Typosquatting: Infizierung ausgelöst durch Tippfehler

Oft werden Webseiten kompromittiert und als Verteiler für Schadprogramme missbraucht. Und natürlich gibt es zahlreiche Arten, die Opfer auf solche Seiten zu locken – eine davon ist das so genannte“Typosquatting”.

Typosquatters threat

Oft werden Webseiten kompromittiert und als Verteiler für Schadprogramme missbraucht. Und natürlich gibt es zahlreiche Arten, die Opfer auf solche Seiten zu locken – eine davon ist das so genannte“Typosquatting“.

Beim Eintippen von Web-Adressen in den Browser macht man schnell einmal Tippfehler. Cyberkriminelle nutzen das oft aus und bringen den Anwender damit auf schädliche Webseiten, statt auf die eigentlich gewünschte Seite. Dieses Ausnutzen von Tippfehlern nennt man auch „Typosquatting“ – eine Kombination der englischen Begriffe für Tippfehler (typo) und besetzen (squat). Manchmal nennt man es auch „URL-Hijacking“. Cyberkriminelle registrieren dafür Domain-Namen, die denen beliebter Seiten ähneln, und warten dann auf die Opfer, die einen legitimen Domain-Namen versehentlich falsch eingeben. Für Geschäfte ist das eine enorme Störung und so gab es schon einige Gerichtsverfahren von Firmen gegen den Namensmissbrauch durch cyberkmrinelle Typosquatter.

Für die Kunden ist das Typosquatting eine ernste Bedrohung. Kommen Anwender versehentlich auf solche Typosquatting-Seiten, sind das im Idealfall nur unerwünschte Spam-Seiten, oft aber auch Schlimmeres – denn die Seiten sind eventuell mit Schadprogrammen versucht.

Für die Kunden ist das Typosquatting eine ernste Bedrohung. Kommen Anwender versehentlich auf solche Typosquatting-Seiten, sind das im Idealfall nur unerwünschte Spam-Seiten, oft aber auch Schlimmeres – denn die Seiten sind eventuell mit Schadprogrammen versucht.

Ein typischer Fall von Gmail-Missbrauch

Lassen Sie mich kurz erklären, was wir tun, um Infizierungen durch Schadprogramme zu reduzieren. Wenn wir eine kompromittierte Webseite entdecken, kontaktieren wir den Administrator und warnen ihn. Hier ein Beispiel: Die unten angegebenen Informationen sind WHOIS-Informationen einer Webseite, die unabsichtlich Schadprogramme verbreitet. Im Feld „Administrative Contact“ sehen Sie „A***3JP“. Dies ist ein JPNIC-Name, der vom Japan Registry Service (JPRS) verwaltet wird. Das ist der Schlüssel, um herauszufinden, wer der Administrator der infizierten Seite ist (in anderen Fällen ist hier oft auch eine E-Mail-Adresse angegeben).

Typosquatting 1

Also finden wir heraus, wer die A***3JP-Domain administriert:

 Typosquatting 2

Die Adresse im Feld „E-Mail“ müssen wir kontaktieren, um den Administrator über die Infizierung seiner Webseite zu informieren. Diese Warnung von Administratoren ist ein wichtiger Teil des Kampfes gegen Schadprogramme. Als wir uns das Ganze näher angesehen haben, entdeckten wir allerdings einen Makel an der E-Mail-Adresse: Sie sieht aus wie eine Gmail-Adresse (xxx@gmail.com), ist aber in Wirklichkeit keine, denn es fehlt ein Buchstabe.

In manchen Ländern ist die korrekte Registrierung von Domain-Informationen gesetzlich vorgeschrieben. In Japan sind diese Informationen allerdings nicht immer korrekt, und noch schlimmer ist, dass auch falsche Informationen absichtlich registriert werden. Wenn eine registrierte E-Mail-Adresse nicht richtig ist, können wir den Administrator nicht über die Infizierung informieren, und so wird er vielleicht nie erfahren, dass er zum Opfer von Cyberkriminellen wurde und gleichzeitig auch andere Anwender zu Opfern macht. Doch in diesem Fall ist klar, warum die Gmail-ähnliche Domain genutzt wird: Es ist eine Typosquatting-Falle, die nur darauf wartet, dass arglose Anwender den angebotenen schädlichen Installer herunterladen.

Es stellte sich sogar heraus, dass die Seite mit der Gmail-ähnlichen Adresse in verschiedenen Sprachen angezeigt werden kann, je nachdem welche Sprache der Besucher der Seite eingestellt hat. Unter anderem spricht die Seite Deutsch, Japanisch, Spanisch, Italienisch, Holländisch, Polnisch, Portugiesisch, Russisch, Schwedisch und Türkisch. Warum Englisch fehlt, ist uns nicht bekannt. Schauen Sie sich die folgenden Screenshots der Seite an – ihr legitimes Aussehen kann viele arglose Besucher dazu bringen, das Objekt herunterzuladen und zu installieren.

Japanisch:

 Typosquatting 3

Russisch:

Typosquatting 4

Sie sehen also, wie wichtig das korrekte Registrieren von Domains ist, und wie leicht man durch Typosquatting hereingelegt werden kann. Typosquatting ist nicht neu: Im Grunde ist es eine klassische Methode, mit der Anwender hereingelegt werden. Sie ist schon seit einigen Jahren bekannt, doch die Zahl der Opfer von Typosquatting wächst nach wie vor. Zwar ist die Bedrohung eher passiv und wartet darauf, dass sich die Anwender vertippen, doch das passiert uns allen hin und wieder. Um sich vor Typosquatting-Schadprogrammen zu schützen, sollten Sie regelmäßig Ihr Betriebsystem und Ihre Sicherheitssoftware aktualisieren.

Tipps