Definition und Erläuterung: Typosquatting
Typosquatting – Definition und Bedeutung
Typosquatting gehört zur Gruppe der Social Engineering-Angriffe und zielt auf Internetnutzer ab, die eine URL mit Tipp- oder Rechtschreibfehlern in ihren Webbrowser eingeben statt eine Suchmaschine zu verwenden. In der Regel geht es darum, mithilfe von häufig vorkommenden Schreibfehlern in den URLs von legitimen Webseiten Nutzer dazu zu bringen, auf schädliche Webseiten zu gehen. Auf diesen gefälschten Seiten werden die Nutzer dann z. B. zur Eingabe von sensiblen Daten verleitet. Für die Organisationen, deren Seiten in dieser Weise missbraucht werden, hat das nicht selten einen erheblichen Reputationsschaden zur Folge.
Der Ausdruck „typo“ in Typosquatting kommt aus dem Englischen und steht für Tipp- oder Rechtschreibfehler, wie sie bei der Eingabe an der Tastatur leicht passieren können. Typosquatting wird auch als URL-Hijacking, Domänen-Mimikry oder URL-Fälschung bezeichnet.
Was ist typosquatting?
Typosquatting ist eine Form der Cyberkriminalität, bei der Hacker Domänen mit absichtlich falsch geschriebenen Namen von sehr bekannten Webseiten reservieren. Sie tun das, um ahnungslose Besucher auf alternative Webseiten zu locken, und das nicht selten mit unlauteren Absichten. Es gibt zwei Möglichkeiten, wie Besucher auf eine solche gefälschte Webseite umgeleitet werden:
- Indem sie den Namen einer beliebten Webseite versehentlich falsch in ihren Webbrowser eintippen (z. B. gooogle.com statt google.com.)
- Indem sie im Rahmen eines groß angelegten Phishing-Angriffs dorthin gelockt werden
Häufig ahmen die Hacker das Erscheinungsbild der Original-Webseiten nach, in der Hoffnung, dass Nutzer persönliche Informationen wie Kreditkarten- oder Bankdaten preisgeben. Oder es handelt sich bei den Seiten um gut optimierte Landingpages mit Bezahlwerbung oder pornografischen Inhalten, die ihren Betreibern hohe Einnahmen bescheren.
Typosquatting ist nicht nur für Nutzer ein Problem, sondern auch für die betroffenen Unternehmen. Schließlich ist jeder gestohlene Nutzer ein verlorener Kunde. Aus diesem Grund sollten Unternehmen und Organisationen ein Auge auf Verfälschungen ihrer Webseiten haben und gegebenenfalls dagegen vorgehen.
Wie funktioniert Typosquatting?
Am Beginn eines Typosquatting-Angriffs stehen der Kauf und die Reservierung eines Domänennamens, der nur geringfügig von dem einer beliebten Webseite abweicht (einige Cyberkriminelle sichern sich gleich mehrere solcher URLs). Statt beispielsweise die Domäne „beispiel.com“ zu reservieren, nehmen die Cyberkriminellen bespiel.com oder beispiell.com.
Gefährlich wird eine Typosquatting-Domain erst dann, wenn sie von echten Nutzern besucht wird. Vielleicht geben sie die URL versehentlich so ein. Oder sie werden im Rahmen eines Phishing-Betrugs, meist in einer E-Mail, die den Link zu der Pseudo-Webseite enthält, dorthin gelockt.
Häufig wird das Erscheinungsbild der Original-Webseite mithilfe des entsprechenden Firmenlogos und -designs täuschend echt nachgeahmt. Der nichtsahnende Nutzer, der nicht erkennt, dass er sich auf einer gefälschten Seite befindet, wird dazu verleitet, sensible Daten wie Benutzernamen und Passwort bzw. Bank- oder Kreditkartendaten einzugeben. Die Hacker können auf diese Informationen zugreifen, und wenn das Opfer denselben Benutzernamen und dasselbe Passwort für mehrere Webseiten verwendet, sind auch diese anderen Online-Konten gefährdet.
