Proofpoint identifiziert Millionen bislang unbekannter betrügerischer Domains

Proofpoint hat heute seinen Domain Fraud Report 2019 veröffentlicht. Darin widmet sich das Unternehmen den neuesten Trends im Bereich betrügerischer Domains sowie den Taktiken und Aktivitäten der in diesem Feld tätigen Cyberkriminellen. [...]

Für 96 Prozent aller Unternehmen ließen sich wortgleiche Fake-Domains ihrer markeneigenen Domain finden. (c) Joachim Roy - Fotolia
Für 96 Prozent aller Unternehmen ließen sich wortgleiche Fake-Domains ihrer markeneigenen Domain finden. (c) Joachim Roy - Fotolia

Im Untersuchungszeitraum stieg die Anzahl betrügerischer Domains um 11 Prozent. Schwerwiegender ist jedoch, dass für 96 Prozent aller Unternehmen FakeDomains bestehen und die Einführung neuer Top-Level-Domains (TLDs) die Möglichkeiten des Domain-Betrugs für Cyberkriminelle noch erweitert.

Die Anzahl betrügerischer Domains wuchs im vergangenen Jahr analog zu den Wachstumsraten aller insgesamt registrierten Domains weltweit. Zwischen dem ersten und vierten Quartal 2018 stieg die Anzahl an Registrierungen betrügerischer Domains um 11 Prozent an. Nahezu alle von Proofpoint identifizierten betrügerischen Domains blieben über den Beobachtungszeitraum hinweg aktiv – sie blieben also weiterhin registriert – und konnten daher für Angriffe genutzt werden, wobei mehr als 90 Prozent mit einem Live-Server in Verbindung standen. Von diesen betrügerischen Domains verfügten mehr als 15 Prozent über ein Mail Exchanger Record (MX Record), der darauf schließen lässt, dass über diese Domain E-Mails gesendet und/oder empfangen werden. Ein Viertel der betreffenden Domains wiesen darüber hinaus Sicherheitszertifikate auf, die viele Internetnutzer fälschlicherweise mit Legitimität und Sicherheit assoziieren. Damit verfügt ein höherer Anteil betrügerischer Domains über Sicherheitszertifikate verglichen mit der Gesamtheit aller registrierten Domains.

Betrügerische Domains nutzen häufig die gleichen TLDs, Domain-Registrare und Webserver wie legitime Domains, um Marken nachzuahmen und Nutzer in die Irre zu führen. Diese Faktoren sowie der hohe Anteil an Live-Webservern, viele davon mit gültigen SSL-Zertifikaten, steigern in der Wahrnehmung des Nutzers fälschlicherweise die Legitimität betrügerischer Domains. Außerdem erhöht sich so das Potenzial für eine Vielzahl von Angriffen, wie Überweisungsbetrug, Phishing, Verkauf von Produktfälschungen und weiteren Betrugsformen.

Die Untersuchung des US-amerikanischen Cybersecurity-Spezialisten basiert auf einer zwölfmonatigen Analyse von Proofpoints Active Domains Database, die Daten von über 350 Millionen Domains enthält. Sie umfasst somit praktisch alle im Web genutzten Domains, inklusive solcher, die mit kriminellen Absichten erstellt wurden.

Die wichtigsten Ergebnisse

  • Für mehr als 85 Prozent der führenden Einzelhandelsmarken fanden sich Domains, die Produktfälschungen anboten. Die Analyse ergab im Schnitt für jede Einzelhandelsmarke mehr als 200 solcher Domains. Darüber hinaus verfügen Domains, die gefälschte Waren verkaufen, deutlich häufiger über Sicherheitszertifikate als das bei anderen Formen von betrügerischen Domains der Fall ist. Auf diese Weise sollen die Domains für potenzielle Käufer legitim erscheinen.
  • Für 96 Prozent aller Unternehmen ließen sich wortgleiche Fake-Domains ihrer markeneigenen Domain finden, die unter einer anderen TLD (z.B. „.net“ statt „.com“) auftraten. Bei 76 Prozent fanden sich außerdem so genannte „Lookalike“-Domains, bei denen also der Markenname nur geringfügig abgeändert wird – beispielsweise wird ein O mit einer Null ersetzt. Dieser Domain-Betrug betraf die meisten Branchen und Regionen.
  • Betrügerische Domains werden für gezielte E-Mail-Attacken genutzt. Bei 94 Prozent der untersuchten Unternehmen konnte Proofpoint mindestens eine betrügerische Domain identifizieren, die sich als deren Marke ausgab und mittels derer E-Mails versandt wurden. Viele betrügerische Domains waren der Ausgangspunkt einer überschaubaren Menge an E-Mails. Dies weist typischerweise auf sehr zielgerichtete und auf den Menschen ausgerichtete Social-Engineering-Attacken hin. Angreifer, die sich als bekannte Einzelhandelsmarken ausgeben (insbesondere solche mit komplexen Lieferketten), versendeten hingegen in viel größerem Umfang E-Mails – was auf breiter angelegte Angriffe auf Kunden und Partner der entsprechenden Marken hindeutet.
  • Die Einführung neuer TLDs erweitert die Möglichkeiten für Cyberkriminelle. Im Zuge der Einführung neuer TLDs wie .app, .icu und vielen weiteren im Jahr 2018, wuchs auch die Auswahl an Registrierungsmöglichkeiten für betrügerische Domains. Proofpoint fand heraus, dass Angreifer sich diese neuen TLDs zunutze machen, um Domain-Namen zu registrieren, die den „.com“-Domains bekannter Top-Marken ähneln.

„Ähnlich wie viele der momentan am häufigsten zum Einsatz kommenden Angriffsmethoden zielt Domain-Betrug eher auf Einzelpersonen denn auf die technische Infrastruktur ab. Hierfür werden Social-Engineering-Techniken genutzt, um Nutzer glauben zu lassen, dass die Domains, auf die sie zugreifen, legitim seien“, erklärt Ali Mesdaq, Direktor für Digital Risk Engineering bei Proofpoint. „Aufgrund der relativ geringen Hürden bei Domainregistrierungen und der vergleichsweise einfachen Umsetzung krimineller Aktivitäten auf Basis von betrügerischen Domains ist es wichtig, dass Unternehmen wachsam bleiben, wenn es um verdächtige und potenziell gefährliche Domains geht, die ein Risiko für ihre Marke und für ihre Kunden bergen können.“

Um Domainbetrüger und deren Phishing-Kampagnen zu identifizieren und sie daran zu hindern, sich Marken zunutze zu machen und Kunden sowie Mitarbeiter zu gefährden, vertrauen Unternehmen weltweit auf Proofpoints Lösung Digital Risk Protection. Organisationen können damit sicherzustellen, dass ihre Domains dauerhaft geschützt sind. Mit Hilfe von Machine Learning und künstlicher Intelligenz analysiert die Lösung einen riesigen Bestand an Domain-Daten, um Domain-Betrug und illegale Domains zu identifizieren. Der Echtzeit-Alarm stellt zudem sicher, dass Unternehmen darüber im Bilde sind, wann ihre Domains und SSL-Zertifikate ablaufen, um die Sicherheit markeneigener Domains zu gewährleisten.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*