Lees meer over: Cybersecurity & Continuïteit


Content hijacking

Zo sta je ineens op een Afrikaanse datingsite

Stel je voor: in het kader van je persoonlijke webcare typ je je eigen naam in Google in. Ineens staat tussen de vertrouwde resultaten een website met een onbekende naam, het achtervoegsel .cf (Centraal-Afrikaanse Republiek) en met de veelbelovende tekst “Satanische dating voor fijnproevers”. Daaronder prijkt jouw naam, met daarnaast die van een collega. Nog één klik verder wordt je beeldscherm overspoeld door tientallen schaars geklede ‘daters’. Op de achtergrond van de site lijkt echter iets bekends door te schijnen: de website van jouw werkgever.

Dit is wat een medewerkster van een van onze opdrachtgevers onlangs meemaakte. De website van haar werkgever was gekopieerd en hergebruikt door een Centraal-Afrikaanse datingsite. De kopie bevatte alle content van het origineel, waaronder een groot aantal namen van medewerkers. Content hijacking dus: het ontvoeren en illegaal hergebruiken van webcontent. De eerste reactie van de betrokkenen was een mengeling van schrik, gegiechel en verontwaardiging. Op de voet gevolgd door het besef dat de link met deze website zo snel mogelijk moest verdwijnen. Maar hoe doe je dat eigenlijk, een website laten verdwijnen?

In de tegenaanval!

Mogelijkheid 1. is het laten aanpassen van de zoekresultaten. De gekopieerde site wordt dan niet meer gevonden via zoekmachines, waarmee het acute probleem is opgelost. Zowel bij Google als Bing kun je een dergelijk verzoek indienen. Is inderdaad sprake van illegale content, dan wordt dit verzoek in principe altijd gehonoreerd. Helaas hebben Google en Bing dermate ambtelijke processen ingericht voor deze verwijderverzoeken, dat we langs deze weg geen direct resultaat behalen.

Poging 2: zoeken naar de eigenaar en de service provider van de datingsite.

Voor het World Wide Web zijn goede ‘telefoongidsen’ beschikbaar. Diverse websites, zoals whois.net, helpen je om de contactgegevens achter een website te achterhalen. Na het intypen van het webadres van de datingsite kregen we direct de gegevens van de service provider, compleet met mailadres voor misbruikmeldingen. Recent  heeft de Autoriteit Persoonsgegevens overigens uitgesproken dat deze Whois-services in strijd zijn met de privacywetgeving. Maar vooralsnog zijn wij dankbaar voor de gevonden informatie.

In ons geval bleek de provider in Amsterdam te zijn gevestigd. Dit ‘thuisvoordeel’ bleek na één telefoontje echter zeer relatief te zijn. In gebrekkig doch compact Engels werd ons te verstaan gegeven dat we een Engelstalige mail dienden te sturen naar hetzelfde abuse-mailadres als we in whois-gegevens hadden gevonden. Net voordat we een strenge brief wilden gaan opstellen en ons mentaal voorbereidden op een wat langer traject, kregen we echter goed nieuws. Parallel aan de zoektocht naar informatie op het internet, was namelijk ook de eigen serviceprovider van de klant in actie gekomen. Zij hebben een e-mail naar de host van de Afrikaanse website gestuurd. Een uur later was de datingsite uit de lucht.

Hoe hebben we gewonnen?

Wat maakte de e-mail van de eigen provider zo effectief? Allereerst bevatte deze natuurlijk een heldere en goed onderbouwde misbruikmelding: inbreuk op het intellectueel eigendom van de rechthebbende van de site en de pornografische context. Zou de mail hier eindigen, dan was het vanuit het oogpunt de host echter nog steeds niet zijn probleem, maar vooral dat van de betrokken partijen. Naast de melding, bevatte de mail echter ook een ondubbelzinnige waarschuwing voor de host zelf. Als deze na ontvangst van de misbruikmelding namelijk zou doorgaan met de doorgifte van betreffende website, dan zou hij hiermee willens en wetens meewerken aan de doorgifte van illegale content. En dus medeplichtig worden aan een strafbaar feit. De host werd zo niet alleen aangesproken op zijn welwillendheid, maar ook op zijn eigen juridische positie.

Lessons learned

Het expliciet benoemen van de eigen verantwoordelijkheid van de provider op het moment dat deze in actie moet komen, is daarmee onze eerste “lesson learned”. Maar wat kun je nog meer doen?

Voorkomen dat een website gekopieerd wordt lijkt technisch niet mogelijk. Wat wel is aan te bevelen is het gebruik van de eigen (herkenbare) content op het internet systematisch te monitoren, of dit te laten doen, zodat je als dat nodig is direct actie kunt ondernemen. Wordt daadwerkelijk misbruik geconstateerd, dan heb je sterkere positie als je niet alleen op een schending van je auteursrecht kunt wijzen, maar ook je merk, beeldmerk en handelsnaam gedeponeerd zijn.

In deze casus was het verschil tussen de kopie en de originele website overduidelijk. Wat vaker voorkomt is dat criminelen met content hijacking een website exact nabootsen, om hiermee klanten te verleiden tot dubieuze transacties of het afstaan van vertrouwelijke gegevens. Worden bezoekers van je website weggeleid, dan is dit zichtbaar in de afgenomen verkeersstroom. Het helpt dus als je niet alleen monitort op toenemende bezoekersaantallen, maar ook detecteert wanneer de bezoekersstroom opeens sterk afneemt.

In het besproken voorbeeld is de Afrikaanse datingsite uiteindelijk zeer snel uit de lucht gehaald. Geen enkele medewerker heeft er ook maar een speeddate aan overgehouden. Dit was vooral mogelijk omdat de provider toevallig in Nederland zat. En natuurlijk dankzij de oplettende medewerkster die de nep-site ontdekte!