Phishing simuleren voor tests en trainings in cyberveiligheid

.be-domeinnaamregistraties voor phishing simulaties: hoe gaat dat in zijn werk?

We stelden richtlijnen op, het zijn vereisten waaraan je moet voldoen om de registratie van domeinnamen voor cyberveiligheidsdoeleinden vlot af te ronden.

Pas je deze richtlijnen toe, dan doen we vanuit DNS Belgium ons best om de gerapporteerde .be-domeinnamen:

te weren van een verificatie, zo geraakt de .be-domeinnaam geactiveerd.
uit te sluiten van een manuele screening na activatie van de domeinnaam.

De richtlijnen waaraan je moet voldoen

Voor de start van een cyberveiligheids- of phishing -training, stuurt de betrokken organisatie (of de klant hiervan) een mail naar legal@dnsbelgium.be. Daarin vermeld je:
1. de belangrijkste kenmerken en de looptijd van de geplande training.
2. de .be-domeinnamen die je voor deze training wil registreren.
Correcte contactgegevens van diegene die de domeinnamen registreert (de houder), zijn een vereiste. Vervalste of onbestaande contactgegevens zijn ongeoorloofd. De betrokkene kiest zelf of de .be-domeinnamen geregistreerd worden op naam van de cyberbeveiligingsorganisatie of de uiteindelijke klant voor wie de training wordt opgezet.
De organisatie die verantwoordelijk is voor de cyberveiligheidstraining (of haar klant) maakt een document op (template in NL, FR en EN) met informatie over de actie, die DNS Belgium met derden kan delen. Bijvoorbeeld wanneer wij hierover vragen krijgen.
De organisatie die verantwoordelijk is voor de cyberveiligheidstraining (of haar klant) deelt ten minste één e-mailadres als contact. DNS Belgium kan indieners van specifieke klachten over de geregistreerde domeinnamen hiernaar doorverwijzen. Via deze weg gebeurt de opvolging van een klacht of ontvangen klagers bijkomende informatie.
De organisatie die verantwoordelijk is voor de cyberveiligheidstraining doet voor de registratie van een domeinnaam het nodige onderzoek naar het eventuele gebruik van logo’s, merkbenamingen en andere online activa van derde partijen. Denk bijvoorbeeld aan verwijzingen naar Office 365. De cyberbeveiligingsorganisatie neemt de nodige initiatieven om inbreuken op de intellectuele rechten van die derde partijen te voorkomen.

Het is belangrijk voor alle betrokken partijen om deze richtlijnen toe te passen. DNS Belgium aanvaardt in geen enkele omstandigheid aansprakelijkheid voor mogelijke inbreuken op de intellectuele rechten van derde partijen, gekoppeld aan het gebruik van .be-domeinnamen die voor een specifieke cyberveiligheidstraining vooraf bij DNS Belgium werden aangemeld. Dit blijft de uitsluitende verantwoordelijkheid van de houder van deze domeinnamen.

DNS Belgium aanvaardt ook geen aansprakelijkheid voor de negatieve gevolgen van en mogelijke schade veroorzaakt door acties die zij moet ondernemen over de vooraf aangemelde domeinnamen, wanneer blijkt dat bovenstaande richtlijnen niet correct werden opgevolgd.

De correcte opvolging van bovenstaande richtlijnen blijft ook de uitsluitende verantwoordelijkheid van de houder van deze domeinnamen. Wanneer de bovenstaande richtlijnen correct worden opgevolgd, engageert DNS Belgium zich om op te treden als “trusted notifier” bij de instanties die misbruik in de .be-zone monitoren. DNS Belgium zal naar best vermogen signaleren dat de betrokken .be-domeinnamen niet gebruikt worden voor illegale praktijken.

Goede praktijken om niet gecategoriseerd te worden als phishing

Whitelisting bij phishing tests en simulaties.
Whitlisting simulated phishing in Google.

Waarom ontwikkelden we deze phishing richtlijnen?

Wij ontvangen vaak meldingen van organisaties die trainen op cyberveiligheid. Zij organiseren acties voor hun klanten om bewustwording te creëren rond cyberveiligheid en phishing in het bijzonder. Om die opdracht uit te voeren, registreren ze vaak .be-domeinnamen die sterk lijken op een bestaande domeinnaam. Bijvoorbeeld een variant op een bestaande commerciële website of van een gekende domeinnaam van de Belgische overheid.

De kans is groot dat deze registraties voor trainings- en testdoeleinden in de cyberveiligheid, eerst onze verificatieprocedure moeten doorlopen. Onze beveiliging ziet zo’n registratie regelmatig als verdacht. Daarom zal de specifieke domeinnaam vaak niet geactiveerd raken in de .be-zone. Als resultaat kan de voorziene training of cyberveiligheidscampagne niet doorgaan. We willen zelf ook vermijden dat deze domeinnamen onnodig als ‘frauduleus’ bestempeld worden. Het zou de reputatie en veiligheidsscore van de .be-zone onterecht negatief beïnvloeden. Daarom bedachten we een werkwijze om cybersecurity professionals te helpen.

Documentversie en toepasbaarheid

Deze memo (versie 1.0) omvat het huidige beleid van DNS Belgium t.a.v. specifieke cybersecuritytrainingen, - tests en - acties die vragen om de registratie van .be-domeinnamen en die vooraf aan ons worden gemeld.

DNS Belgium behoudt zich het recht om deze memo en het bijhorende beleid éénzijdig aan te passen volgens de evolutie van economische, technische of juridische omstandigheden. DNS Belgium zal een eventuele aanpassing minstens één maand voor deze van kracht wordt, aankondigen op haar website. We informeren de organisaties die in het verleden campagnes aanmeldden over de geplande wijzigingen via e-mail en naar best vermogen. We wijzen erop dat rond deze materie nog weinig richtlijnen bestaan en dat het mogelijk is dat bepaalde instanties hiervoor “goede praktijken” ontwikkelen in de toekomst. Waar mogelijk zal DNS Belgium haar beleid laten aansluiten op deze “goede praktijken”.

Met deze richtlijnen ondersteunen wij de Duurzame Ontwikkelingsdoelstellingen van de Verenigde Naties.