💼 Management Samenvatting
De Typosquatting Checker in Microsoft Edge detecteert en waarschuwt voor typfouten in domeinnamen die gebruikers naar phishing sites kunnen leiden, waarbij aanvallers misbruik maken van veelgemaakte typfouten om inloggegevens te stelen.
Aanbeveling
IMPLEMENT
Risico zonder
Gemiddeld
Risk Score
6/10
Implementatie
7u (tech: 2u)
Van toepassing op:
✓ Microsoft Edge
✓ Edge for Business
✓ Edge for Business
Typosquatting, ook wel URL hijacking genoemd, vormt een van de meest effectieve phishing-technieken waarbij cybercriminelen domeinnamen registreren die opzettelijk lijken op populaire websites. Deze aanvallers exploiteren menselijke fouten door gebruik te maken van veelgemaakte typfouten die gebruikers maken bij het intypen van bekende webadressen. Wanneer een gebruiker bijvoorbeeld per ongeluk 'gooogle.com' typt in plaats van 'google.com', door simpelweg een extra 'o' toe te voegen, komt deze terecht op een phishing site die er identiek uitziet als de echte Google login pagina. Deze sites zijn speciaal ontworpen om gebruikers te misleiden en hun inloggegevens te stelen zonder dat zij zich bewust zijn van het gevaar. De dreiging van typosquatting gaat echter veel verder dan simpele typfouten. Aanvallers maken ook gebruik van homoglyph-aanvallen waarbij zij look-alike Unicode karakters gebruiken die visueel vrijwel identiek zijn aan Latijnse letters maar technisch gezien andere karakters zijn. Een voorbeeld hiervan is 'micr0soft.com' waarbij het cijfer nul wordt gebruikt in plaats van de letter 'o', of 'gооgle.com' waarbij Cyrillische letters worden gebruikt die er identiek uitzien aan Latijnse 'o's. Deze aanvallen zijn bijzonder gevaarlijk omdat gebruikers het verschil visueel vaak niet kunnen detecteren, zelfs niet wanneer zij opzettelijk naar de URL kijken. Naast deze technische manipulaties voeren aanvallers ook merkvervalsing uit waarbij zij bekende merken nabootsen door variaties te maken op populaire domeinnamen zoals 'applе.com', 'paypa1.com' of 'amazоn.com'. Deze sites worden vervolgens gebruikt voor credential harvesting, waarbij phishing pagina's er identiek uitzien als echte login pagina's maar in werkelijkheid alle ingevoerde inloggegevens stelen en doorsturen naar de aanvallers. Bovendien worden typosquatting domeinen gebruikt voor malware distributie via drive-by downloads waarbij kwaadaardige software automatisch wordt geïnstalleerd wanneer gebruikers de site bezoeken. In bedrijfscontexten vormen typosquatted corporate domeinen een ernstige dreiging voor Business Email Compromise aanvallen, waarbij aanvallers interne phishing campagnes opzetten die gebruikmaken van domeinnamen die lijken op de legitieme bedrijfsdomeinen. Daarnaast maken aanvallers gebruik van SEO poisoning waarbij typosquatting sites hoog scoren in zoekresultaten voor veelvoorkomende spelfouten, waardoor gebruikers die een zoekopdracht uitvoeren per ongeluk op de kwaadaardige site terechtkomen. Concrete voorbeelden van bekende typosquatting aanvallen zijn onder meer 'goggle.com' dat wordt gebruikt voor phishing op Google gebruikers, 'micorsoft.com' voor Microsoft phishing, 'paypai.com' voor PayPal phishing en 'amazom.com' voor Amazon phishing. De Edge Typosquatting Checker lost deze problemen op door gebruik te maken van geavanceerde machine learning algoritmes die domein gelijkenis detecteren via de Levenshtein distance methode, waarbij het minimale aantal bewerkingen wordt berekend die nodig zijn om de ene string in de andere om te zetten. Het systeem identificeert automatisch homoglyph substituties door look-alike Unicode karakters te herkennen en vergelijkt ingevoerde domeinnamen met bekende typosquatting domeinen via threat intelligence feeds. Wanneer een verdacht domein wordt gedetecteerd, toont de browser real-time waarschuwingen zoals 'Bedoelde u google.com?' voordat de gebruiker enige data kan invoeren. Deze proactieve benadering beschermt gebruikers effectief tegen onbedoelde credential disclosure op phishing sites door hen te waarschuwen voordat zij hun gevoelige informatie kunnen invoeren.
