Domænesvindlere smyger sig uden om strammere kontrol med danske domæner

Fremover vil DK Hostmaster validere registrantoplysninger op mod CVR og CPR, men det kommer kun til at gælde for danske postadresser. Den eneste validering af udlændinge vil være et fysisk brev.

Fra 1. marts 2015 vil den danske domæneadministrator DK Hostmaster begynde at validere indtastede registrantdata op mod CPR- og CVR-registrene. I dag er den eneste validering af registrantoplysninger et fysisk brev sendt til den oplyste postadresse. Den øgede datavalidering gælder dog kun for danske registranter.

»Valideringen bliver lavet om 1. marts 2015. Der vil man ikke få hverken en e-mail eller brev, før man er blevet valideret mod CPR eller CVR. Men det er kun for danskere. Udlændinge vil fortsat få en e-mail først og derefter et brev, fordi der ikke er nogen registre, vi kan registrere dem op imod,« siger vicedirektør i DK Hostmaster Lise Fuhr.

Dermed er der principielt ikke noget til hinder for, at registranter fra udlandet kan indtaste vilkårlige kontaktoplysninger og efterfølgende aktivere domænet via den mail, DK Hostmaster sender ud.

»Den mulighed foreligger. Men det er jo ikke alle fra udlandet, der opgiver falsk navn og adresse. Langt de fleste opgiver korrekte oplysninger,« siger Lise Fuhr.

Og det sker fra tid til anden, eksempelvis i forbindelse med oprettelse af fup-webbutikker, at der bliver indtastet registrantoplysninger på danskere, som intet har med domænet at gøre. Version2 har tidligere beskrevet, hvordan to danskeres kontaktoplysninger er blevet brugt i forbindelse med registreringen af netop et domæne med en fup-webbutik.

Læs også: Uskyldige danskere udnyttet i registrering af fup-butikker på nettet

Ringe udsigter til effektiv kontrol mod misbrug fra udlandet

Da der i dette tilfælde er tale om en eksisterende dansk postadresse, vil det næppe afsløre fup og fidus at validere adressen op mod CPR.

En anden forbedring i forhold til den nuværende valideringsproces kunne være at koble NemID på domæneregistreringen. Men som Lise Fuhr har påpeget i en tidligere mail til Version2, så er NemID forbeholdt danskere og vil derfor ikke kunne anvendes til at validere registranter fra udlandet, der også skal have adgang til at registrere domæner i Danmark.

It-konsulent og ejer af EIT Henrik Bjørner har på sin hjemmeside kortlagt et systematisk opkøb af domæner, der tidligere har været på danske hænder. Opkøbene finder hovedsagelig sted fra personer, der ser ud til at have tilknytning til Kina. Og i det lys mener Henrik Bjørner, at valideringen af registrantdata, der i dag foregår ved at sende et fysisk brev, er for dårlig.

»I dag behøver du ikke andet end en mailadresse for at oprette, det, synes jeg, er alt for lidt,« siger han og fortsætter:

»Hvis man opretter det i et eller andet tilfældigt personnavn, så får det jo bare lov at køre videre, hvis ikke personen, der får brevet, reagerer,« siger han.

Læs også: Kinesere på domæne-hugst i Danmark

Vigtig post om registrantvalidering forveksles med reklamer

I det tilfælde, Version2 har beskrevet med falske registrantoplysninger, tyder noget netop på, at personen, hvis postadresse ser ud til at være blevet misbrugt ved domæneregistreringen, ikke har reageret efter at have modtaget et brev fra DK Hostmaster på adressen.

At der ikke er blevet reageret på brevet, kan muligvis skyldes, at det er blevet forvekslet med reklamepost. I hvert fald fortæller Lise Fuhr, at netop den misforståelse sker fra tid til anden:

»Nogle gange sker det desværre, at når vi sender et brev til en dansker med vores logo på, så tror de, det er en reklame. Men vi har også eksempler på danskere, der har kontaktet os og sagt, at de altså ikke har oprettet et domænenavn. Og så sletter vi det med det samme.«

Det er ganske vist et fåtal af de domæner, der bliver ledige, som straks bliver genopkøbt, hvorefter der dukker en fup-webbutik op på URL’en.

Henrik Bjørners kortlægning viser dog, at det er særligt attraktive danske domæner, der bliver genopkøbt. Blandt andet dem, der har en høj pageranking, og dermed dukker højere op på listen i Googles søgeresultater. På den måde forsøger bagmændene at øge sandsynligheden for at lokke folk i fup-webbutikken.

