Kaspersky-Experten haben im Rahmen einer Untersuchungen festgestellt, dass die Dienstleistungs- und E-Commerce-Branche am stärksten von Phishing-Angriffen durch sogenannte ,Lookalikes‘ betroffen ist.
- Über ein Drittel haben die Service- und E-Commerce-Branche im Visier; knapp ein Viertel die ITK-Branche
- Kaspersky bietet automatisierten und mehrschichtigen Schutz
Kaspersky-Experten haben im Rahmen einer Untersuchungen [1] festgestellt, dass die Dienstleistungs- und E-Commerce-Branche am stärksten von Phishing-Angriffen durch sogenannte ,Lookalikes‘ betroffen ist. So gingen im dritten Quartal 2020 35 Prozent aller Lookalike-Angriffe auf das Konto von Service- und E-Commerce-Anbieter – möglicherweise eine Folge der Corona-Pandemie, weil Anbieter derzeit verstärkt auf Online-Dienste setzen [2]. Die Hälfte (50 Prozent) der gefälschten Domains werden dabei nur einmal verwendet, 73 Prozent sind auch nur einen Tag lang aktiv. Dies erschwert eine rechtzeitige Identifizierung. Durch eine automatisierte mehrschichtige Analyse können solche Angriffe – ohne die Notwendigkeit, manuell Domänenlisten zu erstellen – erkannt werden.
Bei der Lookalike-Technik versenden Cyberkriminelle Phishing-E-Mails von vermeintlich legitimen Domain-Adressen, die lediglich durch kleine Abweichungen – etwa fehlende Buchstaben – von offiziellen Mailadressen zu unterscheiden sind. Es ist meist unwahrscheinlich, dass ein Empfänger solche bewusst gesetzten Fehler bemerkt. So würden Betrüger etwa @netflix.com in @netffix.com oder @kapersky.com anstelle von @kaspersky.com ändern. Solche von Lookalike-Domains versendeten Mails passieren die Authentifizierung problemlos, haben eine kryptografische Signatur und erwecken damit nicht den Verdacht von Anti-Spam-Systemen.
Untersuchungen von Kaspersky zeigen, welche Branchen am häufigsten unter Angriffen mit Lookalike-Domains leiden. Im dritten Quartal 2020 waren Dienstleistungen und E-Commerce am stärksten betroffen (35 Prozent), an zweiter Stelle kommen IT und Telekommunikation (22 Prozent) und an dritter der Bereich Produktion und Data-Mining [3].
Automatisierter Schutz statt mühsamer Listenführung
Traditionelle Methode zur Erkennung von Lookalike-Domains ist die händische Eingabe aller denkbaren Varianten gefälschter Domains in eine Anti-Phishing-Lösung. Dieser Prozess ist jedoch sehr zeitaufwändig und mitunter nicht effektiv, da es immer Optionen gibt, die nicht mit aufgenommen werden. Technologien, die wirksamer gegen Phishing mit Lookalike-Domänen sind, umfassen mehrere Analysestufen und identifizieren gefälschte Websites, indem sie eine verdächtige Domain mit legitimen Adressen vergleicht, anstatt eine Liste mit falschen zu erstellen.
Wenn eine E-Mail von einem unbekannten Absender an ein anderes E-Mail-Postfach zugestellt wird, durchläuft sie alle Standard-Antispamfilter. Wird hierbei nichts Bösartiges entdeckt, beginnt die Domänenanalyse. In der ersten Phase vergleicht das System die Domain mit allen bekannten Doppelgängern. Gibt es keine Übereinstimmungen, überprüft es in der zweiten Phase Informationen über die Domain – etwa Registrierungsdetails oder Zertifikate. Werden dabei Verdachtsmomente hinsichtlich illegitimer Details entdeckt, wird die Untersuchung fortgesetzt. In der dritten Stufe wird die Domain mit einer automatisch erstellten Liste bekannter, offizieller Webadressen abgeglichen. Identifiziert das System eine Ähnlichkeit zwischen der verdächtigen und einer legitimen Domäne, wird diese als „Doppelgänger“ klassifiziert.
Dieser Ansatz ermöglicht es einer Anti-Phishing-Lösung, Angriffe, die Doppelgänger-Domains verwenden, in Echtzeit zu blockieren, wenn sie zum ersten Mal auftauchen. Es sind keine manuellen Aktionen erforderlich, wie etwa das Zusammenstellen einer Liste legitimer oder möglicher Doppelgänger durch den Kunden. Alle Berechnungen werden in der Cloud durchgeführt und erfordern keine zusätzlichen persönlichen Rechenressourcen. Dieser Sicherheitsansatz ist in den Lösungen von Kaspersky mit Mail-Server-Schutz [3] und Kaspersky Security für Microsoft Office 365 [4] implementiert.
Weitere Informationen über Lookalike-Domains und die dahinterstehende Technologie, mit der Unternehmen geschützt werden können unter https://securelist.com/lookalike-domains-and-how-to-outfox-them/99539/
[1] https://securelist.com/lookalike-domains-and-how-to-outfox-them/99539/
[2] https://www.bitkom.org/Themen/Corona/Handel
[3] https://box.kaspersky.com/f/bfa0d074b60c4baa85df/?dl=1
[4] https://www.kaspersky.de/small-to-medium-business-security/mail-server
[5] https://www.kaspersky.de/enterprise-security/microsoft-office-365
Nützliche Links:
- Analyse von Kaspersky zu aktuellem Lookalike-Betrug: https://securelist.com/lookalike-domains-and-how-to-outfox-them/99539/
- Kaspersky Security for Mailserver: https://www.kaspersky.de/small-to-medium-business-security/mail-server
- Kaspersky Security für Microsoft Office 365: https://www.kaspersky.de/enterprise-security/microsoft-office-365
Über Kaspersky
Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter https://www.kaspersky.de/