PowerShell Modules Vereist
Primary API: Microsoft Intune / Group Policy
Connection:
Required Modules: Windows PowerShell 5.1 of hoger
Connection:
Windows RegistryRequired Modules: Windows PowerShell 5.1 of hoger
Implementatie
Deze controle configureert de Edge Typosquatting Checker via de Windows registry of via een Intune policy om gebruikers te beschermen tegen phishing aanvallen via typfouten in domeinnamen. De registry instelling bevindt zich op het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge\TyposquattingCheckerEnabled en dient ingesteld te worden op de waarde 1 om de functie in te schakelen. Wanneer de Typosquatting Checker is ingeschakeld, analyseert Microsoft Edge automatisch elke URL die gebruikers invoeren in de adresbalk om typosquatting patronen te detecteren voordat de gebruiker naar de website navigeert. Het systeem maakt gebruik van een geavanceerd machine learning model dat de ingevoerde domeinnaam vergelijkt met een lijst van populaire domeinen afkomstig uit de top 10.000 websites van de Alexa en Tranco ranking lijsten. Deze vergelijking gebeurt in real-time op het apparaat zelf, zonder dat URLs naar externe servers worden verzonden, wat zorgt voor optimale privacybescherming. Het detectiemechanisme triggert waarschuwingen op basis van drie primaire criteria. Ten eerste maakt het systeem gebruik van de Levenshtein distance algoritme, waarbij domeinen met een edit distance van minder dan twee bewerkingen ten opzichte van bekende domeinen een waarschuwing genereren. Dit betekent dat wanneer een gebruiker bijvoorbeeld 'gooogle.com' intypt in plaats van 'google.com', het systeem slechts één extra karakter detecteert en dit als potentieel gevaarlijk identificeert. Ten tweede detecteert het systeem homoglyph karakters, waarbij Unicode look-alike karakters zoals Cyrillische of Griekse letters die visueel identiek zijn aan Latijnse letters worden geïdentificeerd. Tot slot herkent het systeem veelvoorkomende typfoutpatronen zoals verdubbelde letters, omgewisselde karakters, ontbrekende letters of extra karakters die gebruikers vaak per ongeluk invoeren bij het typen van bekende domeinnamen. Vanuit het perspectief van de gebruikerservaring toont het systeem een interstitiële waarschuwingspagina wanneer een potentieel gevaarlijk domein wordt gedetecteerd. Deze pagina geeft duidelijk aan dat er een mogelijke typfout is gedetecteerd en biedt een suggestie van het waarschijnlijk bedoelde correcte domein, bijvoorbeeld 'Bedoelde u google.com?'. Gebruikers krijgen vervolgens de keuze om door te gaan naar de verdachte site met volledige kennis van het risico, of om terug te gaan en de juiste URL in te voeren. Deze benadering zorgt ervoor dat gebruikers bewust kunnen kiezen terwijl zij toch worden geïnformeerd over het potentiële gevaar. Het systeem integreert naadloos met Microsoft Defender SmartScreen voor threat intelligence, waarbij Edge automatisch bekende typosquatting domeinen synchroniseert vanuit de Microsoft threat intelligence feeds. Deze integratie zorgt ervoor dat recent ontdekte phishing domeinen direct worden geblokkeerd voordat gebruikers ernaar kunnen navigeren. Bovendien kunnen gebruikers waarschuwingen rapporteren als false positives, waardoor het machine learning model continu wordt verbeterd en de nauwkeurigheid van detecties over tijd toeneemt. De policy werkt samen met SmartScreen om een uitgebreide phishingbescherming te bieden die zowel technische detectie als gebruikersbewustwording combineert.
Vereisten
Voor de implementatie van de Typosquatting Checker dienen organisaties te beschikken over een aantal technische en organisatorische vereisten om ervoor te zorgen dat de functie effectief kan worden geïmplementeerd en onderhouden. Technisch gezien is het noodzakelijk dat alle doelapparaten zijn uitgerust met Microsoft Edge versie 94 of nieuwer, aangezien de Typosquatting Checker functionaliteit pas beschikbaar is vanaf deze versie. Deze versievereiste is essentieel omdat oudere versies van Edge niet beschikken over de benodigde machine learning modellen en detectie-algoritmes die nodig zijn voor de typosquatting detectie. Daarnaast dienen alle doelapparaten te draaien op Windows 10 of Windows 11 met administratorrechten voor de configuratie van de policy instellingen. Deze administratorrechten zijn vereist omdat de Typosquatting Checker policy wordt opgeslagen in de Windows registry op het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge, wat een administrator niveau vereist voor zowel configuratie als wijzigingen.
