Domain-Parking-Dienste bieten eine einfache Lösung für Domaininhaber, den Verkehr ihrer Websites durch Werbung Dritter zu monetarisieren. Während Domain Parking auf den ersten Blick harmlos erscheinen mag, stellen geparkte Domains eine erhebliche Bedrohung dar, da sie Besucher auf böswillige oder unerwünschte Landingpages umleiten oder zu jedem Zeitpunkt völlig bösartig werden können.
Die Forscher von Palo Alto Networks stellen geparkte Domains seit mehr als neun Jahren fest. Von März bis September 2020 haben sie fünf Millionen neu geparkte Domains identifiziert. Im gleichen Zeitraum haben die Forscher beobachtet, dass sechs Millionen geparkte Domains in andere Kategorien übergegangen sind. Von den vorübergehend geparkten Domains wechselten 1,0 Prozent zu bösartigen Kategorien (wie Phishing oder Malware), 2,6 Prozent zu Kategorien, die nicht mit der Arbeit vereinbar sind (wie Erwachseneninhalte oder Glücksspiele), und 30,6 Prozent zu verdächtigen Kategorien (fragwürdig oder mit hohem Risiko). Im Vergleich zu einer gutartigen Domain (wie Internet-Informationen oder -Shopping) hat eine geparkte Domain eine achtmal höhere Wahrscheinlichkeit, ihre Kategorie in eine der oben genannten nicht gutartigen Kategorien zu ändern.
Zu den wichtigsten Ergebnissen gehören:
- Verfolgung der Web-Aktivitäten von Benutzern: Palo Alto Networks beobachtete Angreifer, die die Domain peoplesvote[.]uk im Zusammenhang mit den aktuellen US-Präsidentschaftswahlen missbrauchten. Die Benutzer werden auf eine Umfrage-Website weitergeleitet, auf der sie nach der Wahlpräferenz für Joe Biden oder Donald Trump befragt werden. Ein Exploit-Kit erstellt im Stillen Fingerabdrücke des Browsers, um die Web-Aktivitäten der Benutzer zu verfolgen. Bemerkenswert ist, dass diese Seiten immer noch aktiv sind.
- Verbreitung von Emotet über Phishing-E-Mails: Palo Alto Networks beobachtete im Rahmen einer globalen Emotet-Kampagne den bösartigen Lebenszyklus der Domain valleymedicalandsurgicalclinic
[.]com, die nicht mehr aktiv ist. Während dieser Kampagne verfolgte Palo Alto Networks Angriffe gegen Unternehmen und Institutionen in verschiedenen Branchen (z.B. Bildungswesen, Regierung, Energie, Fertigung, Bauwesen, Telekommunikation) auf der ganzen Welt, darunter in den USA, Großbritannien, Frankreich, Japan, Korea und Italien. Der Angriff, der sich gegen französische Organisationen richtete, nutzte auch die globale COVID-19-Pandemie als Betreffzeile der Phishing-E-Mail aus. Keiner dieser Angriffe war erfolgreich.
- Missbrauch des Partnerprogramms von McAfee: Palo Alto Networks beobachtete eine Domain, xifinity[.]com, die Benutzer auf eine manipulierte Landingpage, antivirus-protection[.]com-
123[.]xyz, umleitet. Beide Domains sind derzeit aktiv. Die Landing Page versucht, den Benutzern zu vermitteln, ihr Rechner sei infiziert und ihr McAfee-Abonnement sei abgelaufen. Durch Klicken auf die Schaltfläche „Proceed“ werden Benutzer auf eine legitime Downloadseite von McAfee weitergeleitet, die ein Antiviren-Abonnement anbietet. Palo Alto Networks glaubt, dass Angreifer das Partnerprogramm von McAfee missbrauchen, um Werbeeinnahmen zu stehlen.
Domain-Parking – was dahintersteckt
Einzelpersonen und Unternehmen müssen Registrierungsstellen (ICANN-akkreditierte Domainreseller) eine jährliche Gebühr zahlen, um Domainnamen zu kaufen und Domaininhaber zu werden. Wenn Domainbesitzer keinen Inhalt oder Service haben, auf den sie ihre Domains verweisen können, können sie Parking-Services nutzen, um den Benutzerverkehr zu monetarisieren.
Die Einrichtung eines Parking-Services ist einfach und erfordert nur, dass Domaininhaber ihre Name-Server (NS)-Einträge auf den Parking-Service verweisen. Im Gegenzug präsentieren Parking-Dienste den Besuchern entweder eine Liste mit Werbeanzeigen oder leiten die Benutzer automatisch auf die Webseiten der Inserenten um. Im ersten Fall werden Domaininhaber und Parking-Services bezahlt, wenn ein Benutzer auf eine Anzeige klickt, während sie im zweiten Fall pro Benutzerbesuch bezahlt werden. Einige Domaininhaber kaufen große Mengen an Domainnamen als Investition, um sie später gewinnbringend weiterzuverkaufen oder um den Benutzerverkehr zu monetarisieren. Wie aus früheren Forschungsstudien und diesem Blog hervorgeht, können geparkte Domains eine erhebliche Bedrohung für Endbenutzer darstellen. Aus diesem Grund und wegen ihres fragwürdigen Nutzens ist es möglicherweise am besten, geparkte Domains zu blockieren.
Palo Alto Networks hat eine umfassende Pipeline zur Verfolgung neu geparkter Domains und zur Veröffentlichung der Erkennungsergebnisse für die URL-Filterung bereitgestellt. Kürzlich hat Palo Alto Networks diese Kategorie auch in DNS Security eingeführt. Die Pipeline mit den entsprechenden Maßnahmen umfasst:
- Überwachung bekannter geparkter Serviceprovider und deren Infrastruktur.
- Verfolgung von Domainregistrierungen und passiven DNS-Abfragen sowie Durchführung von Reverse-DNS-Lookups.
- Durchsuchen von Website-Inhalten.
- Einsatz von maschinellem Lernen, um mehrere Merkmale zu kombinieren und zu klassifizieren, ob eine Domain geparkt ist.
Schlussfolgerung
Zusammenfassend lässt sich sagen, dass geparkte Domains Benutzer Bedrohungen aussetzen können, da sie Besucher auf böswillige oder unerwünschte Landingpages umleiten oder in Zukunft vollends böswillig werden können. Die beste Sicherheitspraxis für Unternehmen besteht darin, geparkte Domains genau im Auge zu behalten, während Privatnutzer darauf achten sollten, dass sie Domainnamen korrekt eingeben, und vor dem Besuch einer Website überprüfen sollten, ob die Domaininhaber vertrauenswürdig sind.
www.paloaltonetworks.de