So erkennen Sie Lookalike-Domains

Gefälschte Websites und E-Mail-Adressen werden häufig für Phishing und zielgerichtete Angriffe verwendet. Wie werden Fake-Domains erstellt, und wie erkennt man sie?

Sie erhalten eine E-Mail auf Ihrem Arbeitsgerät, in der Sie dazu aufgefordert werden, Ihr E-Mail-Passwort zu ändern, Ihre Urlaubstage zu bestätigen oder im Auftrag des Geschäftsführers eine dringende Geldüberweisung auszuführen. Hinter solchen unerwarteten Aufforderungen kann sich der Beginn eines Cyberangriffs auf Ihr Unternehmen verbergen, weshalb Sie sicherstellen müssen, dass es sich dabei nicht um einen Betrugsversuch handelt. Aber wie überprüfen Sie E-Mail-Adressen oder Links zu Websites auf ihre Authentizität?

Das Herzstück einer gefälschten E-Mail ist in der Regel ihr Domain-Name, d. h. der Teil der E-Mail nach dem @ oder der erste Abschnitt der URL. Damit soll beim Opfer Vertrauen erweckt werden. Sicherlich würden Cyberkriminelle nur zu gerne eine offizielle Domain des Zielunternehmens oder seiner Zulieferer und Geschäftspartner hijacken, aber in der Anfangsphase eines Angriffs ist diese Möglichkeit meist nicht gegeben. Stattdessen registrieren sie vor einem zielgerichteten Angriff eine Domain, die der des angestrebten Unternehmens sehr ähnlich sieht – und hoffen, dass der Unterschied nicht bemerkt wird. Derartige Methoden werden als Lookalike-Angriffe bezeichnet. Im nächsten Schritt wird eine gefälschte Website auf der betreffenden Domain gehostet oder gefälschte E-Mails von mit der Domain verknüpften Postfächern verschickt.

In diesem Beitrag befassen wir uns mit einigen Tricks, die Angreifer anwenden, um das sogenannte Domain-Spoofing vor Nutzern zu verbergen.

Homoglyphen: unterschiedliche Buchstaben, gleiche Schreibweise

Ein Trick besteht darin, ähnliche oder sogar ununterscheidbare Buchstaben zu verwenden. Zum Beispiel sieht ein kleines „L“ (l) in vielen Schriftarten genauso aus wie ein großes „i“ (I), sodass eine E-Mail, die von der Adresse JOHN@MlCROSOFT.COM verschickt wird, vermutlich selbst aufmerksame Empfänger täuschen würde. Die tatsächliche Adresse des Absenders lautet in diesem Fall natürlich john@mLcrosoft.com!

Die Anzahl der tückischen Doppelgänger ist gestiegen, seit die Registrierung von Domains in verschiedenen Sprachen möglich ist, einschließlich solcher, die nicht das lateinische Alphabet verwenden. Ein griechisches , aber für einen Computer sind es drei verschiedene Buchstaben. Dadurch ist es möglich, viele Domains zu registrieren, die auf den ersten Blick alle wie microsоft.cοm aussehen, dabei aber verschiedene Varianten des Buchstaben „o“ verwenden. Solche Techniken, bei denen visuell ähnliche Zeichen verwendet werden, sind als homoglyphische oder homografische Angriffe bekannt.

Combosquatting: fatales Anhängsel

Das so genannte Combosquatting ist in den letzten Jahren bei Cyberkriminellen sehr beliebt geworden. Zur Imitation einer E-Mail oder Website des Zielunternehmens erstellen Letztere eine Domain, die dessen Namen mit einem relevanten Hilfswort kombiniert, z. B. Microsoft-login.com oder SkypeSupport.com. Der Betreff der E-Mail und das Ende der Domain sollten übereinstimmen: So könnte beispielsweise eine Warnung vor unberechtigtem Zugriff auf ein E-Mail-Konto auf eine Website mit der Domain outlook-alert verweisen.

Erschwerend kommt hinzu, dass einige Unternehmen tatsächlich über Domänen mit entsprechenden Zusatzbezeichnungen verfügen. So ist beispielsweise login.microsoftonline.com eine völlig legitime Website von Microsoft.

Laut Akamai lauten die am häufigsten beim Combosquatting verwendeten Worte: support, com, login, help, secure, www, account, app, verify und service. Zwei davon – www und com – sollten gesondert erwähnt werden. Sie kommen häufig in den Namen von Websites vor, und unaufmerksame Nutzer übersehen vielleicht den fehlenden Punkt: wwwmicrosoft.com, microsoftcom.au.

