Een ticket indienen Mijn tickets
Welkom
Inloggen  Aanmelden
  1. PowerDMARC
  2. Oplossing home
  3. PowerDMARC functies Gebruikershandleiding
  4. Lookalike domeincontrole

Hoe worden gelijkende domeinen beoordeeld?

PowerDMARC-ondersteuning
Gewijzigd op: ma 30 mrt 2026 om 15:00

Overzicht

De PowerDMARC Lookalike Domain Checker kent aan elk gedetecteerd lookalike-domein een risicoscore toe van 0 tot 100% . Deze score geeft de algehele waarschijnlijkheid weer dat een domein een phishing-, impersonatie- of merkinbreukdreiging vormt voor uw organisatie.

Elke score komt overeen met een duidelijk risicolabel:

  • Laag risico: 0–29%

  • Gemiddeld risico: 30–69%

  • Hoog risico: 70–100%

Wat is de factor in de score?

De risicoscore wordt berekend op basis van vier kenmerken, die elk een specifiek gewicht hebben:

Attribuut

Gewicht

Wat het meet

Domeinstatus

20%

Of het lookalike-domein nu geregistreerd, geparkeerd of niet-geregistreerd (beschikbaar voor aankoop) is.

Aanvalstype

20%

De mutatietechniek die gebruikt is om het lookalike-domein te genereren.

DNS-records

35%

Welke DNS-records (A, MX, NS) zijn aanwezig voor het domein?

SSL-status

25%

De status van het SSL-certificaat van het domein


Hoe elk kenmerk wordt geëvalueerd

Domeinstatus (20%)

De registratiestatus van een lookalike-domein is een sterk signaal van opzet. Een domein dat actief geregistreerd is, zal waarschijnlijk eerder voor kwaadwillige doeleinden worden gebruikt dan een domein dat zomaar zou kunnen bestaan.

  • Geregistreerd — Het domein heeft actieve DNS-records en is eigendom van iemand. Dit krijgt de volledige weegfactor (100% van de 20%).

  • Geparkeerd — Het domein is geregistreerd, maar vertoont geen noemenswaardige e-mailinfrastructuur (geen MX-record en SPF is ingesteld op v=spf1 -all ). Dit krijgt de helft van het gewicht (50% van de 20%).

  • Niet geregistreerd — Het domein is niet bereikbaar via DNS en heeft geen aanwezigheid in het DNS-systeem. Dit draagt ​​niets bij aan de score (0%).

Aanvalstype (20%)

Verschillende mutatietechnieken brengen verschillende risico's met zich mee, afhankelijk van hoe misleidend ze zijn en hoe vaak ze voorkomen in daadwerkelijke phishingcampagnes.

  • Homograaf (IDN) — Maakt gebruik van visueel identieke Unicode-tekens (bijvoorbeeld de Cyrillische "а" in plaats van de Latijnse "a"). Dit is het meest misleidende aanvalstype en krijgt de volle weegfactor (100% van de 20%).

  • Typosquatting maakt gebruik van veelvoorkomende typefouten die vaak in de buurt van toetsenbordletters voorkomen (bijv. "gogle.com"). Dit krijgt 70% van de gewichtstoekenning.

  • Alle andere typen – verwijdering, invoeging, vervanging, transpositie, herhaling en TLD-variatie – krijgen elk 50% van het gewicht. Hoewel dit nog steeds relevante bedreigingen zijn, zijn deze technieken over het algemeen gemakkelijker te herkennen voor een getraind oog.

DNS-records (35%)

De aanwezigheid van DNS-records geeft aan dat een domein actief geconfigureerd en mogelijk in gebruik is. Dit kenmerk weegt het zwaarst, omdat een domein met e-mail- en webinfrastructuur veel waarschijnlijker het doelwit van een aanval zal zijn.

De DNS-score is de som van de bijdragen van de individuele records:

  • Een aanwezig record draagt ​​30% bij aan het DNS-gewicht (het domein wordt omgezet naar een IP-adres en kan een website hosten).

  • MX-record aanwezig — Draagt ​​40% bij aan het DNS-gewicht (het domein kan e-mail verzenden en ontvangen — een cruciaal signaal voor het risico op phishing).

  • NS-record aanwezig — Draagt ​​30% bij aan het DNS-gewicht (het domein heeft nameservers toegewezen).

Als alle drie recordtypen aanwezig zijn, ontvangt het domein de volledige bijdrage van 35%. Als geen van de drie aanwezig is, draagt ​​dit kenmerk 0% bij.

SSL-status (25%)

Een SSL-certificaat kan erop wijzen dat er moeite is gedaan om een ​​domein legitiem te laten lijken. Browsers tonen een hangslotpictogram bij sites met geldige certificaten, wat het vertrouwen van de gebruiker vergroot – iets waar aanvallers misbruik van maken.

  • Geldig — Er is een vertrouwd certificaat aanwezig, het domein komt overeen en het certificaat is actueel. Volledige weging (100% van de 25%).

  • Verlopen, ongeldig of onbetrouwbaar — Het certificaat bestaat wel, maar heeft problemen (verlopen, onjuist domein, zelfondertekend of verbroken vertrouwensketen). Elk van deze punten telt voor 80% mee, omdat de aanwezigheid van welk certificaat dan ook nog steeds wijst op een opzettelijke opzet.

  • Ontbreekt — Er wordt geen certificaat aangeboden of HTTPS is niet beschikbaar. Dit draagt ​​0% bij, aangezien het er simpelweg op kan wijzen dat het domein niet actief wordt onderhouden.

Voorbeelden van puntentelling

Voorbeeld 1 — Laag risico (20%)

Een geparkeerd domein zonder DNS-infrastructuur en zonder SSL-certificaat:

  • Domeinstatus: Geparkeerd → 20% × 0,5 = 10

  • Aanvalstype: Herhaling → 20% × 0,5 = 10

  • DNS-records: Geen → 35% × 0 = 0

  • SSL-status: Ontbreekt → 25% × 0 = 0

  • Totaal: 20% — Laag risico

Voorbeeld 2 — Gemiddeld risico (51%)

Een geregistreerd domein met gedeeltelijke DNS-records maar zonder SSL:

  • Domeinstatus: Geregistreerd → 20% × 1,0 = 20

  • Aanvalstype: Herhaling → 20% × 0,5 = 10

  • DNS-records: A + NS aanwezig, MX ontbreekt → 35% × 0,6 = 21

  • SSL-status: Ontbreekt → 25% × 0 = 0

  • Totaal: 51% — Gemiddeld risico

Voorbeeld 3 — Hoog risico (100%)

Een geregistreerd domein dat gebruikmaakt van een homograafaanval met volledige DNS-records en een geldig SSL-certificaat:

  • Domeinstatus: Geregistreerd → 20% × 1,0 = 20

  • Aanvalstype: Homograaf → 20% × 1,0 = 20

  • DNS-records: A + MX + NS allemaal aanwezig → 35% × 1,0 = 35

  • SSL-status: Geldig → 25% × 1,0 = 25

  • Totaal: 100% — Hoog risico


P
PowerDMARC is de auteur van dit oplossingsartikel.

Vond u het nuttig? Ja Geen

Stuur feedback
Sorry dat we niet behulpzaam konden zijn. Help ons dit artikel te verbeteren met uw feedback.