Bösartige Domänen sind Domänen, die echt erscheinen, aber von Angreifern getarnt werden, um ahnungslosen Opfern persönliche Informationen und sensible Daten zu stehlen. Diese Art von Kriminalität nutzt typischerweise „Typosquatting“-Techniken, die auf der Überwachung des Benutzers beruhen. Die Domänen sehen fast identisch mit der Realität aus, verwenden jedoch geringfügige und geänderte Schreibweisen in der URL, um zu verhindern, dass ihr betrügerischer Charakter erkannt wird. Einmal gestohlen, können die Daten online für verschiedene böswillige Aktivitäten verkauft werden, sie sind jedoch besonders nützlich für zukünftige Phishing-Versuche und andere betrügerische Aktivitäten. TechRadar Pro hat sich mit David Sygula, Senior Cyber Security Analyst bei CyberAngel, getroffen, um zu besprechen, warum es Zeit für eine koordiniertere Reaktion von Domain-Registraren, ISPs, Sicherheitsanbietern und Unternehmen ist, um diese Bereiche schnell und effektiv zu beseitigen. effizient.
Wie sieht eine bösartige Domain aus und wie werden Opfer getäuscht?
Das Erscheinungsbild einer bösartigen Domäne hängt vollständig von den Fähigkeiten des Bedrohungsakteurs ab, kann jedoch von einer sehr schlechten Nachbildung bis hin zu einer so perfekten Kopie reichen, dass der Unterschied kaum zu erkennen ist. Zu den häufigsten Fehlern gehört Cybersquatting, wenn jemand in böser Absicht einen Domainnamen registriert, nutzt oder verkauft, mit der Absicht, von der Marke eines anderen zu profitieren. Diese Lookalike-Domains sollen das menschliche Auge täuschen, indem sie beispielsweise einen Buchstaben ersetzen, der möglicherweise unbemerkt bleibt, sodass aus „Bankverbindung“ „Bankverbindung“ werden könnte. Bedrohungsakteure können auch Zeichen mit ähnlicher Wirkung entfernen oder hinzufügen, „Bankverbindung“, oder zwei Buchstaben ersetzen, die ähnlich aussehen, „Bankfalle“. Opfer werden oft getäuscht, weil sie nicht auf den Domainnamen achten, den sie vor sich haben, sei es eine Website, die sie besuchen, oder eine E-Mail, die sie erhalten. Im besten Fall sehen wir die Domäne, verarbeiten einige Buchstaben, aus denen sie besteht, und nehmen sie als Wahrheit an. Angesichts der Anzahl der E-Mails, die ein durchschnittlicher Arbeitnehmer an einem Tag erhält, oder der besuchten Websites an einem Tag ist es leicht zu verstehen, warum es zu solchen Versäumnissen kommt. Es reicht nicht mehr aus, nur auf den angeklickten Link zu schauen. Dank der jüngsten Fortschritte bei Webbrowsern können dank der Einbindung der Punycode-Zeichenkodierung jetzt neue Zeichen in Domainnamen verwendet werden. Daher ist ein Kleinbuchstabe „a“ nicht vom kyrillischen Zeichen für „a“ zu unterscheiden. Benutzer sollten die URLs in der Navigationsleiste ihres Browsers überprüfen, um besser zu verstehen, ob die Websites verdächtig sind. Neben Lookalike-Domains beobachten wir auch eine Zunahme bösartiger Subdomains. Bedrohungsakteure registrieren zunächst „myportal“, erstellen dann Subdomains und landen schließlich auf attraktiven Phishing-Websites. Kriminelle können sogar den vollständigen Namen der Marke eingeben. Diese Technik ist sehr effektiv, da sie dazu neigt, gängige Sicherheitslösungen zu umgehen.
Welche Trends sehen Sie bei der Verwendung bösartiger Domains? Warum sind sie in diesem Anstieg?