Spoofing von Top-Level-Domains

Manchmal gelingt es Cyberkriminellen, einen Doppelgänger in einer anderen Top-Level-Domain (TLD) zu registrieren, z. B. microsoft.co anstelle von microsoft.com oder office.pro anstelle von office.com. In einem solchen Fall kann der Name des gespooften Unternehmens derselbe bleiben. Diese Technik wird als TLD-Squatting bezeichnet.

Ein solcher Austausch kann sehr effektiv sein. So wurde erst kürzlich berichtet, dass verschiedene Auftragnehmer und Partner des amerikanischen Verteidigungsministeriums seit über einem Jahrzehnt fälschlicherweise E-Mails an die Domain .ML, die der Republik Mali zugeordnet ist, statt an die Domain .MIL des amerikanischen Militärs gesendet haben. Allein im Jahr 2023 fing ein niederländischer Auftragnehmer mehr als 117.000 fehlgeleitete E-Mails ab, die an Mali statt an das Verteidigungsministerium gerichtet waren.

Typosquatting: falsch geschriebene Domains

Der einfachste (und früheste) Weg, Doppelgänger-Domains zu erzeugen, besteht darin, diverse Schreibfehler auszunutzen, die zwar leicht zu machen, aber schwer zu erkennen sind. Dabei gibt es viele Varianten: das Hinzufügen oder Entfernen von Doppelbuchstaben (ofice.com anstelle von office.com), das Hinzufügen oder Entfernen von Satzzeichen (cloud-flare oder c.loudflare anstelle von cloudflare), das Ersetzen ähnlich klingender Buchstaben (savebank anstelle von safebank), und so weiter.

Rechtschreibfehler wurden anfangs von Spammern und für den Anzeigenbetrug (Ad Fraud) eingesetzt, doch heutzutage werden solche Tricks in Verbindung mit falschen Website-Inhalten verwendet, um den Grundstein für Spear-Phishing und Business-E-Mail-Compromise (BEC) zu legen.

Maßnahmen zum Schutz vor Doppelgänger-Domains und Lookalike-Angriffen

Am schwierigsten zu erkennen sind Homoglyphen, die fast nie für legitime Zwecke verwendet werden. Aus diesem Grund versuchen Browser-Entwickler und teilweise auch Domain-Registrierungsstellen, sich gegen solche Angriffe zu schützen. In einigen Domain-Zonen ist es beispielsweise nicht erlaubt, Namen mit Buchstaben aus verschiedenen Alphabeten zu registrieren. Aber in vielen anderen TLDs gibt es keinen solchen Schutz, sodass man sich in diesem Fall auf zusätzliche Sicherheitstools verlassen muss. Richtig ist, dass viele Browser eine Spezialmethode zur Anzeige von Domainnamen haben, die eine Kombination aus verschiedenen Alphabeten enthalten. Dabei wird die URL in Punycode dargestellt, was in etwa wie folgt aussieht xn--micrsoft-qbh.xn--cm-fmc (das ist die Seite microsoft.com mit zwei russischen o’s).

Die beste Verteidigung gegen Typo- und Combosquatting ist übrigens Wachsamkeit. Um diese zu fördern, empfehlen wir allen Mitarbeitern eine grundlegende Infosec-Schulung, in der sie lernen, die wichtigsten Phishing-Techniken zu erkennen.

Bedauerlicherweise ist das Arsenal von Cyberkriminellen breit gefächert und keineswegs auf Lookalike-Angriffe beschränkt. Gegen sorgfältig ausgeführte Angriffe, die auf ein bestimmtes Unternehmen ausgerichtet sind, reicht bloße Aufmerksamkeit nicht aus. So erstellten Angreifer in diesem Jahr zum Beispiel eine gefälschte Website, die den Intranet-Zugang von Reddit für Mitarbeiter nachahmte und das Unternehmen erfolgreich kompromittierte. Aus diesem Grund müssen Infosec-Teams nicht nur über die Schulung ihrer Mitarbeiter nachdenken, sondern auch über wichtige Schutz-Tools:

  • Spezialisierter Schutz von Mail-Servern gegen Spam und Spear-Phishing. Zum Beispiel erkennt Kaspersky Security for Mail Server schädliche E-Mails mittels maschineller Lernmethoden und in Echtzeit aktualisierten Spam-Datenbanken. Außerdem ist das System in der Lage, verdächtige E-Mails in einer Sandbox zu „detonieren“ oder unter Quarantäne zu stellen.
  • Schutz für alle Arbeitsgeräte der Mitarbeitenden – inklusive Smartphones und PCs, die für die Arbeit genutzt werden. Dies erhöht nicht nur die Sicherheit im Allgemeinen, sondern ist besonders wichtig, um schädliche Links und Dateien abzufangen, die nicht per E-Mail, sondern über andere Kanäle wie soziale Netzwerke verschickt werden.
Tipps