UT-student Müller studeerde afgelopen zomer af bij de Stichting Internet Domeinregistratie Nederland (SIDN), zijn huidige werkgever. Vrijdag mag hij in Haarlem de internetscriptieprijs – een geldbedrag van 2000 euro – in ontvangst nemen van de Koninklijke Hollandsche Maatschappij der Wetenschappen (KHMW).
Wat kan jouw tool wat eerder niet mogelijk was?
‘Ik heb een tool als het ware getraind om te herkennen wanneer nieuwe domeinnamen worden gebruikt voor phishing of het verspreiden van malware. Dat heb ik gedaan bij SIDN, de partij die in Nederland alle .nl-domeinnamen beheert. De tool kijkt als iemand een nieuwe domeinnaam registreert of die voor malafide doeleinden wordt gebruikt, iets wat je eerder niet goed kon voorspellen.’
Hoe zie je of iemand een domeinnaam registreert voor phishing?
‘Mijn tool kijkt naar een aantal eigenschappen. Bijvoorbeeld het aantal keer dat een webadres wordt opgevraagd, en ook het verschil met de dagen ervoor. Hoe meer queries hoe groter de kans dat het om een site voor phishing of malware gaat. Ook kijken we uit welke landen de aanvraag voor de domeinnaam komt. Een .nl-domeinnaam registreren uit vreemde landen is verdacht.’
Gebruiken jullie de tool bij SIDN nu volop?
‘Nog niet direct. We gebruiken vooral de ervaring die ik ermee heb opgedaan voor ons werk aan andere prototypes. Ik ben nu onder andere bezig met de verbetering van het instrument. Nadeel van de tool is dat hij maar voor een beperkte groep domeinnamen werkt: alleen de nieuwe aanvragen. Voor bestaande domeinnamen die gehackt worden, is de tool nog niet geschikt.’