21. Dezember 2020 Dan Swinhoe* und Julia Krokoszinski

Was ist Typosquatting und wie kann man es verhindern?

Typosquatting ist eine Art Social-Engineering-Angriff, bei dem absichtlich falsch geschriebene Domains für eine Vielzahl von bösartigen Zwecken verwendet werden. [...]

Typosquatting ist nicht neu, und die robuste digitale Wirtschaft hat dazu geführt, dass das Interesse an dieser Art von Angriffen selten nachlässt (c) pixabay.com

Eine Typosquatting-Attacke, auch bekannt als URL-Hijacking, Sting-Site oder Fake-URL, ist eine Art von Social Engineering, bei der sich Bedrohungsakteure für böswillige Zwecke wie Betrug oder Malware-Verbreitung als legitime Domains ausgeben. Sie registrieren Domain-Namen, die legitimen Domains von gezielten, vertrauenswürdigen Unternehmen ähneln, in der Hoffnung, den Opfern vorzugaukeln, dass sie mit dem echten Unternehmen zu tun haben.

Wie Typosquatting funktioniert

Bedrohungsakteure können sich als Domains ausgeben:

  • Eine gängige falsche Schreibweise der Zieldomain (z. B. CSOnline.com statt CSOOnline.com)
  • Eine andere Top-Level-Domain (Verwendung von .uk statt .co.uk)
  • Die Kombination von verwandten Wörtern in der Domain (CSOOnline-Cybersecurity.com)
  • Das Hinzufügen von Punkten in der URL (CSO.Online.com)
  • Die Verwendung ähnlich aussehender Buchstaben, um die falsche Domain zu verschleiern (ÇSÓOnliné.com)

„Können Sie den Unterschied zwischen goggle.com und google.com erkennen?“, fragt Russell Haworth, CEO von Nominet, das als Registrierungsstelle für die .uk-Domain fungiert. „Im Wesentlichen ist Typosquatting eine Lookalike-Domain mit einem oder zwei falschen oder anderen Zeichen mit dem Ziel, Leute auf die falsche Webseite zu locken.“

Die Registrierung einer Domain ist schnell und einfach möglich, und Angreifer können mehrere Varianten der legitimen Zieldomain gleichzeitig registrieren. Typosquatted-Domains können als Gesamtheit eines Angriffs oder als kleiner Teil einer größeren Kampagne für diese Zwecke verwendet werden:

  • Erpressung: Verkauf der Typo-Domain zurück an den Markeninhaber.
  • Anzeigenbetrug: Monetarisierung der Domain mit Anzeigen von Besuchern über die falsche Schreibweise, Umleitung von Nutzern zu Konkurrenten oder Umleitung des Traffics zurück zur Marke selbst über einen Affiliate-Link und Verdienen von Provisionen für jeden Klick.
  • Informationsdiebstahl: Abfangen von Anmeldedaten und sensiblen Informationen über Phishing-E-Mails oder kopierte Anmeldeseiten von Websites, oder Abfangen von falsch adressierten E-Mails.
  • Verbreitung von Malware: Installation von Malware oder das Angebot von Downloads bösartiger Software.
  • Aktivismus: Den Besitzer der Ziel-Domain in ein negatives Licht rücken, eine Anwendung des Typosquatting, die besonders häufig bei politischen Domains vorkommt.

„Die Motivation ist am Ende fast immer finanziell“, sagt Tim Helming, Security Evangelist bei DomainTools, „aber auch geopolitische Motive sind nicht von der Hand zu weisen. Das Endspiel ist in der Regel der Diebstahl von Geld, geistigem Eigentum oder anderen wertvollen Daten, die verkauft oder als Lösegeld erpresst werden können. In einigen Fällen können typosquatted Domains in verschiedenen Phasen von Angriffskampagnen verwendet werden, um geopolitische Ziele zu erreichen, wie z. B. das Eindringen in Netzwerke oder die Exfiltration von Daten.“

Social-Engineering-Angriffe erkennen und verhindern

Wie verbreitet ist Typosquatting?