Og derfor mener Henrik Bjørner også, at valideringen af, hvem der overtager domænerne, bør være bedre - den systematiske oprettelse af blandt andet fup-webbutikker taget i betragtning.

Læs også: Domænehugst kan koste dig din e-post

»Det er en lille procentdel. Men jeg mener, det tyder på en generel problematik i forhold til registreringsproceduren. Der er alt for lidt kontrol med det i dag,« siger Henrik Bjørner.

EU-regler forhindrer aktivering af domæner via fysisk brev

Lise Fuhr ved DK Hostmaster er da heller ikke afvisende over for, at valideringsproceduren engang i fremtiden kan blive ændret, så eksempelvis personer i udlandet først kan aktivere deres domæner, når de modtager et fysisk brev.

»Hvis vi oplever pludselig stigning i misbrug af domæner registreret fra udlandet, så vil vi evaluere på registreringsproceduren igen,« siger hun og tilføjer:

»Problemet i den forbindelse er, at der ikke må være handelshindringer i EU. En tysker må ikke have dårligere registreringsmuligheder end en dansker. Det vil være en handelshindring.«

Men vil der efter 1. marts 2015 være mere kontrol med danske registranter end med registranter fra udlandet?

»Ja, men vi vil også forsøge at validere virksomhedsoplysninger mod de registre, der er i EU, men det kører ikke godt nok endnu. Vi vil jo også gerne sikre os, at oplysningerne er korrekte.«

Hvorfor ikke bare nøjes med at sende et fysisk brev allerede nu i stedet for en mail - systemet bliver jo misbrugt?

»Fordi mange fuldstændigt reelle registranter fra hele verden på den måde vil opleve en service, der er markant ringere på grund af nogle få brodne kar. Det er jo en afvejning. Og vores indtryk er, at langt hovedparten er reelle registranter.«

Lise Fuhr fortæller, at DK Hostmaster får breve retur fra udlandet, hvor postadressen er ukendt. Og at domæneindehavere, der ikke reagerer på DK Hostmasters efterfølgende henvendelse, får deres domæner slettet. Lise Fuhr erkender også, at der i sagens natur kan gå noget tid, inden domænet bliver slettet, når postadressen ligger i udlandet.

»Men der er da et tidsmæssigt issue i det i forhold til, hvor hurtigt sådan et brev når frem til eksempelvis Kina.«

Ud over en eventuel ændring af valideringsprocessen engang i fremtiden nævner Lise Fuhr en karensperiode for domæner, der bliver aktivt slettet af den tidligere ejer. I dag går der tre måneder, fra en ejer lader være at betale sit domæne, til domænet bliver ledigt. Hvis ejeren opsiger det, bliver det ledigt med det samme og kan altså i princippet overtages af hvem som helst.

Og som Version2 tidligere har beskrevet, så er det ikke kun en eventuel fup-webbutik, der kan ende med at dukke op på domænet. Den nye ejer kan også begynde at modtage den e-mail, der var tiltænkt den tidligere ejer. Henrik Bjørner har også identificeret flere tilfælde af klonede hjemmesider. Det vil sige hjemmesider, der ligner den hjemmeside, der tidligere lå på domænet, men som i virkeligheden er en kopi, den nye ejer har skabt via Wayback-machine. En tjeneste, der netop gør det muligt at hente tidligere udgaver af hjemmesider.

Læs også: Liberal Alliance-domæne overtaget af kineser

Mangel på internationale registre til at validere domænekøbere

Partner og it-advokat ved Bird & Bird Martin von Haller Grønbæk er en af stifterne af DK Hostmaster, og han har desuden også en fortid som bestyrelsesmedlem hos Dansk Internet Forum, der står bag DK Hostmaster. Og han fortæller, at problemstillingen omkring validering af registrantinfo bestemt ikke er ny i DK Hostmaster-regi.

»Det har løbende været oppe at vende hos DK Hostmaster. At sikre en balance mellem validering af domænedata på den ene side og på den anden side ikke gøre det for besværligt at oprette et domæne i Danmark,« siger han.

Martin von Haller Grønbæk mener, løsningen med CPR- og CVR-validering fra 1. marts er et skridt i den rigtige retning i den forbindelse, også selvom det kun kan anvendes i forhold til danskere.

»Der har hele tiden været en udfordring i forhold til internationale registranter, fordi der ikke er gode centrale registre at validere op imod.«

I den forbindelse mener Martin von Haller Grønbæk, at det er vigtigt, at domæne-registreringsprocessen forbliver forholdsvist ukompliceret, også selvom der i nogen grad sker misbrug i dag.

