{"id":30366,"date":"2023-08-07T15:15:06","date_gmt":"2023-08-07T13:15:06","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30366"},"modified":"2023-08-07T15:15:06","modified_gmt":"2023-08-07T13:15:06","slug":"lookalike-domains-in-bec","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/lookalike-domains-in-bec\/30366\/","title":{"rendered":"So erkennen Sie Lookalike-Domains"},"content":{"rendered":"

Sie erhalten eine E-Mail auf Ihrem Arbeitsger\u00e4t, in der Sie dazu aufgefordert werden, Ihr E-Mail-Passwort zu \u00e4ndern, Ihre Urlaubstage zu best\u00e4tigen oder im Auftrag des Gesch\u00e4ftsf\u00fchrers eine dringende Geld\u00fcberweisung auszuf\u00fchren. Hinter solchen unerwarteten Aufforderungen kann sich der Beginn eines Cyberangriffs auf Ihr Unternehmen verbergen, weshalb Sie sicherstellen m\u00fcssen, dass es sich dabei nicht um einen Betrugsversuch handelt. Aber wie \u00fcberpr\u00fcfen Sie E-Mail-Adressen oder Links zu Websites auf ihre Authentizit\u00e4t?<\/p>\n

Das Herzst\u00fcck einer gef\u00e4lschten E-Mail ist in der Regel ihr Domain-Name, d. h. der Teil der E-Mail nach dem @ oder der erste Abschnitt der URL. Damit soll beim Opfer Vertrauen erweckt werden. Sicherlich w\u00fcrden Cyberkriminelle nur zu gerne eine offizielle Domain des Zielunternehmens oder seiner Zulieferer und Gesch\u00e4ftspartner hijacken, aber in der Anfangsphase eines Angriffs ist diese M\u00f6glichkeit meist nicht gegeben. Stattdessen registrieren sie vor einem zielgerichteten Angriff eine Domain, die der des angestrebten Unternehmens sehr \u00e4hnlich sieht \u2013 und hoffen, dass der Unterschied nicht bemerkt wird. Derartige Methoden werden als Lookalike-Angriffe bezeichnet. Im n\u00e4chsten Schritt wird eine gef\u00e4lschte Website auf der betreffenden Domain gehostet oder gef\u00e4lschte E-Mails von mit der Domain verkn\u00fcpften Postf\u00e4chern verschickt.<\/a><\/p>\n

In diesem Beitrag befassen wir uns mit einigen Tricks, die Angreifer anwenden, um das sogenannte Domain-Spoofing vor Nutzern zu verbergen.<\/p>\n

Homoglyphen: unterschiedliche Buchstaben, gleiche Schreibweise<\/h2>\n

Ein Trick besteht darin, \u00e4hnliche oder sogar ununterscheidbare Buchstaben zu verwenden. Zum Beispiel sieht ein kleines \u201eL\u201c (l) in vielen Schriftarten genauso aus wie ein gro\u00dfes \u201ei\u201c (I), sodass eine E-Mail, die von der Adresse JOHN@MlCROSOFT.COM verschickt wird, vermutlich selbst aufmerksame Empf\u00e4nger t\u00e4uschen w\u00fcrde. Die tats\u00e4chliche Adresse des Absenders lautet in diesem Fall nat\u00fcrlich john@mLcrosoft.com!<\/p>\n

Die Anzahl der t\u00fcckischen Doppelg\u00e4nger ist gestiegen, seit die Registrierung von Domains in verschiedenen Sprachen m\u00f6glich ist, einschlie\u00dflich solcher, die nicht das lateinische Alphabet verwenden. Ein griechisches , aber f\u00fcr einen Computer sind es drei verschiedene Buchstaben. Dadurch ist es m\u00f6glich, viele Domains zu registrieren, die auf den ersten Blick alle wie micros\u043eft.c\u03bfm aussehen, dabei aber verschiedene Varianten des Buchstaben \u201eo\u201c verwenden. Solche Techniken, bei denen visuell \u00e4hnliche Zeichen verwendet werden, sind als homoglyphische oder homografische Angriffe bekannt.<\/p>\n

Combosquatting: fatales Anh\u00e4ngsel<\/h2>\n

Das so genannte Combosquatting ist in den letzten Jahren bei Cyberkriminellen sehr beliebt geworden. Zur Imitation einer E-Mail oder Website des Zielunternehmens erstellen Letztere eine Domain, die dessen Namen mit einem relevanten Hilfswort kombiniert, z. B. Microsoft-login.com oder SkypeSupport.com. Der Betreff der E-Mail und das Ende der Domain sollten \u00fcbereinstimmen: So k\u00f6nnte beispielsweise eine Warnung vor unberechtigtem Zugriff auf ein E-Mail-Konto auf eine Website mit der Domain outlook-alert verweisen.<\/p>\n

Erschwerend kommt hinzu, dass einige Unternehmen tats\u00e4chlich \u00fcber Dom\u00e4nen mit entsprechenden Zusatzbezeichnungen verf\u00fcgen. So ist beispielsweise login.microsoftonline.com eine v\u00f6llig legitime Website von Microsoft.<\/p>\n