Typosquatting ist nicht neu, und die robuste digitale Wirtschaft hat dazu geführt, dass das Interesse an dieser Art von Angriffen selten nachlässt. Helming zufolge sieht sein Unternehmen jeden Tag Hunderte von Domain-Squatting-Versuchen. „In den letzten 24 Stunden habe ich 11 Domains beobachtet, die iCloud spooften, und mehrere von ihnen enthielten den Begriff „Support“, was stark auf Credential Harvesting hindeutet“, berichtet er. „Die iCloud ist nur ein einziger Begriff. Multiplizieren Sie dies mit den Hunderten oder Tausenden von bekannten Firmennamen, die es gibt, und Sie können sehen, wie umfangreich diese Aktivität ist. Da es Firmen jeder Größe betreffen kann, hat man es dann wirklich mit Hunderttausenden von potenziellen Mimikry-Opfern zu tun.“

2020 gab es viele Domain-Spoofing-Versuche im Zusammenhang mit der COVID-19-Pandemie. DomainTools berichtet, dass seit Dezember 2019 mehr als 150.000 neue, hochriskante COVID-19-Themen-Domains registriert wurden. „Der wertvollste Platz im Internet ist .com, was bedeutet, dass es auch der wertvollste Platz ist, um Typosquatting zu betreiben“, sagt Haworth von Nominet. „Die attraktivsten Domains, auf die es Typosquatter abgesehen haben, sind Finanzinstitute oder Organisationen, die Medikamente verkaufen. Schnelllebige Konsumgüter im Einzelhandel sind ebenfalls ein beliebtes Ziel, so dass man besonders vorsichtig sein sollte, wenn man sich auf solchen Seiten einloggt oder E-Mails mit Links zu ihnen erhält.“

Ebenso war die diesjährige US-Präsidentschaftswahl ein reifes Ziel für Squatting. In einem Bericht fand Digital Shadows mehr als 500 besetzte Domains mit Bezug zu den Präsidentschaftskandidaten. Die Tatsache, dass 66 davon auf der gleichen IP-Adresse gehostet und möglicherweise von der gleichen Person betrieben wurden, zeigt, wie einfach es ist, solche Angriffe zu starten. Sechs Domains in dem Bericht leiteten zu Google Chrome-Erweiterungen für „File Converter“ oder „Secure Browsing“ weiter, die, wenn sie heruntergeladen und installiert werden, dazu verwendet werden können, die Privatsphäre von Wählern zu verletzen und potenziell Malware einzusetzen.

Helming berichtet, dass sich die Praxis des Squattens von Domains in den letzten Jahren nur wenig verändert hat. Die Umstellung auf HTTPS hat den Akteuren, die typosquatted Domains betreiben, einen gewissen Arbeitsaufwand beschert, aber durch Selbstbedienungszertifikate bedeutet dies keinen großen Aufwand. Die Einführung von generischen Top-Level-Domains bietet einen größeren Namensspielraum für das Squatting, obwohl sie für viele Benutzer ungewöhnlich aussehen und die Erfolgswahrscheinlichkeit verringern können.

Tipps für sichere Passwörter

Wie man Typosquatting-Angriffe stoppt

Typosquatting kann schwierig zu bekämpfen sein, da man sich darauf verlässt, dass die Menschen fehlerhafte Domains erkennen. CISOs sollten sicherstellen, dass die Mitarbeiter für das Thema Typosquatting sensibilisiert und geschult sind und lernen, worauf sie achten müssen und wie wichtige Domains – sowohl ihre eigenen als auch die von Unternehmen in der Lieferkette – gefälscht werden könnten und warum.

Domain-Registrierungsstellen und Registratoren haben keine „Leitplanken“, um böswillige Registrierungen von Lookalike- oder Typo-Domains zu verhindern, daher ist die Registrierung einfach und kostengünstig, so Hemling. „Es können Namen registriert werden, die optisch kaum von legitimen Namen zu unterscheiden sind – selbst wenn man sehr genau hinschaut.“

Einige Anbieter bieten Dienste an, um potenziell gefälschte Domains zu finden. Die World Intellectual Property Organization (WIPO) hat eine Uniform Domain-Name Dispute-Resolution Policy (UDRP), die es Markeninhabern erlaubt, gegen Typosquatter zu klagen und die Domain zurückzufordern. Helming erklärt, dass die UDRP nicht an die Akteure herankommt, die die Domains registriert haben, sondern es den Domain-Registratoren ermöglicht, die Kontrolle über die illegalen Domains zu übernehmen.

