Unternehmen investieren viel in ihre Marke. Umso ärgerlicher, wenn Cyberkriminellen den guten Ruf für kriminelle Zwecke missbrauchen. Domain-Spoofing ist nicht nur lästig, sondern auch brandgefährlich. Ein Blick auf aktuelle Trends im Darknet und Best Practices für Brand Protection.
Beim Domain-Spoofing imitieren Cyberkriminellen den Namen einer Webseite oder einer E-Mail-Domain, um so das Vertrauen von Opfern zu gewinnen und feindliche Aktionen durchzuführen. Dazu gehört vor allem Phishing, also das Ausspähen von personenbezogenen Daten, Passwörtern oder Finanzinformationen. Die Fake-Domains werden jedoch auch gern für das Implementieren von Malware oder das browserbasierte Schürfen von Kryptowährungen genutzt. Tatsächlich ist Domain-Spoofing in vielen Fällen nur das Sprungbrett für ausgefeilte und breit angelegte Angriffskampagnen.
Risikofaktoren für „Geparkte“ Domains
Das Ausmaß von Domain Spoofing sollte man nicht unterschätzen. Die Threat Intelligence-Experten von Digital Shadows stießen bei einer Untersuchung auf rund 360 neu registrierte Fake Domains, die innerhalb von nur vier Monaten registriert wurden. Aufs Jahr gerechnet sieht sich ein Unternehmen also durchschnittlich mit 1.100 Nachahmern konfrontiert, die ein potenzielles Risiko für Kunden, Mitarbeiter sowie die Brand Protection darstellen.
Viele dieser Domains sind zunächst „geparkt“, d.h. nicht aktiv. Trotzdem gilt es, die vermeintlichen Phishing-Seiten im Blick zu behalten und auf bestimmte Risikofaktoren zu prüfen. Eine Domain, die in den letzten 90 Tagen neu registriert wurde und einen Markennamen imitiert, ist zum Beispiel verdächtiger als eine seit Jahren geparkte Domain. Auch wenn die Domain über einen DNS-Rekord verfügt oder einem MX-Eintrag zugewiesen ist, heißt es vorsichtig sein. Ein fast sicheres Anzeichen für betrügerische Absichten ist das Hosten von Inhalten – wenn beispielsweise eine Unternehmensseite dreist kopiert wird oder Logos, Bilder und CI-Farben einer legitimen Seite nutzt.
Das können Unternehmen tun
Beim Kampf gegen Domain-Spoofing steht vor allem die Prävention im Vordergrund. Um das Sicherheitsrisiko rund um Phishing, Reputationsverlust und digitaler Fußabdruck proaktiv zu minimieren, sollten Unternehmen grundlegende Best Practices folgen:
-
Weniger shoppen, mehr beobachten: Domain Monitoring
Es gibt zwei Strategien bei der Überwachung von Domains. Unternehmen können mögliche Variationen und Permutationen eines Markennamens im Vorfeld einfach selbst als Domain registrieren. Damit kommen sie möglichen Angreifern zuvor und können zumindest die augenscheinlichsten Typo-Squatting-Angriffe verhindern. Die Domains lassen sich entweder parken oder als eine Art Umleitung zur legitimen Website nutzen.
Allerdings sollte man sich bewusst sein, dass der Kauf und die Pflege von Hunderten (oder sogar Tausenden) potenzieller Versionen der eignen Domain schnell zu einer teuren Angelegenheit werden kann. Eine Alternative bzw. Ergänzung sind daher Monitoring-Tools, die kontinuierlich neu registrierte Domains überwachen und potenzielle Nachahmer-Domains an das Sicherheitsteam melden.
-
Meins, Deins, Unsers: Cyber Threat Intelligence (CTI)
Informationen zu digitalen Bedrohungen, Akteuren und neuen Praktiken sind grundlegend, um die Cybersecurity allgemein zu verbessern und die Branche insgesamt besser gegen Cyberkriminalität zu wappnen. Konkurrenzdenken hat hier keinen Platz, vielmehr geht es darum, Cyber Threat Intelligence zu teilen. Dazu gibt es unterschiedliche Frameworks und Ansätze: einige bieten einen anonymen Austausch innerhalb bestimmter Gruppen, andere stellen CTI via Open-Source-Repositories zur Verfügung. So integrieren CTI-Teams immer stärker Informationen von dritten Stellen und aus staatlichen Sicherheitsbulletins (z. B. ISACs).
Wichtig beim Informationsaustausch ist eine gemeinsame Sprache. Unternehmen sollten daher bei der Brand Protection sowie bei der allgemeinen Threat Intelligence-Strategie auf in der Branche gängige Modelle setzen. Dazu zählen etwa MITRE ATT&CK®, D3FEND-Matrix, Structured Threat Information eXpression (STIX™) oder Trusted Automated eXchange of Intelligence Information (TAXII™)
-
Better safe than Sorry: Sicherheitsbewusstsein
Sicherheitsbewusstsein ist und bleibt das wirksamste Mittel gegen Cyberkriminialität und Hackerangriffe. Mit Ausnahme von wenigen wirklich gut gemachten Fake-Webseiten und Phishing-E-Mails finden sich bei genauem Hinsehen immer einige Hinweise, dass es sich um einen Betrugsversuch handelt. Seien es defekte Links, seltsam positionierte Logos, Rechtschreib- und Grammatikfehler oder sogar falsche CI-Farben.
Bildquelle: Digital Shadows
Wer seine Mitarbeiter schult, besser auf solche Details zu achten und ein gesundes Misstrauen im Umgang mit externen Webseiten, Services und E-Mails zu pflegen, hat bereits viel gewonnen. Kommt es trotz aller Vorsicht zum Ernstfall, helfen klar definierte und unkomplizierte Reporting-Strukturen, damit Sicherheitsteams früh über Vorfälle informiert werden und schnell reagieren können.
-
Runter damit: Takedown-Verfahren
Werden Fake-Domains aktiv für Phishing genutzt oder verstoßen gegen Markenschutzrechte, lässt sich in der Regel auch ein Takedown-Verfahren einleiten. Abgesehen von Bulletproof Hosting Services, die sich dem Zugriff von Ermittlungsbehörden aktiv entziehen, kommen die Hosting-Anbieter den Anträgen nach und nehmen die entsprechenden Webseiten vom Netz. Eingeleitet wird ein solches Verfahren entweder über das interne Sicherheitsteam, die Rechtsabteilung oder durch einen Cybersecurity-Partner.
Handelt es sich um eine Top-Level-Domain (TLD) wie .com oder .org, sollten Unternehmen zunächst einen Bericht an den Registrar oder Hosting-Provider senden. Eine länderspezifische Liste der richtigen Ansprechpartner für Country Code TLD (ccTLD) wie .de, .at oder .ch findet sich auf den Seite der IANA (Internet Assigned Numbers Authority). Zudem ist es nie eine schlechte Idee, verdächtige Seiten auch den Behörden zu melden, zum Beispiel an EUROPOL.
Robert Blank, Regional Sales Manager DACH, Digital Shadows