voedt. Leer hoe het verschilt van Applebot en hoe je je afmeldt via robots.txt.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over monitoring van scripts van derden op casinodomeinen

Hoe u scripts van derden kunt monitoren in 100 of meer casinodomeinen

Gids voor het monitoren van scripts van derden op 100+ casinodomeinen: scriptwildgroei, waarschuwingen tussen domeinen en schalen met cside.

Beveiligingsrisico's van agentische AI voor websites: privacy, compliance en detectie

Agentische AI-browsers omzeilen cookietoestemming, voeren echte JavaScript uit en creëren AVG-nalevingslacunes die CDN-level botdetectie niet kan zien.

Illustratie van een tweetraps neuraal botdetectiesysteem dat menselijke en bot-browsersessies van elkaar scheidt

Bots vangen die niet gevangen willen worden: in een tweetraps neurale detectiestack

Hoe een tweetraps neuraal model stealth browsers, geproxyde scrapers en LLM-agents vangt die elke fingerprintcheck doorstaan, plus de grenzen ervan.

Hoe DeepSeekBot op Je Website te Blokkeren

DeepSeekBot crawlt je site voor een Chinees AI-bedrijf. Leer hoe je het blokkeert met robots.txt, IP-regels en de echte datasoevereiniteitsrisico's.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over scriptcompliance voor de Malta Gaming Authority

Malta Gaming Authority-naleving en client-side scriptbeveiliging: wat MGA-gelicentieerde operators moeten afdekken

MGA-regels vereisen een veilig, controleerbaar platform. JavaScript van derden is een nalevingslacune die de meeste operators niet hebben geauditeerd.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over aanvallen via scripts van derden op iGaming-platforms

Scriptaanvallen van derden op iGaming-platforms in 2026: het nieuwe aanvalsoppervlak dat operators over het hoofd zien

JavaScript van derden is het grootste onbewaakte aanvalsoppervlak op iGaming-platforms. De zeven aanvalsklassen en waarom standaardtools ze missen.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over ongeautoriseerde pixels op goksites en GDPR-aansprakelijkheid

GDPR en online gokken: waarom niet-geautoriseerde pixels een dubbel aansprakelijkheidsprobleem creëren

Niet-geautoriseerde pixels op goksites creëren tegelijk GDPR-aansprakelijkheid en opschorting van advertentieaccounts, ook zonder installatie.

HIPAA-naleving voor websitetracering: de gids voor zorginstellingen over scripts van derden

HHS OCR stelde vast dat trackingpixels en scripts van derden op zorgwebsites PHI kunnen blootstellen. Dit moeten gedekte entiteiten doen om te voldoen.