Voor het centraal beheer van de Typosquatting Checker policy moeten organisaties beschikken over Group Policy Management voor on-premises omgevingen of Microsoft Intune voor cloud-gebaseerde beheeromgevingen. Deze beheeroplossingen zijn noodzakelijk om de policy op schaal te kunnen implementeren zonder dat handmatige configuratie op elk apparaat afzonderlijk nodig is. Group Policy Management is bij uitstek geschikt voor organisaties met een traditionele on-premises Active Directory omgeving, terwijl Microsoft Intune de voorkeur heeft voor moderne cloud-first organisaties die gebruikmaken van Azure Active Directory. Beide oplossingen bieden de mogelijkheid om de policy centraal te configureren en automatisch te distribueren naar alle doelapparaten binnen de organisatie.
Een stabiele internetverbinding is essentieel voor de optimale werking van de Typosquatting Checker, aangezien het systeem regelmatig threat intelligence updates moet synchroniseren vanuit Microsoft Defender SmartScreen. Deze updates bevatten informatie over recent ontdekte typosquatting domeinen en verbeteringen aan het machine learning model. Zonder regelmatige updates zou de effectiviteit van de detectie afnemen omdat nieuwe phishing domeinen niet worden herkend. Organisaties dienen ervoor te zorgen dat alle apparaten met Edge toegang hebben tot internet, of dat er een proxy configuratie wordt gebruikt die toestaat dat Edge communiceert met de Microsoft threat intelligence services.
Naast de technische vereisten zijn er ook belangrijke organisatorische vereisten die nodig zijn voor een succesvolle implementatie. Gebruikersbewustwordingstraining over phishing en typosquatting dreigingen is essentieel om ervoor te zorgen dat gebruikers begrijpen wat typosquatting is en waarom zij waarschuwingen ontvangen wanneer zij naar verdachte domeinen navigeren. Deze training moet gebruikers leren om waarschuwingen serieus te nemen en niet impulsief door te klikken wanneer zij een typosquatting waarschuwing zien. Bovendien moeten organisaties beschikken over goed gedocumenteerde incident response procedures voor gerapporteerde phishing pogingen, zodat wanneer gebruikers een verdacht domein melden, deze snel kunnen worden onderzocht en, indien nodig, geblokkeerd. Tot slot dient de helpdesk te worden getraind in de afhandeling van typosquatting false positives, zodat wanneer gebruikers klagen over valse waarschuwingen, deze adequaat kunnen worden geëvalueerd en, indien nodig, kunnen worden gerapporteerd aan Microsoft voor modelverbetering.
Implementatie
De implementatie van de Typosquatting Checker gebeurt via Group Policy voor on-premises omgevingen of Microsoft Intune voor cloud-gebaseerde beheeromgevingen door de TyposquattingCheckerEnabled policy in te schakelen. Beide methoden zorgen ervoor dat de policy centraal wordt geconfigureerd en automatisch wordt gedistribueerd naar alle doelapparaten binnen de organisatie, zonder dat handmatige configuratie op elk apparaat afzonderlijk nodig is. De keuze tussen Group Policy en Intune hangt af van de infrastructuur van de organisatie en de voorkeur voor on-premises of cloud-gebaseerd beheer.
Voor organisaties die gebruikmaken van Microsoft Intune begint de configuratie in het Microsoft Intune admin center, waar beheerders naar de sectie Devices navigeren en vervolgens naar Configuration profiles. Hier kunnen zij een nieuw profiel aanmaken door te klikken op 'Create profile' en het platform te selecteren als 'Windows 10 and later', waarbij het profieltype wordt ingesteld op 'Settings catalog'. De Settings catalog biedt een uitgebreide lijst met alle beschikbare Edge policy instellingen, waardoor beheerders de Typosquatting Checker policy kunnen vinden door te zoeken naar 'Typosquatting' in de Settings picker. Zodra de policy is gevonden, dient de 'Typosquatting Checker Enabled' policy te worden ingeschakeld door de waarde in te stellen op 'Enabled'. Na de configuratie van de policy moet het profiel worden toegewezen aan alle apparaten of aan specifieke groepen binnen de organisatie, afhankelijk van de beoogde scope van de implementatie. Zodra het profiel is toegewezen en geïmplementeerd, kunnen beheerders de compliance status monitoren om te verifiëren dat de policy correct is geïmplementeerd op alle doelapparaten.
