Betrügerische Domains gefährden Unternehmen, Marken, Kunden und Mitarbeiter. Und deren Anzahl steigt stetig, berichtet der Cybersecurity-Spezialist Proofpoint in seinem jüngsten «Domain Fraud Report 2019». Demnach stieg zwischen dem ersten und vierten Quartal 2018 die Anzahl an Registrierungen betrügerischer Domains um 11 Prozent an. Nahezu alle von Proofpoint identifizierten betrügerischen Domains blieben über den Beobachtungszeitraum hinweg aktiv – sie blieben also weiterhin registriert – und konnten daher für Angriffe genutzt werden. Von diesen betrügerischen Domains verfügten mehr als 15 Prozent über ein Mail Exchanger Record (MX Record), der darauf schliessen lässt, dass über diese Domain E-Mails gesendet werden.

Ein Viertel der betreffenden Domains wiesen darüber hinaus Sicherheitszertifikate auf, die viele Internetnutzer fälschlicherweise mit Legitimität und Sicherheit assoziieren. Damit verfügt ein höherer Anteil betrügerischer Domains über Sicherheitszertifikate verglichen mit der Gesamtheit aller registrierten Domains.

Betrügerische Domains nutzen häufig die gleichen Top-Level-Domains (TLDs), Domain-Registrare und Webserver wie legitime Domains, um Marken nachzuahmen und Nutzer in die Irre zu führen.

In den letzten Jahren wurde die Situation insofern verschärft, als weltweit neue TLDs eingeführt wurden. Die hat die Möglichkeiten der Cyberkriminellen nochmals erweitert. Denn im Zuge der Einführung neuer TLDs wie .app, .icu und vielen weiteren im Jahr 2018, wuchs auch die Auswahl an Registrierungsmöglichkeiten für betrügerische Domains. Proofpoint fand  in diesem Zusammenhang heraus, dass Angreifer sich diese neuen TLDs zunutze machen, um Domain-Namen zu registrieren, die den «.com»-Domains bekannter Top-Marken ähneln.

Mit dramatischen Folgen: Für 96 Prozent aller Unternehmen liessen sich gemäss dem Proofpoint-Report wortgleiche Fake-Domains ihrer markeneigenen Domain finden, die unter einer anderen TLD  wie etwa «.net» statt «.com» auftraten. Bei 76 Prozent fanden sich ausserdem so genannte «Lookalike»-Domains, bei denen also der Markenname nur geringfügig abgeändert wird – beispielsweise wird ein O mit einer Null ersetzt. Dieser Domain-Betrug habe die meisten Branchen und Regionen betroffen, heisst es in dem Bericht weiter.

Aber auch Anbieter von «Blenderware» und von illegalen Imitaten bedienen sich der Masche. Für mehr als 85 Prozent der führenden Einzelhandelsmarken fanden sich nämlich Domains, die Produktfälschungen anboten. Die Analyse von Proofpoint ergab im Schnitt für jede Einzelhandelsmarke mehr als 200 solcher Domains. Darüber hinaus verfügen Domains, die gefälschte Waren verkaufen, deutlich häufiger über Sicherheitszertifikate als das bei anderen Formen von betrügerischen Domains der Fall ist. Auf diese Weise sollen die Domains für potenzielle Käufer legitim erscheinen.

«Ähnlich wie viele der momentan am häufigsten zum Einsatz kommenden Angriffsmethoden zielt Domain-Betrug eher auf Einzelpersonen denn auf die technische Infrastruktur ab», kommentiert Ali Mesdaq, Direktor für Digital Risk Engineering bei Proofpoint die Studienergebnisse. Hierfür würden Social-Engineering-Techniken genutzt, um Nutzer glauben zu lassen, dass die Domains, auf die sie zugreifen, legitim seien, erklärt er weiter. «Aufgrund der relativ geringen Hürden bei Domainregistrierungen und der vergleichsweise einfachen Umsetzung krimineller Aktivitäten auf Basis von betrügerischen Domains ist es wichtig, dass Unternehmen wachsam bleiben, wenn es um verdächtige und potenziell gefährliche Domains geht, die ein Risiko für ihre Marke und für ihre Kunden bergen können», rät der Spezialist daher.

Die Untersuchung von Proofpoint basiert auf einer zwölfmonatigen Analyse der Active Domains Database des Unternehmens, die Daten von über 350 Millionen Domains enthält. Sie umfasst somit praktisch alle im Web genutzten Adressen, inklusive solcher, die mit kriminellen Absichten erstellt wurden.