»Der er en tendens til, at bare fordi tingene foregår online, så er det nogle helt andre høje standarder, man forsøger at lægge ind over. Men det er da klart, at hvis der er en let løsning i forhold til at validere kontaktoplysninger, så skal man da selvfølgelig gøre det.«

Når det er sagt, så mener Martin von Haller Grønbæk, det er væsentligt løbende at vurdere udviklingen på domæner, hvor der eksempelvis optræder falske webshops.

»Det kan godt være, det ville være en god idé at kaste en bold op i luften og se, hvad der er af muligheder.«

Den bold griber Henrik Bjørner gerne. Han har i hvert fald et umiddelbart bud på en forbedring af den nuværende registreringsproces. Det går ud på, at når en bruger første gang optræder i DK Hostmasters administrationssystem, så sker valideringen via et fysisk brev og ikke via mail.

»Jeg mener, at første gang man opretter et domæne med et nyt handle, må man sende et fysisk brev med en aktiveringskode,« siger Henrik Bjørner.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (18)

Christian Schmidt

Problemet i den forbindelse er, at der ikke må være handelshindringer i EU. En tysker må ikke have dårligere registreringsmuligheder end en dansker.

Lige akkurat Tyskland kræver faktisk, at man har adresse i landet (eller betaler en repræsentant for at have det) for at kunne registrere et .de-domæne, så der gælder omvendt, at en dansker har dårligere registreringsmuligheder end en tysker.

Jeg har undret mig over, om det ikke skulle være i strid med EU-regler, og det er det åbenbart også (iflg. DK-Hostmaster i hvert fald).

Allan Astrup Jensen

Endelsen .dk burde betyde at hjemmesiden mv. administreres fra DK, så den tyske regel er korrekt, og det er ikke en handelshindring. Domæner med .de er vel ligeså gode; ellers er der internationale: .eu eller .nu eller .com folk kan bruge.
Hvis landedomænerne bliver udvandet er de overflødige, så DK hostmaster graver deres egen grav, hvis de ikke håndhæver det.

Christoffer El

Tror ikke det vil gøre nogen mærkbar forskel, desværre. Det lyder mere til at det er kineser, der registrer en masse gamle domæner, som bruges til falske webshops og lign.

Ulrik Suhr

Nej DK-hostmaster skal styre DK og ikke udenlandske interesser ellers var denne service nok på andre hænder.

Problemet er vel simpelt nok.
1. sælger får vare retur.
2. en anden køber tilbyder at købe varen (nogle gange med ulovligt formål).
3. sælger er glad fordi varen er solgt.

At de selv referere til den tyske model cementere konflikten.
Ja den burde være det samme. evt. med Dan-ID løsning.
At de åbenlyst forslår en model som er værre for danske borgere end udenlandske er for mig en gåde (vil de virkelig ikke deres kundebase det godt?).

Christian Schmidt

Domæner med .de er vel ligeså gode

Tja, hvis jeg var et tysk firma, der skulle lancere en dansksproget webshop, der sælger gummistøvler, vil jeg langt foretrække domænet gummistøvler.dk frem for gummistøvler.de, gummistøvler.eu osv. Et .dk-domæne er nu engang nemmere at markedsføre over for danskere end alle mulige andre ("hvad var det nu, de sagde i tv-reklamen ... gummistøvler dot hvaffornoget?").

Allan Astrup Jensen

Ja, hvorfor så ikke give mig lov til at registrere min bil i Tyskland og udstyre min bil med DE-nummerplader, så ville jeg også spare en masse afgifter. Det går naturligvis ikke.
DK er en landeidentifikation, som udover biler både bruges til post nr. og bankoverførsler mv. Det er Dannebrog på skrift. Så kun personer med et dansk person nr. eller virksomheder med dansk CVR nr. bør kunne købe domænet .DK.

Christian Schmidt

Det er Dannebrog på skrift. Så kun personer med et dansk person nr. eller virksomheder med dansk CVR nr. bør kunne købe domænet .DK.

Det kan man mene forskelligt om, men sådan er reglerne for .dk og de fleste andre landedomæner i hvert fald ikke i dag.

Men det kunne være interessant at få afklaret, om en sådan restriktion vitterligt er en ulovlig handelshindring i henhold til gældende EU-ret, sådan som DK-Hostmaster påstår i artiklen, men som .de-administratoren tilsyneladende ikke mener, at det er. Det er jo afgørende for, om restriktionen evt. vil kunne indføres for .dk.

Henrik Biering Blogger

Det er lige let/svært at skaffe et muldyr i et tredjeland til at indtaste noget fra et brev som til at indtaste noget fra en SMS/telefon.. Og man slipper for ventetiden.