Voor organisaties die gebruikmaken van on-premises Group Policy Management begint de configuratie door de Group Policy Management Console te openen via het uitvoeren van 'gpmc.msc' vanaf een beheerwerkstation. Binnen de console kunnen beheerders een nieuwe Group Policy Object aanmaken of een bestaand GPO bewerken door te navigeren naar Computer Configuration, vervolgens naar Policies, en dan naar Administrative Templates. Hier vinden zij de sectie Microsoft Edge, waar zij de 'Typosquatting Checker' policy kunnen inschakelen door deze te openen en in te stellen op 'Enabled'. Nadat de policy is geconfigureerd, moet het GPO worden gekoppeld aan de juiste Organizational Units binnen Active Directory, zodat alle computers binnen die OUs automatisch de policy ontvangen. Om te verifiëren dat de policy correct is geïmplementeerd, dienen beheerders 'gpupdate /force' uit te voeren op een testmachine en vervolgens te controleren of de registry key HKLM:\SOFTWARE\Policies\Microsoft\Edge\TyposquattingCheckerEnabled correct is ingesteld op de waarde 1.
Gebruik PowerShell-script typosquatting-checker-enabled.ps1 (functie Invoke-Monitoring) – Controleert of Typosquatting Checker is ingeschakeld. Valideert registry key HKLM:\SOFTWARE\Policies\Microsoft\Edge\TyposquattingCheckerEnabled = 1..
Gebruik PowerShell-script typosquatting-checker-enabled.ps1 (functie Invoke-Remediation) – Schakelt Typosquatting Checker in door registry key te configureren. Verifieert dat Edge de policy heeft toegepast..
Gebruik PowerShell-script typosquatting-checker-enabled.ps1 (functie Invoke-Revert) – Schakelt Typosquatting Checker uit door registry key te verwijderen (ALLEEN voor troubleshooting bij excessive false positives)..
Technische Details
De Typosquatting Checker maakt gebruik van geavanceerde algoritmes voor domein gelijkenis detectie die gebruikers beschermen tegen phishing aanvallen via typfouten in domeinnamen. De technische configuratie van de Typosquatting Checker wordt opgeslagen in de Windows registry op het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge\TyposquattingCheckerEnabled, waarbij de verwachte waarde 1 is wanneer de functie is ingeschakeld en 0 wanneer de functie is uitgeschakeld. Deze registry instelling wordt automatisch geconfigureerd wanneer de policy wordt geïmplementeerd via Group Policy of Intune, zonder dat handmatige wijzigingen aan de registry nodig zijn.
Het hart van de Typosquatting Checker vormt het Levenshtein Distance algoritme, dat het minimale aantal bewerkingen berekent dat nodig is om de ene string in de andere om te zetten. Deze bewerkingen omvatten het invoegen van karakters, het verwijderen van karakters en het vervangen van karakters tussen de ingevoerde URL en bekende domeinen. Het algoritme berekent de edit distance tussen het ingevoerde domein en elk domein in de referentielijst om te bepalen of er een potentiële typfout is gemaakt. Domeinen met een edit distance van minder dan of gelijk aan twee bewerkingen genereren automatisch een waarschuwing, aangezien dit wijst op een waarschijnlijke typfout die per ongeluk is gemaakt bij het intypen van een bekende domeinnaam.
Naast het Levenshtein Distance algoritme maakt het systeem ook gebruik van homoglyph detectie, waarbij Unicode look-alike karakters worden geïdentificeerd die visueel identiek zijn aan Latijnse letters maar technisch gezien andere karakters zijn. Voorbeelden hiervan zijn Cyrillische letters zoals 'а' en 'о' die identiek lijken aan Latijnse 'a' en 'o', Griekse letters zoals 'α' en 'ο' die eveneens visueel identiek zijn aan Latijnse letters, en cijfers zoals '0' en '1' die kunnen worden gebruikt in plaats van letters 'O' en 'l'. Deze detectie is bijzonder belangrijk omdat gebruikers het verschil tussen deze karakters visueel vaak niet kunnen detecteren, zelfs niet wanneer zij opzettelijk naar de URL kijken.
Het systeem herkent ook veelvoorkomende typfoutpatronen die gebruikers vaak maken bij het intypen van bekende domeinnamen. Deze patronen omvatten verdubbelde letters zoals in 'gooogle.com' waarbij een extra 'o' is toegevoegd aan 'google.com', omgewisselde karakters zoals in 'googel.com' waarbij de laatste twee letters zijn omgewisseld, ontbrekende letters zoals in 'gogle.com' waarbij een 'o' ontbreekt, en extra karakters zoals in 'googles.com' waarbij een extra 's' is toegevoegd. Door deze patronen te herkennen kan het systeem proactief waarschuwingen genereren wanneer gebruikers per ongeluk een typfout maken bij het intypen van een bekende domeinnaam.
