Warum Angriffe auf Look-Alike-Domains zunehmen

Es gibt viele Arten von Angriffen im Arsenal eines typischen Cyberkriminellen. Eine, die sich als besonders effektiv erwiesen hat und daher immer beliebter wird, besteht darin, Nutzern vorzugaukeln, dass sie auf eine Webseite klicken - oder eine E-Mail von einer Person oder Organisation (Geschäftspartner oder Website) erhalten, die sie zu kennen glauben und der sie vertrauen können.

Diese Interaktion war jedoch nur die neueste Möglichkeit, sensible Daten an einen Angreifer zu verlieren. In der Sicherheitsbranche ist die Rede davon, dass diese "Look-alike"- oder "Cousin-Domain"-Angriffe immer häufiger vorkommen.

In einem kürzlich erschienenen Artikel von Information Age wurden die wichtigsten Erkenntnisse des Cybersicherheitsunternehmens Venafi über Angriffe auf Online-Einkaufsseiten mit ähnlich aussehenden Domains hervorgehoben - Angriffe, die anscheinend zunehmen, da immer mehr Einzelhandelsgeschäfte online getätigt werden.

Bei diesen Angriffen ersetzen die Cyberkriminellen einige Zeichen in einer URL, um eine ähnliche, aber andere Domäne zu erstellen, und sie kopieren oft die Seiten der legitimen Website, um alles noch realistischer aussehen zu lassen. Sie wählen beliebte Websites oder Websites von Organisationen, mit denen Ihr Unternehmen Geschäfte macht, um sie nachzuahmen, und Benutzer mit einem ungeschulten Auge klicken einfach weiter und geben ahnungslos Daten ein. An diesem Punkt wird es für diese Angreifer unglaublich einfach, sensible Daten, Anmeldedaten und Geld von ahnungslosen Opfern zu stehlen.

In vielen Fällen verfügen diese Seiten über ein vertrauenswürdiges TLS-Zertifikat - die Sperre im Browser ist also vorhanden - und das macht es für die Nutzer noch schwieriger, eine legitime von einer illegalen Website zu unterscheiden.

Was Look-Alike-Domain-Angriffe für Geschäftsanwender bedeuten

Natürlich richten sich diese Angriffe nicht nur gegen Verbraucher. Ähnlich aussehende Domänen werden als Taktik gegen Geschäftsanwender eingesetzt, um Unternehmens-IP, Anmeldedaten oder Geld zu stehlen. Ein Angreifer könnte sich beispielsweise mit einer gefälschten Domain als Finanzchef eines Unternehmens ausgeben und eine E-Mail an einen untergeordneten Finanzmitarbeiter senden, in der er ihn auffordert, eine Überweisung auszuführen.

Die Verwendung von ähnlich aussehenden Domains ist zwar nicht neu, wird aber bei Angreifern immer beliebter. Mit dem Aufkommen internationalisierter Domänennamen, der Unterstützung vieler internationaler Alphabete im Internet und punycode ist die Zahl der möglichen Ähnlichkeiten, z. B. dass "rn" einem "m" ähnlich sieht, unendlich groß geworden.

Dies ist auch ein Bereich, in dem Schulungen zur Sensibilisierung der Benutzer nur bedingt weiterhelfen können. Die Kombination aus der Ausstellung gültiger Zertifikate und dem Scraping von HTML-Dateien legitimer Websites macht es nahezu unmöglich, diese Art von Angriffen allein durch die Sensibilisierung der Benutzer zu erkennen.

Glücklicherweise gibt es technische Mittel, wie z. B. fortschrittliche Ähnlichkeitsprüfungen als Teil eines E-Mail-Sicherheitssystems , die eingesetzt werden können, um solche Angriffe aufzuspüren, bei denen versucht wird, sich als bekannte Internet-Marken, Geschäftspartner des Unternehmens oder als die eigenen Domänen Ihres Unternehmens auszugeben.