Um gefälschte Domains zu Fall zu bringen, sind oft rechtliche Schritte und Strafverfolgung erforderlich. Im Jahr 2018 erwirkte Microsoft eine gerichtliche Verfügung, um Domains abzuschalten, von denen man annahm, dass sie von der mit Russland verbundenen Gruppe Fancy Bear (auch bekannt als APT28) betrieben werden und dazu dienen, sich als politische Gruppen auszugeben. In diesem Jahr hat das US-Justizministerium nach eigenen Angaben Hunderte von pandemiebezogenen Betrugsdomains geschlossen.

„Die Kriminellen werden effektiv nie auf rechtliche Maßnahmen reagieren“, sagt Helming. „Die Zurechnung kann sehr schwierig sein, und diese Akteure wissen, wie sie ihre Spuren verwischen können. Manchmal sind rechtliche Schritte (oder deren Androhung) gegen die Infrastrukturunternehmen, die die schändlichen Domains hosten, effektiver.“

Unternehmen können auch darauf achten, ähnliche Domains wie ihre eigenen zu registrieren, um präventiv Squatting-Attacken zu verhindern und Nutzer auf die richtige URL umzuleiten. „Dies wird typischerweise als defensive Registrierung bezeichnet und ist eine legitime Form des Typosquatting“, erklärt Haworth. „Microsoft besitzt zum Beispiel mehr als ein Dutzend Domains mit Variationen seines Markennamens, um solche Angriffe zu verhindern.“

Typosquatting von Open-Source-Bibliotheken

Eine neuere Art des Typosquatting besteht darin, Software-Lieferketten in Open-Source-Bibliotheken auszunutzen. Angreifer erstellen bösartige Pakete, die denen von legitimen Paketen sehr ähnlich sind, und laden sie dann hoch, zum Beispiel in das NPM-Download-Repository. „Typosquatting ist eine eher seltene Situation, aber die Auswirkungen können groß sein, was die Erstellung bösartiger Open-Source-Komponenten zu einem praktikablen Angriffsmuster macht“, sagt Tim Mackey, Principal Security Strategist am Synopsys Cybersecurity Research Centre.

Wenn es zum Beispiel eine Open-Source-Komponente namens „set-env“ gibt, die dazu dient, die Betriebsumgebung für eine Anwendung einzustellen, die für ein bestimmtes Framework gebaut wurde, könnte ein böswilliges Team einen Klon dieses Projekts namens „setenv“ erstellen, der seinen bösartigen Code enthält. „Der Angreifer zielt auf die mangelnde Vertrautheit eines Teams mit einem Entwicklungs-Framework ab und erstellt eine Komponente, die oberflächlich betrachtet ein gültiges Problem löst“, sagt Mackey. „Dann betten sie einen bösartigen Aspekt in den Code ein und werben sowohl für die Existenz ihrer Komponente als auch dafür, dass Entwickler ihre Komponente entdecken.“

Wenn die beiden Projekte ansonsten identisch aussehen, wäre es für jemanden leicht, sie zu verwechseln, und der Angriff zielt effektiv auf eine Software-Fehlkonfiguration ab. Es ist schwierig zu erkennen, wann eine beschädigte Komponente verwendet wird, zumal die Angreifer die bösartige Komponente in den gängigen Paketverwaltungs-Repositories veröffentlichen könnten.