De referentielijst van bekende domeinen wordt gegenereerd op basis van de top 10.000 websites van de Alexa en Tranco ranking lijsten, die regelmatig worden bijgewerkt om te zorgen dat de meest populaire websites zijn opgenomen. Edge gebruikt deze referentielijst voor de similarity vergelijking waarbij het ingevoerde domein wordt vergeleken met elk domein in de lijst om te bepalen of er een match is of dat het om een potentiële typfout gaat. Deze benadering zorgt ervoor dat het systeem accuraat is voor de meest bezochte websites, waarbij het risico op false positives wordt geminimaliseerd door alleen te focussen op domeinen die daadwerkelijk populair zijn onder gebruikers.
Het systeem integreert naadloos met Microsoft Defender SmartScreen voor threat intelligence, waarbij bekende typosquatting domeinen uit de Microsoft threat intelligence feeds direct worden geblokkeerd voordat gebruikers ernaar kunnen navigeren. Deze integratie zorgt ervoor dat recent ontdekte phishing domeinen onmiddellijk worden geblokkeerd zonder dat gebruikers eerst een waarschuwing zien, aangezien deze domeinen al zijn bevestigd als kwaadaardig. Het machine learning model van Edge draait lokaal op het apparaat en verbetert de detectienauwkeurigheid over tijd via federated learning, waarbij het model wordt getraind op basis van gebruikersfeedback zonder dat individuele URLs naar Microsoft worden verzonden. Vanuit privacy perspectief gebeuren alle domeinchecks lokaal op het apparaat, waarbij geen URLs worden verstuurd naar Microsoft servers, wat zorgt voor optimale privacybescherming volgens het privacy-by-design principe.
Best Practices
Voor effectieve typosquatting bescherming dienen organisaties een aantal best practices te implementeren die ervoor zorgen dat de Typosquatting Checker optimaal functioneert en gebruikers effectief worden beschermd tegen phishing aanvallen via typfouten in domeinnamen. De meest belangrijke best practice is om de Typosquatting Checker te combineren met Microsoft Defender SmartScreen voor uitgebreide phishingbescherming. Terwijl de Typosquatting Checker focust op het detecteren van typfouten in domeinnamen, biedt SmartScreen aanvullende bescherming door bekende kwaadaardige sites te blokkeren en gebruikers te waarschuwen voor potentieel gevaarlijke downloads. Deze combinatie zorgt voor een gelaagde verdediging die gebruikers beschermt tegen zowel onbekende als bekende phishing dreigingen.
Gebruikersbewustwordingstraining is essentieel voor een succesvolle implementatie van de Typosquatting Checker. Organisaties dienen gebruikers te trainen om typosquatting waarschuwingen serieus te nemen en niet impulsief door te klikken wanneer zij een waarschuwing zien. Gebruikers moeten begrijpen dat deze waarschuwingen worden getoond om hen te beschermen tegen phishing aanvallen en dat zij altijd de tijd moeten nemen om de waarschuwing te lezen voordat zij beslissen om door te gaan naar de verdachte site. Training moet gebruikers leren om aandacht te besteden aan de suggestie van het correcte domein en om deze suggestie te gebruiken wanneer zij twijfelen over de legitimiteit van een domeinnaam.
Organisaties dienen ook merkmonitoring te implementeren om eigen typosquatted domeinen te detecteren en te claimen of te rapporteren aan de relevante autoriteiten. Aanvallers registreren vaak domeinen die lijken op bedrijfsdomeinen om phishing aanvallen uit te voeren op klanten en partners. Door regelmatig te monitoren op dergelijke domeinen kunnen organisaties proactief actie ondernemen om deze domeinen te claimen, te rapporteren aan domeinregistrars, of om gebruikers te waarschuwen wanneer zij naar deze domeinen navigeren. Deze monitoring kan worden geautomatiseerd met behulp van tools die regelmatig zoeken naar domeinen die lijken op de legitieme bedrijfsdomeinen.
Het gebruik van bladwijzers voor veelbezochte sites is een eenvoudige maar effectieve manier om typfouten te voorkomen. Wanneer gebruikers bladwijzers gebruiken in plaats van URL's handmatig in te typen, vermindert dit het risico op typfouten aanzienlijk. Organisaties dienen gebruikers aan te moedigen om bladwijzers te maken voor alle veelbezochte sites, inclusief interne bedrijfsapplicaties, externe services en publieke websites. Bovendien dienen organisaties password managers te implementeren die automatisch inloggegevens invullen, maar alleen op legitieme domeinen. Deze password managers herkennen het verschil tussen legitieme domeinen en typosquatted domeinen, waardoor zij voorkomen dat inloggegevens worden ingevuld op phishing sites, zelfs wanneer gebruikers per ongeluk naar een typosquatted domein navigeren.