In großen Teilen beruht Typosquatting auf einer Verwechslung oder kleinen Fehlern:
Tippfehler:
Vermutlich der häufigste Fehler bei der Eingabe von Suchbegriffen. Tippfehler sind oft Folge unseres gehetzten Alltags. Wer eher schnell und fahrig tippt oder sich stark auf die Autokorrektur-Funktion verlässt, ist besonders anfällig für diese gefälschten Domänennamen – wenn man zum Beispiel gogle.com eingibt statt google.com.
Rechtschreibfehler:
Manchmal vertippt man sich nicht nur, sondern kennt gar nicht die richtige Schreibweise eines Markennamens. Auch das ist Typesquattern bewusst. Aus diesem Grund reservieren viele Unternehmen alle möglichen Varianten ihres Webseiten-Namens, bevor andere ihnen zuvorkommen und diese Irrläufer auf ihre eigene Homepage umleiten.
Alternative Schreibweisen:
Unterschiedliche Schreibweisen gängiger Produktnamen oder Services können Internetbesucher verwirren. So gibt es beispielsweise Abweichungen in der britischen oder amerikanischen Schreibweise, wie „favorite“ im amerikanischen und „favourite“ im britischen Englisch. Wenn Ihre Webadresse ein Wort enthält, das in anderen Ländern anders geschrieben wird, könnte das dazu führen, dass Nutzer versehentlich die falsche URL in den Browser eingeben.
Domänen mit Bindestrich:
Auch das Vorhandensein oder Fehlen eines Bindestrichs im Domänennamen kann zu Verwirrung führen. Wenn beispielsweise die URL normalerweise „beispiel-onlineshop.com“ lautet, könnten Typosquatter einen zusätzlichen Bindestrich einfügen, um Nutzer zu täuschen, wie in „beispiel-online-shop.com“. Auf den ersten Blick könnte ein Nutzer meinen, sich auf der echten Webseite zu befinden, während diese tatsächlich von Typosquattern für Malware- oder Werbezwecke genutzt wird.
Falsche Domänen-Endung
Die große Auswahl an Domänen-Endungen für unterschiedliche Länder wie .com, .co.uk, .cn etc. sowie für unterschiedliche Organisationsformen wie .com, .org, .web, .shop bieten zusätzliches Potenzial für Typosquatting. Deshalb ist es für Website-Betreiber wichtig, möglichst viele Top Level Domains zu registrieren, damit die unterschiedlichen Mutationen nicht in die falschen Hände geraten. Bei Typosquattern besonders beliebt ist die Länderdomäne von Kolumbien (.co), wegen ihrer Ähnlichkeit mit der am weitesten verbreiteten .COM-Endung.
Arten von Typosquatting
Häufigste Ausprägungen des Typosquatting:
Nachahmung:
Wie weiter oben beschrieben: Die betrügerische Webseite gibt sich als das Original aus. Um beispielsweise eine bekannte Bank nachzuahmen, ist die Seite entsprechend mit dem Logo, dem Farbschema und dem Seitenlayout dieser Bank ausgestattet. Zweck dieser täuschend echten Nachahmung ist ein Phishing-Betrug, um an Anmeldeinformationen und personenbezogene Daten zu kommen.
Lockangebot:
Die gefälschte Website gibt vor, Ihnen etwas zu verkaufen, was Sie eventuell bereits unter der richtigen URL gekauft haben. Häufig geht es dabei um digitale Einkäufe, die man nur schwer über die Kreditkartenabrechnung anfechten kann. Der Käufer erhält die gewünschte Ware nicht und muss trotzdem dafür bezahlen.
Platzierung in Suchergebnissen:
Der Betreiber nutzt den Traffic zur echten Webseite, um ihn auf die Seiten von Wettbewerbern umzuleiten, wofür er sich pro Klick bezahlen lässt.
Traffic zu Geld machen:
Die Betreiber platzieren Werbebanner oder Popups auf ihren gefälschten Webseiten, um über die Besucher Werbeeinnahmen zu generieren.
Umfragen und Werbegeschenke:
Es wird vorgegeben, dass Nutzer über die gefälschte Seite ein Feedback abgeben sollen. Tatsächlich besteht der Zweck darin, ausreichend Informationen oder Daten zu sammeln, um die Identität der Besucher zu stehlen.
