Aktuelles, Branche, Studien - geschrieben von dp am Mittwoch, September 2, 2020 20:15 - noch keine Kommentare
Cybersquatting: Angreifer imitieren Domains großer Marken
Missbrauch von facebook, Apple, Amazon und Netflix, um Verbraucher mit falschen Domains hinters Licht zu führen
[datensicherheit.de, 02.09.2020] Palo Alto Networks geht in einer aktuellen Stellungnahme auf den Umstand ein, dass Benutzer im Internet auf Domain-Namen angewiesen sind, um Marken, Dienstleistungen, Fachleute und persönliche Websites zu finden. Cyber-Kriminelle machten sich dies zunutze, indem sie Namen registrieren ließen, „die mit bestehenden Domains oder Marken in Verbindung zu stehen scheinen“ – von Experten „Cybersquatting“ genannt. IT-Sicherheitsforscher von Palo Alto Networks haben nach eigenen Angaben diesen Trend ausführlich untersucht und unter anderem eine „Top 20“-Liste der am häufigsten missbrauchten Domains erstellt.
Zweck des Squattings von Domains besteht darin, die Benutzer zu verwirren
Absicht der Cyber-Kriminellen sei es, von Benutzerfehlern zu profitieren: Der Zweck des Squattings von Domains bestehe darin, die Benutzer zu verwirren – sie sollten glauben, „dass die angepeilten Marken (wie Netflix) diese Domainnamen besitzen (wie netflix-payments[.]com), oder um von Tippfehlern der Benutzer zu profitieren (wie whatsalpp[.]com für WhatsApp)“.
Während Cybersquatting gegenüber Benutzern nicht immer böswillig sei, sei es indes in den USA illegal. Squatting-Domains würden häufig für Angriffe verwendet oder umgenutzt.
Im Dezember 2019 13.857 Squatting-Domains registriert
Das Squatting-Erkennungssystem von Palo Alto Networks habe entdeckt, dass im Dezember 2019 13.857 Squatting-Domains registriert worden seien – durchschnittlich also 450 pro Tag. „Die Forscher fanden heraus, dass 2.595 (18,59 Prozent) besetzte Domainnamen bösartig sind und häufig Malware verbreiten oder Phishing-Angriffe durchführen. 5.104 (36,57 Prozent) besetzte Domains, die untersucht wurden, stellen ein hohes Risiko für die Benutzer dar, die sie besuchen.“
Es gebe somit Beweise für eine Verbindung mit bösartigen URLs innerhalb der Domain oder für die Nutzung von „Bullet-Proof-Hosting“.
Domain-Squatter bevorzugen profitable Ziele
Palo Alto Networks hat demnach eine Rangliste der „Top 20“ der am meisten missbrauchten Domains im Dezember 2019 erstellt, basierend auf der angepassten Malware-Rate, „was bedeutet, dass eine Domain entweder mit vielen Squatting-Domains in Verbindung steht oder die meisten dieser Squatting-Domains nachweislich bösartig sind“.
Die Forscher hätten herausgefunden, dass Domain-Squatter profitable Ziele bevorzugten, wie z.B. Mainstream-Suchmaschinen und Soziale Medien, Finanz-, Shopping- und Bank-Websites. Benutzer würden dort zu Zielen für Phishing und Betrügereien, um sensible Zugangsdaten oder Geld zu stehlen.
Vielzahl bösartiger Domains mit unterschiedlichen Zielen
Von Dezember 2019 bis heute hätten die Forscher eine Vielzahl von bösartigen Domains mit unterschiedlichen Zielen beobachtet:
- Phishing: Eine Domain im Zusammenhang mit Wells Fargo (secure-wellsfargo[.]org) habe auf Kunden abgezielt, um vertrauliche Informationen zu stehlen, einschließlich E-Mail-Zugangsdaten und Geldautomaten-PINs. Außerdem sei eine Domain im Zusammenhang mit Amazon, die speziell auf mobile Benutzer in Indien abziele, (amazon-india[.]online) eingerichtet worden, um Benutzeranmeldeinformationen zu stehlen.
- Verbreitung von Malware: Eine Domain im Zusammenhang mit Samsung (samsungeblyaiphone[.]com) habe die „Azorult“-Malware zum Stehlen von Kreditkarteninformationen gehostet.
- „Command-and-Control“ (C2): Domains im Zusammenhang mit Microsoft (microsoft-store-drm-server[.]com und microsoft-sback-server[.]com) versuchten C2-Angriffe durchzuführen, um ein ganzes Netzwerk zu kompromittieren.
- „Re-bill Scam“ (Betrug durch erneute Rechnungsstellung): Mehrere Phishing-Websites im Zusammenhang mit Netflix (wie z.B. netflixbrazilcovid[.]com) seien eingerichtet worden, um das Geld der Opfer zu stehlen. Hierbei böten sie zunächst eine kleine Anfangszahlung für ein Abonnement für ein Produkt wie Gewichtsabnahmepillen an. „Wenn Benutzer das Abonnement jedoch nach dem Aktionszeitraum nicht kündigen, werden ihre Kreditkarten mit viel höheren Kosten belastet, in der Regel 50 bis 100 US-Dollar.“
- Potenziell unerwünschtes Programm (PUP): Domains im Zusammenhang mit Walmart (walrmart44[.]com) und Samsung (samsungpr0mo[.]online) verbreiteten potenziell unerwünschte Programm wie Spyware, Adware oder eine Browser-Erweiterung. Sie führten in der Regel unerwünschte Änderungen durch, wie das Ändern der Standardseite des Browsers oder das Hijacken des Browsers zum Einfügen von Werbung. „Bemerkenswert ist, dass die Samsung-Domain wie eine legitime australische Bildungsnachrichten-Website aussieht.“
- „Technical Support Scam“: Domains im Zusammenhang mit Microsoft (wie z.B. microsoft-alert[.]club) versuchten, Benutzer dazu zu verleiten, für gefälschten Kundensupport zu bezahlen.
