{"id":2673,"date":"2014-03-20T08:13:33","date_gmt":"2014-03-20T08:13:33","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=2673"},"modified":"2020-02-26T18:32:11","modified_gmt":"2020-02-26T16:32:11","slug":"typosquatting-infizierung-ausgelost-durch-tippfehler","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/typosquatting-infizierung-ausgelost-durch-tippfehler\/2673\/","title":{"rendered":"Typosquatting: Infizierung ausgel\u00f6st durch Tippfehler"},"content":{"rendered":"

Oft werden Webseiten kompromittiert und als Verteiler f\u00fcr Schadprogramme missbraucht. Und nat\u00fcrlich gibt es zahlreiche Arten, die Opfer auf solche Seiten zu locken \u2013 eine davon ist das so genannte\u201cTyposquatting\u201c.<\/p>\n

Beim Eintippen von Web-Adressen in den Browser macht man schnell einmal Tippfehler. Cyberkriminelle nutzen das oft aus und bringen den Anwender damit auf sch\u00e4dliche Webseiten, statt auf die eigentlich gew\u00fcnschte Seite. Dieses Ausnutzen von Tippfehlern nennt man auch \u201eTyposquatting\u201c \u2013 eine Kombination der englischen Begriffe f\u00fcr Tippfehler (typo) und besetzen (squat). Manchmal nennt man es auch \u201eURL-Hijacking\u201c. Cyberkriminelle registrieren daf\u00fcr Domain-Namen, die denen beliebter Seiten \u00e4hneln, und warten dann auf die Opfer, die einen legitimen Domain-Namen versehentlich falsch eingeben. F\u00fcr Gesch\u00e4fte ist das eine enorme St\u00f6rung und so gab es schon einige Gerichtsverfahren von Firmen gegen den Namensmissbrauch durch cyberkmrinelle Typosquatter.<\/p>\n

F\u00fcr die Kunden ist das Typosquatting eine ernste Bedrohung. Kommen Anwender versehentlich auf solche Typosquatting-Seiten, sind das im Idealfall nur unerw\u00fcnschte Spam-Seiten, oft aber auch Schlimmeres \u2013 denn die Seiten sind eventuell mit Schadprogrammen versucht.<\/p>\n

F\u00fcr die Kunden ist das Typosquatting eine ernste Bedrohung. Kommen Anwender versehentlich auf solche Typosquatting-Seiten, sind das im Idealfall nur unerw\u00fcnschte Spam-Seiten, oft aber auch Schlimmeres \u2013 denn die Seiten sind eventuell mit Schadprogrammen versucht.<\/div>\n

Ein typischer Fall von Gmail-Missbrauch<\/b><\/p>\n

Lassen Sie mich kurz erkl\u00e4ren, was wir tun, um Infizierungen durch Schadprogramme zu reduzieren. Wenn wir eine kompromittierte Webseite entdecken, kontaktieren wir den Administrator und warnen ihn. Hier ein Beispiel: Die unten angegebenen Informationen sind WHOIS-Informationen einer Webseite, die unabsichtlich Schadprogramme verbreitet. Im Feld \u201eAdministrative Contact\u201c sehen Sie \u201eA***3JP\u201c. Dies ist ein JPNIC-Name, der vom Japan Registry Service (JPRS) verwaltet wird. Das ist der Schl\u00fcssel, um herauszufinden, wer der Administrator der infizierten Seite ist (in anderen F\u00e4llen ist hier oft auch eine E-Mail-Adresse angegeben).<\/p>\n