Det kunne være et default-krav for registrering af domæner at brugerens IP-adresse, oplyste postadresse, telefonnummer og betalingsmiddel (kort/bank) alle pegede på samme land.

Det tyske krav om at man skal have en repræsentant i landet, er ikke nogen praktisk hindring for at kinesere kan oprette f.eks. tyske domæner. Der er flere registrarer, der gratis og helt fuldautomatisk stiller en sådan "repræsentant-service" til rådighed, f.eks. Gandi og Ovh.

At hver enkelt lands domæneansvarlige (som her DK-hostmaster) skal kunne validere personer og firmaer fra diverse lande på højere niveau, vil blot føre til helt unødigt bureaukrati og besvær og væsentligt fordyre domænerne for alle.

Hvis man ud fra denne strategi vil udtage nationale domæner svarende til sit forretningsnavn i 25 lande skal jo man igennem 25 varianter af en sådan valideringsproces. Hvis man istedet strammede kravene til registrarerne (certificering af deres valideringsproces), kunne man nøjes med at gennemgå én validering overfor registraren, der så kunne benyttes til samtlige 25 nationale domæneregistreringer.

Allan Astrup Jensen

At hver enkelt lands domæneansvarlige (som her DK-hostmaster) skal kunne validere personer og firmaer fra diverse lande på højere niveau, vil blot føre til helt unødigt bureaukrati og besvær og væsentligt fordyre domænerne for alle.


Hvordan kan det koste mere eller være mere besværligt at levere et person nr. eller CVR nr. + adresse i landet?
Der er ingen ide i at have nationale domæner, hvis de ikke fastholdes nationale. Hvis de udvandes, så sælger gummistøvler.dk ikke bedre end gummistøvler.cn i DK. De fleste danske internationale firmaer benytter .com, fordi de ikke bare er danske.

Kjeld Flarup Christensen

Allerførst er det fair nok at udlændinge skal kunne registrere et domæne svarende til deres internationale varemærke i Danmark. Men det kunne man jo godt tage sig betalt for.

Så hvis en Kineser vil registrere et domæne, så stik dem et valideringsgebyr på 10.000 Kr. Der er ikke noget større problem i at gøre dette overfor lande udenfor EU. Der vil så nok opstår nogle firmaer som specialiserer sig i at registrere domæner globalt, for at omgå den cost og fint nok med det, så er det dem som skal validere og de mister alle deres domæner hvis de ikke gør det ordentligt.

Indenfor EU er det så mere tricky, men det bør være muligt at lave nogle regler som gør at registranten skal betale for valideringen, og her kan det forhåbentligt ikke være en handelshindring at Danmark har velfungerende registre.

Jesper Lund

Hvorfor er det så vigtigt at have præcise registreringer af hvem er "ejer" de danske domæner? Domæner er en forudbetalt ydelse. Hvis registranten ikke betaler, slettes domænet. Hvad der foregår på domænerne bør ikke have noget med domænesystemet at gøre.

Det er muligt at man kan stoppe enkelte fupbutikker med denne overvågning, men fupmagerne kan registrere andet end .dk domæner. Hvis danskerne lader sig narre af fupbutikker, lægger de måske heller ikke mærke til om det er et .dk domæne eller ej. Og internettet er et globalt space. Selv vores danske "digitale signatur" borger-betjenes fra et .nu domæne.

Hit-and-run fupbutikker kan operere fra hijackede .dk domæner. Der er mange muligheder.

Så hvad er egentlig formålet med at lave validerede registreringer af hvem der ejer de danske domæner?

Stramme identifikationskrav for at registrere domæner har betydelige ulemper for borgerne.

På det rent praktiske plan giver CPR/CVR nummer krav ingen mening for de mange frivillige foreninger som ikke har erhvervsmæssig aktivitet (de har ikke et CVR nummer). Inden vi får set os om skal man måske bruge NemID for som dansker at registrere et .dk domæne. Det vil være en katastrofe.

Stramme identifikationskrav har også betydning for vores grundlæggende rettigheder: retten til privatliv og især ytringsfrihed. Måske skal domænet bruges til at fremsætte ytringer, som staten eller store, magtfulde private virksomheder ikke bryder sig om. I visse situationer kan det tale for at ytringerne fremsættes anonymt, men det er ikke muligt på et .dk domæne, hvis der er stramme identifikationskrav. Skal Facebook være det eneste sted, hvor ytringer kan fremsættes anonymt?