Monitoring van typosquatting rapporten van gebruikers is essentieel voor trendanalyse en threat intelligence. Wanneer gebruikers typosquatting waarschuwingen melden of vragen stellen over verdachte domeinen, dient deze informatie te worden verzameld en geanalyseerd om trends te identificeren en om te bepalen of er specifieke aanvallen plaatsvinden die gericht zijn op de organisatie. Deze informatie kan worden gebruikt om gebruikers te waarschuwen voor specifieke dreigingen, om de beveiligingsconfiguratie aan te passen, of om te rapporteren aan Microsoft voor verbetering van het machine learning model.
Organisaties dienen gebruikers te informeren over homoglyph aanvallen, waarbij Cyrillische look-alike karakters worden gebruikt die visueel identiek zijn aan Latijnse letters maar technisch gezien andere karakters zijn. Deze aanvallen zijn bijzonder gevaarlijk omdat gebruikers het verschil tussen deze karakters visueel vaak niet kunnen detecteren, zelfs niet wanneer zij opzettelijk naar de URL kijken. Door gebruikers te informeren over deze aanvallen en door uit te leggen hoe de Typosquatting Checker deze detecteert, kunnen organisaties ervoor zorgen dat gebruikers begrijpen waarom zij waarschuwingen ontvangen en waarom zij deze serieus moeten nemen. Tot slot dienen organisaties de Typosquatting Checker regelmatig te testen met bekende typosquatted domeinen om te verifiëren dat het systeem correct functioneert en om te valideren dat de effectiviteit van de detectie voldoet aan de verwachtingen van de organisatie.
Compliance en Auditing
De Typosquatting Checker ondersteunt verschillende compliance frameworks door uitgebreide phishingbescherming te bieden die organisaties helpt te voldoen aan beveiligingseisen en privacyverordeningen. Deze technische controles vormen een essentieel onderdeel van een gelaagde beveiligingsstrategie die organisaties beschermt tegen social engineering aanvallen en credential theft, wat direct bijdraagt aan compliance met verschillende beveiligingsstandaarden en regelgevingen.
Binnen de BIO Baseline Informatiebeveiliging Overheid voldoet de Typosquatting Checker aan Thema 7: Awareness en Gedrag, waarbij technische bescherming wordt geboden tegen social engineering aanvallen zoals typosquatting phishing. Deze technische controles ondersteunen organisatorische maatregelen door gebruikers te beschermen tegen menselijke fouten en door proactief waarschuwingen te tonen wanneer gebruikers per ongeluk naar verdachte domeinen navigeren. Door deze combinatie van technische en organisatorische maatregelen kunnen overheidsorganisaties effectief voldoen aan de BIO-eisen voor awareness en gedrag.
Voor ISO 27001 compliance draagt de Typosquatting Checker bij aan controle A.13.2.1: Information transfer policies, waarbij bescherming wordt geboden tegen phishing via typosquatted domeinen. Deze controle vereist dat organisaties informatieoverdracht beveiligen tegen ongeautoriseerde toegang en dat zij maatregelen implementeren om gebruikers te beschermen tegen social engineering aanvallen. De Typosquatting Checker voldoet aan deze eis door proactief waarschuwingen te tonen wanneer gebruikers per ongeluk naar verdachte domeinen navigeren en door te voorkomen dat credentials worden ingevuld op phishing sites.
Binnen het NIST SP 800-53 framework voldoet de Typosquatting Checker aan controle SI-20: Tainting, waarbij input validatie wordt geboden voor domeinnamen. Deze controle vereist dat organisaties input valideren voordat deze wordt verwerkt om te voorkomen dat gebruikers per ongeluk naar kwaadaardige sites navigeren. De Typosquatting Checker voldoet aan deze eis door elke ingevoerde URL te analyseren en te vergelijken met bekende legitieme domeinen voordat gebruikers naar de site navigeren. Bovendien draagt het systeem bij aan PR.AT-1: Users are informed about phishing threats, waarbij gebruikers worden geïnformeerd over phishing dreigingen via real-time waarschuwingen die uitleggen wat typosquatting is en waarom een specifiek domein verdacht is.
De CIS Critical Security Controls vereisen in Control 17.9 dat organisaties anti-phishing oplossingen implementeren om gebruikers te beschermen tegen phishing aanvallen. De Typosquatting Checker voldoet aan deze eis door proactief typosquatting aanvallen te detecteren en gebruikers te waarschuwen voordat zij naar verdachte domeinen navigeren. Deze technische controle vormt een essentieel onderdeel van een gelaagde anti-phishing strategie die organisaties helpt te voldoen aan de CIS Controls door zowel technische als organisatorische maatregelen te implementeren.