„Angreifer recherchieren die am häufigsten verwendeten Softwarepakete“, erklärt Ax Sharma, Senior Security Researcher bei Sonatype. „Sie basteln dann bösartige Apps und veröffentlichen sie in einem Open-Source-Software-Repository unter einem Namen, der mit dem eines beliebten Pakets identisch ist. Geschickte Angreifer können zusätzliche Ausweichtaktiken anwenden, wie z. B. die Verschleierung ihres bösartigen Codes, das Verstecken in verkleinerten JS-Dateien und sogar das Heranziehen des legitimen Pakets, dessen Namen sie typosquatten, als Voraussetzung dafür, dass ihre bösartige Nachahmer-App unentdeckt bleibt.“

Die 11 häufigsten Irrtümer über E-Mail-Verschlüsselung

Ein aktuelles Beispiel war eine Reihe von bösartigen JavaScript-Paketen, die auf das NPM-Portal hochgeladen wurden und Shells auf den Computern von Entwicklern öffneten, die die Pakete in ihre Projekte importierten. Mackey erklärt, dass der plutov-slack-client vorgab, eine JavaScript-Slack-Schnittstelle für Node.js-Anwendungen bereitzustellen, in Wirklichkeit aber eine externe Verbindung öffnete, die einem Angreifer den Zugriff auf den Server, auf dem die Anwendung läuft, ermöglichen könnte. „Obwohl der plutov-slack-client nur einige Wochen lang verfügbar war, wurde er hunderte Male heruntergeladen, was bedeutet, dass die Angreifer potenziell Zugriff auf die Daten von hunderten von Opfern hatten.“

Obwohl die Absicht variieren kann, erklärt Mackey, dass Bedrohungsakteure diese Art von Angriffen nutzen könnten, um beispielsweise Code zum Abschöpfen von Kreditkarten auszuführen, Spam zu versenden oder Phishing-Kampagnen zu starten. Im September wurden bösartige Pakete entdeckt, die Benutzerdaten auf eine GitHub-Seite hochluden, und NPM hat in den letzten Monaten eine Reihe von Hinweisen zu bösartigen Paketen veröffentlicht, darunter ein Discord-Paket, das einen Trojaner enthielt, der Daten sammelte. Ein weiteres Beispiel im letzten Jahr waren über 700 typosquatting RubyGems, die Namen verwendeten, die denen von häufig verwendeten Gems ähnelten.

Sharma von Sonatype warnt, dass erfolgreiche Angriffe zu einem verseuchten Open-Source-Ökosystem führen können, das erheblichen Schaden anrichten kann. Ein erfolgreicher Angriff könnte die Malware eines Bedrohungsakteurs kaskadenartig an viele Opfer weitergeben, sagt er, „da die Auswirkungen weit über die Entwickler hinausgehen, die das Typosquatting-Paket in ihre Builds herunterladen. Jeder Kunde, der dann die Pakete des Entwicklers installiert, die das typosquatted Copycat einkapseln, ist nun ebenfalls betroffen.“

Die Verteidigung gegen solche Angriffe kann schwierig sein, besonders für Open-Source-Projekte, die von kleinen Teams oder Einzelentwicklern betrieben werden, denen die Ressourcen fehlen, um potenziell problematische Domains zu verfolgen oder gegen sie vorzugehen. „Da die meiste Open-Source-Software von unabhängigen Entwicklern erstellt wird, die versuchen, technische Probleme zu lösen“, sagt Mackey, „haben sie typischerweise weder die Fähigkeiten noch die Zeit, die Marke zu verwalten, die ihr Projekt schafft, bis es ausreichend populär wird, um die Aufnahme in eine große Stiftung zu rechtfertigen.“

„Während die Open-Source-Community und die Betreuer von Paketverwaltungs-Repositories Maßnahmen ergreifen, wenn sie von bösartigen Komponenten erfahren“, sagt Mackey, „verlassen sich Angreifer auf das Zeitfenster, das zwischen dem Beginn ihres Angriffs und dem Bekanntwerden der bösartigen Komponente entsteht, um ihren Profit zu maximieren.“

Mackey rät Unternehmen, ein umfassendes Inventar darüber zu führen, welche Komponenten von der gesamten Software in einem Unternehmen verwendet werden, anhand dessen Audits durchgeführt werden können, um sicherzustellen, dass nur zugelassene Komponenten eingesetzt werden. Diese Inventarisierung und Prüfung sollte stattfinden, um alle neuen Komponenten zu validieren, die eingeführt werden.

*Dan Swinhoe ist UK-Redakteur bei CSO Online.


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

21. November 2024 pi/kdl

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

21. November 2024 Andrea Wörrlein *

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

21. November 2024

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

21. November 2024 Wolfgang Franz

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*