Partner-Links:
Mit der gefälschten Website werden Besucher über Partner-Links auf die Marke geleitet. Ziel ist es, an allen Einkäufen über das legitime Partnerprogramm der Marke mitzuverdienen.
Verbreitung von Malware:
Über die schädliche Webseite werden auf den Geräten der Besucher Malware oder Adware installiert.
Witzseiten:
Auf diesen Webseiten wird die Seite, die der Nutzer eigentlich besuchen wollte, lächerlich gemacht. Häufig geht es in solchen Fällen um Rache.
Cybersquatting vs. Typosquatting
Eine dem Typosquatting ganz ähnliche Form der Cyberkriminalität ist das Cybersquatting, das auch als Domain Squatting bezeichnet wird. In diesem Fall kauft jemand URLs, deren Schreibweise der von anderen Webseiten und Marken ähnelt. In der Regel geht es nicht darum, unter dieser Adresse eine Webseite aufzubauen, sondern um reines Profitstreben: Die URLs sollen möglichst teuer an die Besitzer der authentischen Webseiten und Marken verkauft werden.
Da Unternehmen ihre Kunden und Marken schützen wollen, sehen sich viele gezwungen, den Cybersquattern die URLs abzukaufen, und sind oft bereit, dafür einen hohen Preis zu zahlen. Das macht Cybersquatting zu einem einträglichen Geschäft, da die Registrierung von Top-Level-Domänen oft recht günstig ist.
Cybersquatter sind auf das schnelle Geld aus. Im Vergleich dazu gehen Typosquatter weiter. Sie versuchen, sich in die Computer ihrer Opfer zu hacken, um Identitätsdiebstahl und Sicherheitsverletzungen zu begehen.
Eine Variante des Typosquatings ist das so genannte Combosquatting. Dabei reservieren Kriminelle Domänen, die geringfügig von legitimen Domains abweichen, indem sie zusätzliche Wörter einfügen, z. B. „amazon-onlineshop.com“, um Nutzer glauben zu machen, es handele sich um die Original-Webseite von Amazon. In diesem Fall sind es keine Tippfehler, sondern zusätzlich eingefügte Wörter, mit denen die Nutzer getäuscht werden sollen.
Beispiele für Typosquatting
Einer der frühesten und bekanntesten Fälle von Typosquatting betraf Google. Im Jahr 2006 reservierten Typosquatter die Seite „Goggle.com“, die dann als Phishing-Seite betrieben wurde. Über mehrere Jahre hinweg wurden Varianten des Namens Google (wie foogle, hoogle, boogle, yoogle, wobei die Anfangsbuchstaben vor allem aufgrund ihrer Nähe zu „G“ auf einer qwerty-Tastatur gewählt wurden) als Domänen registriert, um zumindest teilweise Traffic von der Suchmaschine abzulenken.
Prominente wie Madonna, Paris Hilton und Jennifer Lopez sind in der Vergangenheit immer wieder Opfer von Typosquatting-Domänen geworden. Dabei wurden ähnlich lautende Webseiten eingerichtet, auf denen Pornos, Werbeanzeigen oder Partner-Links gezeigt wurden, um nichtsahnende Fans zu täuschen.
Im Vorfeld der US-Präsidentschaftswahlen 2020 wurde berichtet, dass Kriminelle unter den Namen zahlreicher Kandidaten und mit ganz unterschiedlichen Zielsetzungen Typosquatting-Domänen eingerichtet hatten.
So schützen Sie sich vor Typosquatting
Privatpersonen können sich wie folgt vor Typosquatting schützen:
- Klicken Sie nach Möglichkeit nicht auf Links in unerwarteten E-Mails, Text- oder Chat-Nachrichten bzw. auf unbekannten Webseiten. Seien Sie vorsichtig, wenn Sie auf Links in sozialen Medien klicken – lassen Sie im Zweifelsfall lieber die Finger davon.
- Öffnen Sie möglichst keine E-Mail-Anhänge, wenn Sie sich über Quelle und Absender nicht absolut sicher sind.
- Installieren Sie eine Antiviren-Software, um sich vor Schadsoftware zu schützen. Ein umfassendes Cybersicherheitsprogramm wie Kaspersky Total Security kann einen Großteil der Bedrohungen erkennen und bietet Schutz vor Malware.