- „Reward Scam“: Eine Domain im Zusammenhang mit facebook (facebookwinners2020[.]com) betrüge Benutzer mit Belohnungen wie kostenlosen Produkten oder Geld. Um den Preis zu bekommen, müssten Benutzer ein Formular mit ihren persönlichen Daten wie Geburtsdatum, Telefonnummer, Beruf und Einkommen ausfüllen.
- Domain-Parking: Eine auf die RBC Royal Bank (rbyroyalbank[.]com) hindeutende Domain nutze einen beliebten Parking-Service, „ParkingCrew“, um einen Gewinn zu erzielen, der davon abhänge, wie viele Benutzer auf der Website landen und auf die Werbung klicken.
Verbraucher sollten Domainnamen korrekt eingeben und überprüfen, ob Inhaber vertrauenswürdig sind
Die Forscher von Palo Alto Networks hätten Domain-Squatting-Techniken wie „Typo-Squatting“, „Combo-Squatting“, „Level-Squatting“, „Bit-Squatting“ und „Homograph-Squatting“ untersucht. Böswillige Akteure könnten diese Techniken zur Verbreitung von Malware oder zur Durchführung von Betrugs- und Phishing-Kampagnen einsetzen. Um Squatting-Domains aufzuspüren, habe Palo Alto Networks ein automatisiertes System entwickelt, mit dem aufkommende Kampagnen von neu registrierten Domains sowie von passiven DNS (pDNS)-Daten erfasst werden könnten.
Palo Alto Networks identifiziere bösartige und verdächtige Squatting-Domains und ordne sie den entsprechenden Kategorien zu (z.B. Phishing, Malware, C2 oder Grayware). Ferner werde Unternehmen empfohlen, „ihren Datenverkehr zu blockieren und genau zu überwachen“, während Verbraucher darauf achten sollten, „dass sie Domainnamen korrekt eingeben, und vor dem Besuch von Websites überprüfen, ob die Domaininhaber vertrauenswürdig sind“.
Squatting-Domains häufig für Aktivitäten wie Phishing, Verbreitung von Malware und PUPs, C2 sowie verschiedene Betrügereien genutzt
„Zusammenfassend lässt sich sagen, dass Domain-Squatting-Techniken sich die Tatsache zunutze machen, dass sich die Nutzer auf Domainnamen verlassen, um Marken und Dienstleistungen im Internet zu identifizieren.“ Diese Squatting-Domains würden häufig für Aktivitäten wie Phishing, Verbreitung von Malware und PUPs, C2 und verschiedene Betrügereien genutzt. „Es wurde eine hohe Rate böswilliger und verdächtiger Nutzung unter Squatting-Domains beobachtet. Daher ist eine kontinuierliche Überwachung und Analyse dieser Domains zum Schutz der Benutzer erforderlich.“
Palo Alto Networks überwache neu registrierte Domains und neu beobachtete Hostnamen aus pDNS- und Zonendateien, um aufkommende Squatting-Kampagnen zu erfassen. Die automatische Pipeline veröffentliche die von ihr erkannten Domains an „URL Filtering“ und „DNS Security“ unter Verwendung der entsprechenden Kategorie, einschließlich Malware, Phishing, C2 oder Grayware. „Bei der Analyse des Squatting-Ökosystems stellten die Forscher fest, dass Domain-Squatter bestimmte Arten von Zieldomains, Registraren, Hosting-Diensten und Zertifizierungsstellen bevorzugen.“
Folgenden Attribute sind bei gefährlichen Squatting-Domains üblich:
- Domainnamen, die auf bekannte Finanz-, Einkaufs- und Bankdomains abzielen.
- Domains, die häufig missbrauchte Registrare und Hosting-Dienste nutzen.
- Domains, die nicht über vollständig validierte SSL-Zertifikate verfügen.
Daher rät Palo Alto Networks allen Benutzern, „beim Umgang mit diesen Domains vorsichtiger zu sein“.
Weitere Informationen zum Thema:
palalto NETWORKS, UNIT42, Zhanhao Chen & Janos Szurdi, 01.09.2020
Cybersquatting: Attackers Mimicking Domains of Major Brands Including Facebook, Apple, Amazon and Netflix to Scam Consumers
datensicherheit.de, 01.03.2020
Palo Alto Networks warnt vor neuer Phishing-Kampagne
Aktuelles, Experten, Studien - Nov 8, 2024 19:30 - noch keine Kommentare
it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
weitere Beiträge in Experten
- KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf
- eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz
- US-Angemessenheitsbeschluss und Datenschutz bei Strafverfolgungsbehörden – EDSA bezieht Position
- Neue Grundsatzentscheidung zwingt Notare zur Ermittlung von Daten für das Nachlassverzeichnis
- Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung
Aktuelles, Branche - Nov 8, 2024 19:20 - noch keine Kommentare
Sophos X-Ops analysieren Cyber-Attacken per Quishing
weitere Beiträge in Branche
- ONEKEY-Report warnt Industrie vor Einkauf von Cyber-Sicherheitslücken
- SweetSpecter hatte OpenAI im Visier
- Smart Cities: Aspekte der Sicherheit in urbaner Zukunft
- Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor
- Trinity-Ransomware: Vorfall zeigt, warum starke Sicherheitskultur unverzichtbar auch für den Gesundheitssektor ist
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren