Für seinen neuen Report "Impersonating Domains - Behind the Mask of Website Impersonations" hat Cyber Threat Intelligence-Anbieter Digital Shadows das Ausmass von Domain Spoofing unter die Lupe genommen.
Die Analysten untersuchten registrierte Domainnamen, die den Namen oder die Marke von bekannten Unternehmen nachahmen und so für Phishing-Zwecke missbraucht werden können. Das Ergebnis: Allein von März bis Juni 2021 wurden pro Unternehmen rund 360 Fake-Domains neu registriert. Aufs Jahr gerechnet sehen sich Unternehmen damit durchschnittlich mit 1100 Nachahmer-Domains konfrontiert, die ein potenzielles Risiko für Kunden, Mitarbeiter sowie die Brand Protection darstellen. Ein Grund für die wachsende Anzahl an Fake-Domains ist unter anderem die hohe Verfügbarkeit von kommerziellen Phishing-Kits auf kriminellen Marktplätzen im Darknet. Basis-Pakete sind bereits ab 50 US-Dollar erhältlich. Cyberkriminelle können einen Marken- oder Unternehmensnamen ins Visier nehmen, die Domain oder Subdomain auswählen und ihre betrügerische Website online stellen.
So einfach wie noch nie
Die Vergabe von einmaligen Namen und Adressen im Internet unterliegt keinen strengen Kontrollen. Nach Icann (Internet Corporation for Assigned Names and Numbers) stehen aktuell rund 1500 Top Level Domains (TLDs) frei zum Verkauf. Dazu gehören Domains wie .com, .org und .gov, aber auch Hunderte von weniger gebräuchlichen Endungen wie .pizza, .loans oder .health sowie länderspezifische Top-Level-Domains (.de). „Domain-Spoofing ist heute so einfach wie noch nie”, erklärt Stefano De Blasi, Threat Researcher bei Digital Shadows. „Dank Phishing Kits, vorgefertigter Templates und ausführlicher Tutorials sind die Einstiegsbarrieren extrem niedrig. Das System zur Registrierung von Domänennamen ist für jedermann zugänglich und damit anfällig für Missbrauch. Wer hier eine URL neu registriert, muss kaum kritische Fragen befürchten. Für Unternehmen, deren Markenname imitiert wird, ist die Situation schwierig: Nicht jede Permutation und Schreibweise eines Namens kann präventiv aufgekauft werden. Zudem zeigen unsere Untersuchung, dass nur sehr wenige mutmasslich gefälschte Domains überhaupt im Threat-Feed von Sicherheitsteams auftauchen.“
Finanzsektor am stärksten betroffen
Insgesamt meldete das Photon Research Team von Digital Shadows über 175'000 Domain-Imitationen in den letzten vier Monaten (März-Juni 2021). Mit einem Anteil von 20 Prozent sind Finanzdienstleister und Banken am stärksten von Domain Spoofing betroffen. Die Nahrungsmittelindustrie folgt mit 12Prozent. Technologie-Unternehmen (11 Prozent), Versicherungen (6 Prozent) sowie das Gesundheitswesen (4 Prozent) gehören ebenfalls zu den Top 5 Branchen. Insbesondere im Finanzsektor scheinen die Fake-Domains auf Betrug und kriminelle Zwecke ausgerichtet zu sein. 87 Prozent der analysierten Domains besassen einen DNS-Eintrag, was sie legitim wirken lässt. Der Hälfte der Domains waren MX-Einträge zugewiesen, wodurch sie zum Senden und Empfangen von Phishing-E-Mails fähig sind. Etwa 66 Prozent Fake-Webseiten hosteten zudem Inhalte, einschliesslich Logos und Bildern, die bekannte Marken imitierten. Hoch im Kurs steht auch die Lebensmittelbranche. Mit durchschnittlich 900 Registrierungen verzeichnete dieser Sektor die grösste Anzahl an Fake-Domains pro Unternehmen. Die Wahrscheinlichkeit, dass eine Domain mit einer kompletten Webseite verknüpft ist, lag bei 77 Prozent. Um das Sicherheitsrisiko von Domain-Spoofing proaktiv zu minimieren, sollten Unternehmen grundlegenden Best Practices folgen:
- Domain Monitoring: Monitoring-Tools informieren Sicherheitsteams über neu registrierte Domainnamen, die dem Marken- oder Unternehmensnamen ähneln. Augenscheinliche Schreibweisen bzw. Permutationen einer Domain sollten präventiv registriert werden.
- Cyber Threat Intelligence: Der Austausch zwischen Unternehmen und Sicherheitsteam kann die Sicherheitslage insgesamt verbessern. Um eine schnelle und klare Kommunikation zu gewährleisten, sind gemeinsame Frameworks (z. B. Mitre Att&Ck) notwendig.
- Sicherheitsbewusstsein schärfen: Wer Mitarbeiter schult, falsche Webseiten und E-Mails zu erkennen, kann Risiken frühzeitig entschärfen. Klar definierte Reporting-Strukturen helfen im Ernstfall die Sicherheitsteams im Unternehmen schnell und einfach zu informieren.
- Takedown-Verfahren: Handelt es sich um eine Top-Level-Domain (TLD) wie .com oder .org, sollten Unternehmen zunächst einen Bericht an den Registrar oder Hosting-Provider senden sowie die zuständigen Behörden des Landes informieren (z. B. Europol).