- Halten Sie den Mauszeiger über Links, um die URL zu überprüfen, bevor Sie darauf klicken. Achten Sie bei der Überprüfung eines Links auf fehlende oder zusätzliche Buchstaben, Wörter, Rechtschreibfehler, Bindestriche und das Suffix der URL (z. B. google.mailru.co statt google.com).
- Speichern Sie Ihre Lieblingsseiten als Lesezeichen, damit Sie sie direkt öffnen können, ohne die URL in Ihren Webbrowser eintippen zu müssen.
- Oder Sie suchen nach den Webseiten in einer Suchmaschine und klicken dann auf der Ergebnisseite auf die URL.
- Nutzen Sie eine Spracherkennungssoftware, um auf beliebte URLs zu wechseln.
- Lassen Sie die Registerkarten von einigen oder allen Webseiten, die Sie täglich besuchen, in Ihrem Browser geöffnet. Die meisten gängigen Browser bieten die Möglichkeit, dort weiterzumachen, wo man aufgehört hat, oder eine Reihe von Websites anzugeben, mit denen man immer starten möchte.
So behalten Organisationen gegenüber Typosquatting-Angriffen die Nase vorn:
Registrieren Sie Varianten Ihrer Domäne, bevor Kriminelle es tun
Sichern Sie sich wichtige Domänennamen mit potenziellen Tippfehlern und leiten Sie sie auf Ihre Webseite um. Darüber hinaus sollten Sie auch andere Länderendungen und passende Top-Level-Domains, alternative Schreibweisen sowie Varianten mit und ohne Bindestrich reservieren. Einmal registriert, lassen sich falsch geschriebene Domänen per Umleitung auf die eigentliche Website einbinden.
Nutzen Sie den Service der ICANN
Die „Internet Corporation for Assigned Names and Numbers“ (ICANN) koordiniert u. a. die Vergabe von einmaligen Namen und Adressen im Internet. Besitzer von Webseiten können über das Trademark Clearing House der ICANN herausfinden, wie ihre Namen innerhalb verschiedener Domänen verwendet werden. Dieser Service steht sowohl national als auch international registrierten Marken zur Verfügung.
Signalisieren Sie Vertrauenswürdigkeit mit SSL-Zertifikaten
SSL-Zertifikate sind eine hervorragende Möglichkeit anzuzeigen, dass Ihre Webseite seriös ist. Sie geben dem Endbenutzer zu verstehen, mit wem er es zu tun hat, und schützen Nutzerdaten während der Übertragung. Ein fehlendes SSL-Zertifikat könnte darauf hindeuten, dass Sie auf eine alternative Webseite umgeleitet wurden.
Informieren Sie alle Betroffenen
Wenn Sie glauben, dass jemand im Namen Ihrer Organisation agiert (oder gerade daran arbeitet), lassen Sie Kunden, Mitarbeiter oder weitere Betroffene wissen, dass sie vor verdächtigen E-Mails oder einer Phishing-Webseite auf der Hut sein müssen.
Lassen Sie verdächtige Webseiten oder Mailserver schließen
Wie Sie eine Webseite schließen können, ist von Land zu Land verschieden. Wichtige Informationen hierzu finden Sie in der ICANN-Richtlinie Uniform Domain Name Dispute Resolution. Darin ist beschrieben, wie Inhaber von Handelsmarken gegen fragwürde Webseiten vorgehen können.
Aber auch wenn in den USA und anderen Ländern ein gewisser Schutz vor Typosquattern gegeben ist, ist der Rechtsweg oft beschwerlich und zeitaufwendig. Vorausschauende Maßnahmen, um sicherzustellen, dass Ihre Webseite gar nicht erst zur Zielscheibe von Typosquatting-Angriffen wird, sind da wesentlich empfehlenswerter. Wie bei den meisten Formen von Cyberangriffen ist ständige Wachsamkeit die beste Methode, um Typosquatting zu verhindern. Die Besucher Ihrer Webseite verlassen sich darauf, dass Sie gegen betrügerische Seiten vorgehen, die unter Ihrem Namen betrieben werden – andernfalls droht ein kaum wieder gut zu machender Vertrauensverlust.
Verwandte Artikel:
Definition und Erläuterung: Typosquatting
Kaspersky