Laut Akamai<\/a> lauten die am h\u00e4ufigsten beim Combosquatting verwendeten Worte: support, com, login, help, secure, www, account, app, verify und service. Zwei davon \u2013 www und com \u2013 sollten gesondert erw\u00e4hnt werden. Sie kommen h\u00e4ufig in den Namen von Websites vor, und unaufmerksame Nutzer \u00fcbersehen vielleicht den fehlenden Punkt: wwwmicrosoft.com, microsoftcom.au.<\/p>\n

Spoofing von Top-Level-Domains<\/h2>\n

Manchmal gelingt es Cyberkriminellen, einen Doppelg\u00e4nger in einer anderen Top-Level-Domain (TLD) zu registrieren, z. B. microsoft.co anstelle von microsoft.com oder office.pro anstelle von office.com. In einem solchen Fall kann der Name des gespooften<\/em> Unternehmens derselbe bleiben. Diese Technik wird als TLD-Squatting bezeichnet.<\/p>\n

Ein solcher Austausch kann sehr effektiv sein. So wurde erst k\u00fcrzlich berichtet, dass verschiedene Auftragnehmer und Partner des amerikanischen Verteidigungsministeriums seit \u00fcber einem Jahrzehnt f\u00e4lschlicherweise E-Mails an die Domain .ML, die der Republik Mali zugeordnet ist, statt an die Domain .MIL des amerikanischen Milit\u00e4rs gesendet haben. Allein im Jahr 2023 fing ein niederl\u00e4ndischer Auftragnehmer mehr als 117.000 fehlgeleitete E-Mails ab<\/a>, die an Mali statt an das Verteidigungsministerium gerichtet waren.<\/p>\n

Typosquatting: falsch geschriebene Domains<\/h2>\n

Der einfachste (und fr\u00fcheste) Weg, Doppelg\u00e4nger-Domains zu erzeugen, besteht darin, diverse Schreibfehler auszunutzen, die zwar leicht zu machen, aber schwer zu erkennen sind. Dabei gibt es viele Varianten: das Hinzuf\u00fcgen oder Entfernen von Doppelbuchstaben (ofice.com anstelle von office.com), das Hinzuf\u00fcgen oder Entfernen von Satzzeichen (cloud-flare oder c.loudflare anstelle von cloudflare), das Ersetzen \u00e4hnlich klingender Buchstaben (savebank anstelle von safebank), und so weiter.<\/p>\n

Rechtschreibfehler wurden anfangs von Spammern und f\u00fcr den Anzeigenbetrug (Ad Fraud) eingesetzt, doch heutzutage werden solche Tricks in Verbindung mit falschen Website-Inhalten verwendet, um den Grundstein f\u00fcr Spear-Phishing und Business-E-Mail-Compromise (BEC)<\/a> zu legen.<\/p>\n

Ma\u00dfnahmen zum Schutz vor Doppelg\u00e4nger-Domains und Lookalike-Angriffen<\/h2>\n

Am schwierigsten zu erkennen sind Homoglyphen, die fast nie f\u00fcr legitime Zwecke verwendet werden. Aus diesem Grund versuchen Browser-Entwickler und teilweise auch Domain-Registrierungsstellen, sich gegen solche Angriffe zu sch\u00fctzen. In einigen Domain-Zonen ist es beispielsweise nicht erlaubt, Namen mit Buchstaben aus verschiedenen Alphabeten zu registrieren. Aber in vielen anderen TLDs gibt es keinen solchen Schutz, sodass man sich in diesem Fall auf zus\u00e4tzliche Sicherheitstools<\/a>\u00a0verlassen muss. Richtig ist, dass viele Browser eine Spezialmethode zur Anzeige von Domainnamen haben, die eine Kombination aus verschiedenen Alphabeten enthalten. Dabei wird die URL in Punycode<\/a> dargestellt, was in etwa wie folgt aussieht xn--micrsoft-qbh.xn--cm-fmc<\/em> (das ist die Seite microsoft.com mit zwei russischen o\u2019s).<\/p>\n

Die beste Verteidigung gegen Typo- und Combosquatting ist \u00fcbrigens Wachsamkeit. Um diese zu f\u00f6rdern, empfehlen wir allen Mitarbeitern eine grundlegende Infosec-Schulung<\/a>, in der sie lernen, die wichtigsten Phishing-Techniken zu erkennen.<\/p>\n

Bedauerlicherweise ist das Arsenal von Cyberkriminellen breit gef\u00e4chert und keineswegs auf Lookalike-Angriffe beschr\u00e4nkt. Gegen sorgf\u00e4ltig ausgef\u00fchrte Angriffe, die auf ein bestimmtes Unternehmen ausgerichtet sind, reicht blo\u00dfe Aufmerksamkeit nicht aus. So erstellten Angreifer in diesem Jahr zum Beispiel eine gef\u00e4lschte Website, die den Intranet-Zugang von Reddit f\u00fcr Mitarbeiter nachahmte<\/a> und das Unternehmen erfolgreich kompromittierte. Aus diesem Grund m\u00fcssen Infosec-Teams nicht nur \u00fcber die Schulung ihrer Mitarbeiter nachdenken, sondern auch \u00fcber wichtige Schutz-Tools:<\/p>\n