\"Typosquatting<\/p>\n

Also finden wir heraus, wer die A***3JP-Domain administriert:<\/p>\n

\u00a0\"Typosquatting<\/p>\n

Die Adresse im Feld \u201eE-Mail\u201c m\u00fcssen wir kontaktieren, um den Administrator \u00fcber die Infizierung seiner Webseite zu informieren. Diese Warnung von Administratoren ist ein wichtiger Teil des Kampfes gegen Schadprogramme. Als wir uns das Ganze n\u00e4her angesehen haben, entdeckten wir allerdings einen Makel an der E-Mail-Adresse: Sie sieht aus wie eine Gmail-Adresse (xxx@gmail.com), ist aber in Wirklichkeit keine, denn es fehlt ein Buchstabe.<\/p>\n

In manchen L\u00e4ndern ist die korrekte Registrierung von Domain-Informationen gesetzlich vorgeschrieben. In Japan sind diese Informationen allerdings nicht immer korrekt, und noch schlimmer ist, dass auch falsche Informationen absichtlich registriert werden. Wenn eine registrierte E-Mail-Adresse nicht richtig ist, k\u00f6nnen wir den Administrator nicht \u00fcber die Infizierung informieren, und so wird er vielleicht nie erfahren, dass er zum Opfer von Cyberkriminellen wurde und gleichzeitig auch andere Anwender zu Opfern macht. Doch in diesem Fall ist klar, warum die Gmail-\u00e4hnliche Domain genutzt wird: Es ist eine Typosquatting-Falle, die nur darauf wartet, dass arglose Anwender den angebotenen sch\u00e4dlichen Installer herunterladen.<\/p>\n

Es stellte sich sogar heraus, dass die Seite mit der Gmail-\u00e4hnlichen Adresse in verschiedenen Sprachen angezeigt werden kann, je nachdem welche Sprache der Besucher der Seite eingestellt hat. Unter anderem spricht die Seite Deutsch, Japanisch, Spanisch, Italienisch, Holl\u00e4ndisch, Polnisch, Portugiesisch, Russisch, Schwedisch und T\u00fcrkisch. Warum Englisch fehlt, ist uns nicht bekannt. Schauen Sie sich die folgenden Screenshots der Seite an \u2013 ihr legitimes Aussehen kann viele arglose Besucher dazu bringen, das Objekt herunterzuladen und zu installieren.<\/p>\n

Japanisch:<\/p>\n

\u00a0\"Typosquatting<\/p>\n

Russisch:<\/p>\n

\"Typosquatting<\/p>\n

Sie sehen also, wie wichtig das korrekte Registrieren von Domains ist, und wie leicht man durch Typosquatting hereingelegt werden kann. Typosquatting ist nicht neu: Im Grunde ist es eine klassische Methode, mit der Anwender hereingelegt werden. Sie ist schon seit einigen Jahren bekannt, doch die Zahl der Opfer von Typosquatting w\u00e4chst nach wie vor. Zwar ist die Bedrohung eher passiv und wartet darauf, dass sich die Anwender vertippen, doch das passiert uns allen hin und wieder. Um sich vor Typosquatting-Schadprogrammen zu sch\u00fctzen, sollten Sie regelm\u00e4\u00dfig Ihr Betriebsystem und Ihre Sicherheitssoftware<\/a> aktualisieren.<\/p>\n","protected":false},"excerpt":{"rendered":"

Oft werden Webseiten kompromittiert und als Verteiler f\u00fcr Schadprogramme missbraucht. Und nat\u00fcrlich gibt es zahlreiche Arten, die Opfer auf solche Seiten zu locken \u2013 eine davon ist das so genannte\u201cTyposquatting\u201d.<\/p>\n","protected":false},"author":212,"featured_media":2674,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[367,209,954,953],"class_list":{"0":"post-2673","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-infizierte-webseiten","9":"tag-schadprogramme","10":"tag-tippfehler","11":"tag-typosquatting"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/typosquatting-infizierung-ausgelost-durch-tippfehler\/2673\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/infizierte-webseiten\/","name":"infizierte Webseiten"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/2673","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/212"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=2673"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/2673\/revisions"}],"predecessor-version":[{"id":22713,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/2673\/revisions\/22713"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/2674"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=2673"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=2673"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=2673"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}