Es war noch nie einfacher, sich als Unternehmen auszugeben. Jeder mit bösen Absichten kann innerhalb von Minuten eine Kopie einer Website erstellen oder eine Domain registrieren, um Kunden zu täuschen. Nach Angaben der Weltorganisation für geistiges Eigentum (WIPO) hat die COVID-19-Pandemie zu einem Anstieg der Cyberkriminalität, einschließlich Fällen von Cybersquatting, geführt. Es gibt eine Reihe von Arten krimineller Squatting-Techniken, die wir regelmäßig anwenden, nämlich Typosquatting, Identitätsdiebstahl, Name Hacking und Reverse Squatting. Alle diese Techniken zielen darauf ab, Benutzer auszunutzen, indem sie kleinere Details vernachlässigen, indem sie entweder Rechtschreibfehler ausnutzen oder sich durch einen Namensangriff hinter dem Namen einer bekannten Person verstecken. Früher wurden bösartige Domains fast ausschließlich für Phishing genutzt, doch im Laufe der Jahre haben wir eine Vielzahl von Betrügereien erlebt. Heutzutage werden bösartige Domänen häufig für E-Mail-Betrug verwendet. Ein häufiges Beispiel ist, dass ein Mitarbeiter eine E-Mail von seinem Chef erhält, aber die umgekehrten Buchstaben im Domainnamen nicht erkennt, die darauf schließen lassen, dass es sich um eine Fälschung handelt. Wir haben auch Fälle, in denen Cyberkriminelle eine ähnliche Version der Website eines Unternehmens registrieren, Menschen anlocken und Inhalte schreiben, die dem Ruf des Unternehmens schaden.
Was sind die Auswirkungen, wie wirkt es sich auf die Menschen aus?
Betrügerische Domains schaden einem Unternehmen, indem sie Kunden täuschen, Vertrauen und Ruf schwächen und den Umsatz verringern. Viele Markeninhaber sind sich jedoch der irreführenden Domains, die für ihre Produkte und Dienstleistungen existieren, nicht bewusst. In den meisten Fällen besteht das ultimative Ziel von Bedrohungsakteuren darin, direkt oder durch den Diebstahl von Zugangsdaten Geld zu stehlen oder einem Unternehmen Geld zu verlieren, indem es sein Geschäft oder seinen Ruf schädigt oder Kunden anzieht. Es kann aber auch dazu genutzt werden, Informationen über ein Unternehmen zu stehlen, beispielsweise wenn ein Cyberkrimineller als Vermittler zwischen einem Unternehmen und seinem Anbieter fungiert. Beide Parteien wissen das nicht, aber möglicherweise kontaktieren sie einen Cyberkriminellen, der die E-Mail nur wörtlich weitergibt, aber keiner der Parteien ist sich dessen bewusst: Sie denken, dass es sich um eine direkte Korrespondenz handelt. Benutzer, sekundäre Opfer oder Ziele, sind von dieser Art von Betrug direkt betroffen.
Was kann getan werden, um das Problem böswilliger Domainregistrierungen zu minimieren?
Eine Lösung könnte darin bestehen, proaktiv ähnliche Domains zu erwerben, damit Unternehmen diese vor Cyberkriminellen reservieren können. Allerdings ist dies eine nie endende Aufgabe: Es gibt Unternehmen, die tausende Domains registriert haben, doch täglich werden neue gefälscht. Unternehmen müssen über eine Cybersicherheitslösung verfügen, die betrügerische Domainnamen verhindert und deren Erstellung automatisch erkennt, bevor sie böswillig verwendet wird, insbesondere wenn es um Subdomains geht. Mithilfe von maschinellem Lernen können sensible Datenlecks, einschließlich gehackter Domänen, identifiziert werden. Bösartige Computer können zwischen eine Person und einen Server geraten und deren Kommunikation abfangen, insbesondere wenn ein öffentliches Wi-Fi-Netzwerk verwendet wird. Um dies zu verhindern, sollten Benutzer eine sichere Verbindung verwenden, um sicherzustellen, dass der Server, mit dem sie kommunizieren, der Server ist, an den sie tatsächlich Daten senden möchten. HTTPS ist ein sicheres Kommunikationsprotokoll, das mithilfe asymmetrischer Verschlüsselungsschlüssel überprüft, ob Sie mit dem richtigen Server kommunizieren. Wie in den meisten Bereichen der Cybersicherheit ist der Mensch das schwächste Glied. Daher sollte der menschliche Faktor nicht außer Acht gelassen werden, denn genau darauf zielen diese Betrügereien ab. Unternehmen müssen in Schulungsprogramme investieren, um sicherzustellen, dass jeder die Risiken versteht und weiß, wie man diese böswilligen Fälschungen erkennt. Es reicht nicht aus, sich ausschließlich auf bereitgestellte Sicherheitslösungen zu verlassen, da Bedrohungsakteure von Tag zu Tag an Selbstvertrauen und Raffinesse gewinnen.