Binnen de NIS2 richtlijn draagt de Typosquatting Checker bij aan Artikel 21: Human factor, waarbij technische controles worden geboden die gebruikersbewustzoning ondersteunen. Deze richtlijn vereist dat organisaties maatregelen implementeren om de menselijke factor in beveiliging aan te pakken, waarbij technische controles worden gebruikt om gebruikers te beschermen tegen menselijke fouten. De Typosquatting Checker voldoet aan deze eis door gebruikers te waarschuwen wanneer zij per ongeluk een typfout maken bij het intypen van een domeinnaam, waardoor de menselijke factor wordt gemitigeerd door technische ondersteuning. Tot slot draagt het systeem bij aan GDPR Artikel 32: Security of processing, waarbij bescherming wordt geboden tegen credential theft via technische en organisatorische maatregelen. Deze verordening vereist dat organisaties passende technische en organisatorische maatregelen implementeren om persoonsgegevens te beschermen tegen ongeautoriseerde toegang en diefstal. De Typosquatting Checker voldoet aan deze eis door te voorkomen dat gebruikers per ongeluk hun inloggegevens invoeren op phishing sites, waardoor het risico op credential theft aanzienlijk wordt verminderd.
Troubleshooting
Bij de implementatie van de Typosquatting Checker kunnen organisaties verschillende problemen tegenkomen die aandacht vereisen om ervoor te zorgen dat het systeem optimaal functioneert. Een veelvoorkomend probleem is false positives voor interne bedrijfsdomeinen, waarbij de Typosquatting Checker legitieme bedrijfsdomeinen ten onrechte identificeert als verdacht. Dit kan gebeuren wanneer interne domeinen visueel lijken op populaire externe domeinen, waardoor het systeem denkt dat het om een typfout gaat. De oplossing voor dit probleem is om legitieme bedrijfsdomeinen toe te voegen aan een whitelist via de EnterpriseList policy, waardoor het systeem deze domeinen herkent als legitiem en geen waarschuwingen meer toont wanneer gebruikers naar deze domeinen navigeren.
Een ander veelvoorkomend probleem is dat gebruikers klagen over te veel waarschuwingen, waardoor zij het gevoel krijgen dat het systeem te agressief is en hun werkzaamheden belemmert. In veel gevallen zijn deze waarschuwingen echter legitiem en wijzen zij op echte typfouten die gebruikers hebben gemaakt bij het intypen van domeinnamen. De oplossing voor dit probleem is om te verifiëren of de waarschuwingen legitiem zijn door te controleren of gebruikers daadwerkelijk typfouten hebben gemaakt, en om gebruikers te trainen om voorzichtiger te zijn bij het intypen van domeinnamen. Bovendien kunnen organisaties gebruikers aanmoedigen om bladwijzers te gebruiken voor veelbezochte sites om het risico op typfouten te verminderen.
Soms kan het voorkomen dat een typosquatting waarschuwing niet verschijnt bij een bekend phishing domein, waardoor gebruikers niet worden gewaarschuwd wanneer zij naar een kwaadaardige site navigeren. Dit kan gebeuren wanneer het domein recent is geregistreerd en nog niet is opgenomen in de threat intelligence feeds, of wanneer het machine learning model het domein nog niet heeft geïdentificeerd als verdacht. De oplossing voor dit probleem is om het domein te rapporteren via edge://settings/privacy/reportPhishing, waardoor het domein wordt toegevoegd aan de SmartScreen threat intelligence feeds en andere gebruikers worden beschermd tegen dit domein. Bovendien kunnen organisaties regelmatig de SmartScreen threat intelligence bijwerken om ervoor te zorgen dat de meest recente phishing domeinen worden geblokkeerd.
Een technisch probleem dat kan optreden is dat de policy niet actief is na de deployment, waardoor de Typosquatting Checker niet functioneert ondanks dat de policy is geïmplementeerd. Dit kan gebeuren wanneer Group Policy updates niet correct zijn toegepast, of wanneer Edge de policy wijzigingen nog niet heeft verwerkt. De oplossing voor dit probleem is om 'gpupdate /force' uit te voeren op de doelapparaten om ervoor te zorgen dat alle Group Policy wijzigingen worden toegepast, vervolgens Edge opnieuw te starten om ervoor te zorgen dat de browser de policy wijzigingen verwerkt, en tot slot te verifiëren dat de registry key correct is ingesteld door 'Get-ItemProperty HKLM:\SOFTWARE\Policies\Microsoft\Edge TyposquattingCheckerEnabled' uit te voeren om te controleren of de waarde op 1 staat.