Indtil videre kan man vælge noget andet end et .dk domæne, men hvis disse identifikationskrav breder sig til de øvrige TLDs, vil det have alvorlige konsekvenser for ytringsfriheden på internettet. Især globalt, men hvem ved hvordan Danmark ser ud om 15 år? Den danske overvågningsmani har udviklet sig ganske betydeligt siden 1999.

Lad os håbe at der kommer en kreativ .dk registrar, som tilbyder danske borgere dækadresser i udlandet, så det bliver frivilligt om vi vil deltage i dette nye tiltag fra det danske overvågningssamfund.

Jesper Lund
Næstformand, IT-Politisk Forening

Henrik Biering Blogger

Hvorfor er det så vigtigt at have præcise registreringer af hvem er "ejer" de danske domæner? Domæner er en forudbetalt ydelse. Hvis registranten ikke betaler, slettes domænet. Hvad der foregår på domænerne bør ikke have noget med domænesystemet at gøre.

På et generelt plan er jeg enig i at at købet af et (dk-)domæne svarer til at købe brevpapir (med dannebrogsflag som vandmærke), hvor man efter købet kan skrive hvad som helst på papiret.

Skal der imidlertid foregå handel eller lignende på domænet, skal købere have en mulighed for at autentificere sælger for at kunne vurdere om man vil have tillid til sælger - eller tillid til at sælger er underlagt et retssystem eller har et omdømme, der indirekte kan betinge tillid til sælger.

Her er der flere muligheder, bl.a.:

  1. Hver enkelt køber forestår selv denne proces
  2. Autentifikation forestås ifm domæneregistreringen
  3. Autentifikation sker via certifikat
  4. Tillid vurderes via en tillidstjeneste (f.eks. E-mærket eller Trustpilot)
  5. En kombination af 1-4

Ad 1) Dette ikke en reel praktisk løsning som enkeltstående proces.

Ad 2) For danske virksomheder er det pt. en væsentligt billigere løsning at man kan stole på DK-hostmasters registrantoplysninger end at købe et EV-certifikat. Og tror man på en fremtid for DNSSEC og DANE kan man selv med self-signed certifikater give sine kunder god sikkerhed for at de kommunikerer med den rette virksomhed.

Ad 3) Fordelen ved denne løsning svarer til at lade registraren foretage autentifikation af registranten, da én autentifikation kan dække samtlige registrantens domæner. Ulempen er at der er blandede meninger om både sikkerhedsmodellen og forretningsmodellen (fordyrende?).

Ad 4) De fleste "tillids"-tjenester, der eksisterer idag, betales af sælgerne, hvilket naturligt skaber en bias, så tjenesterne i realiteten udvikler sig på linje med alle andre markedsføringskanaler. Så vurderingen af en virksomhed afhænger mere af hvilken tillidstjeneste, der benyttes end af virksomhedens reelle troværdighed og kvalitet.

Det ville være nyttigt med en principiel debat om hvilken vej vi i Danmark bør gå for at højne den effektive forbrugersikkerhed. Den nuværende blanding af 1-4 tjener i høj grad til at forvirre forbrugerne og derved reducere sikkerheden omkring transaktioner via internettet.

Vil man fremsætte helt anonyme holdninger, kan det være en dårlig idé i det hele taget at købe et selvstændigt domæne. Her vil det være mere effektivt at fordele sine indlæg bredt på diverse gratis tjenester og/eller via proxy'er. Men for de, der ønsker det, er der jo lavet tld'er netop til dette formål, f.eks. ".me", som bedre end ".dk" signalerer at her udtrykkes private holdninger og ikke erhverv. Man kunne endvidere foreslå DK-hostmaster eller en anden organisation at lancere ???.dk som en domæneklasse til rent private formål og med et minimum af legitimationskrav (evt. DK-tilhørsforhold?).

Kjeld Flarup Christensen

Man kan da godt ytre sig anonymt på et .dk domæne. Under registreringen kan du vælge ikke at offentliggøre din identitet og så er du anonym.

OK politiet kan givet få fat i din identitet, men hvordan vil du egentligt holde din identitet hemmelig for politiet når du er nødt til at koble dit domæne op på en IP.

Log ind eller opret en konto for at skrive kommentarer

Partnernyheder

Welcome to a seminar on tools that help you become GDPR compliant!

Getting GDPR compliant by May 2018 implies a lot of activities covering the legal aspects, internal business processes, data management, and security technology.
28. feb 2017

Maja Rosendahl Larsen ansat hos Affecto

24. jan 2017

Introduction to Jedox – Affecto Seminar, Copenhagen

12. jan 2017