Soms kan het voorkomen dat een gebruiker een legitieme site rapporteert als typosquatting, waardoor het systeem ten onrechte denkt dat het om een verdacht domein gaat. Dit kan gebeuren wanneer een legitiem domein visueel lijkt op een populair domein, maar technisch gezien verschillend is en niet als typfout moet worden beschouwd. De oplossing voor dit probleem is om het domein te onderzoeken met behulp van WHOIS lookups en certificaat analyse om te bepalen of het domein legitiem is, en indien het domein legitiem is, om een false positive te rapporteren via edge://settings/help, waardoor het machine learning model wordt verbeterd en het domein in de toekomst niet meer als verdacht wordt geïdentificeerd.
Homoglyph domeinen worden soms niet gedetecteerd door het systeem, waardoor gebruikers niet worden gewaarschuwd wanneer zij naar een domein navigeren dat gebruik maakt van look-alike Unicode karakters. Dit kan gebeuren wanneer Edge een oudere versie draait die nog niet beschikt over homoglyph detectie functionaliteit, aangezien homoglyph detectie alleen beschikbaar is vanaf Edge versie 100 of nieuwer. De oplossing voor dit probleem is om Edge bij te werken naar de nieuwste versie, waardoor het systeem beschikt over de meest recente detectie algoritmes inclusief homoglyph detectie. Bovendien kunnen organisaties gebruikers informeren over homoglyph aanvallen en uit leggen waarom het belangrijk is om de nieuwste versie van Edge te gebruiken voor optimale beveiliging.
Interne subdomeinen kunnen soms ten onrechte een waarschuwing triggeren, waardoor gebruikers worden gewaarschuwd wanneer zij naar legitieme interne subdomeinen navigeren. Dit kan gebeuren wanneer interne subdomeinen visueel lijken op populaire externe domeinen, waardoor het systeem denkt dat het om een typfout gaat. De oplossing voor dit probleem is om de EnterpriseList policy te configureren met wildcards zoals *.internal.corp.local om alle interne domeinen toe te voegen aan de whitelist, waardoor het systeem deze domeinen herkent als legitiem en geen waarschuwingen meer toont. Tot slot kan het voorkomen dat waarschuwingen geen correcte suggestie tonen, waardoor gebruikers niet weten welk domein zij eigenlijk bedoelden te bezoeken. Dit kan gebeuren wanneer het machine learning model nog niet voldoende is getraind op specifieke typfoutpatronen, of wanneer het domein niet voorkomt in de referentielijst. Het machine learning model verbetert echter over tijd via federated learning, waarbij het model wordt getraind op basis van gebruikersfeedback. Organisaties kunnen dit proces versnellen door false positives te rapporteren via telemetry feedback, waardoor het model sneller leert en accuratere suggesties kan bieden.
Monitoring
Gebruik PowerShell-script typosquatting-checker-enabled.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Gebruik PowerShell-script typosquatting-checker-enabled.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance & Frameworks
- CIS M365: Control () - CIS Critical Security Controls - Deploy anti-phishing solutions
- BIO: 07.01.02, 12.02.01 - BIO Thema 7 Awareness - Technische bescherming tegen social engineering en phishing
- ISO 27001:2022: A.13.2.1 - Information transfer policies - Phishing protection via domain validation
- NIS2: Artikel - Human factor - Technical controls to support security awareness
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Security: Typosquatting Checker Enabled
.DESCRIPTION
CIS - Typosquatting protection moet enabled (lookalike domain protection).
.NOTES
Filename: typosquatting-checker-enabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\TyposquattingCheckerEnabled|Expected: 1
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "TyposquattingCheckerEnabled"; $ExpectedValue = 1
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "typosquatting-checker-enabled.ps1"; PolicyName = "Typosquatting Checker"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default enabled"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Typosquatting checker enabled" }else { $r.Details += "Typosquatting checker disabled" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r }
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Typosquatting checker enabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Gemiddeld: GEMIDDELD RISICO: Gebruikers zijn kwetsbaar voor phishing via typosquatting - veelgemaakte typfouten leiden naar fake login pages die credentials stelen. Homoglyph attacks met look-alike characters (Cyrillic 'о' i.p.v. 'o') zijn visueel niet te detecteren. Business Email Compromise via typosquatted corporate domains kan significant financial damage veroorzaken. Zonder Typosquatting Checker is er NO technical protection tegen deze social engineering vector.
Management Samenvatting
Schakel Typosquatting Checker in Edge in om gebruikers te waarschuwen voor typfouten in domeinnamen die naar phishing sites leiden. Detecteert domain typos via machine learning, identificeert homoglyph attacks, en toont real-time warnings met correcte domain suggestie. Beschermt tegen credential theft en malware distributie.
- Implementatietijd: 7 uur
- FTE required: 0.03 FTE