Europa-Banner

Doppelgänger-Domains – Ein Schlupfloch für Datenklau?

Ein großes Risiko für Betriebs- und Geschäftsgeheimnisse ist der böswillige Einsatz von Tippfehler-Domains. Dies folgert das Sicherheitsunternehmen Godai Group LCC nach der Auswertung verdeckter Recherchen um die sog. „Fortune 500“ die, laut dem US-Wirtschaftsmagazins Fortune, 500 umsatzstärksten Unternehmen der Welt.

Das böswillige Registrieren von Tippfehler-Domains, zumeist mit dem Zweck der gewinnbringenden Veräußerung, existiert seit dem Beginn des Domainhandels. Die Studie mit dem Namen „Doppelgänger-Domains“ enttarnte entsprechende Tippfehler-Domains nun als große Schwachstelle unternehmerischer Kommunikation. Fokus der Studie war hier  der Einsatz von Subdomains wie ustoshiba.com für us.toshiba.com. Dieses Subdomain-Muster wird oft von weltweit tätigen Unternehmen zur regionalen Ausrichtung genutzt. Die Studie ergab, dass 151 der Top 500 Unternehmen, also 30% anfällig für Tippfehler-Domain Angriffe waren.

Untersuchte Attacken:

Passive Attacken – In diesem Fall registriert ein Angreifer die Tippfehler-Domain, um den Mailserver so zu konfigurieren, damit alle über diese Domain versandten E-Mails an Ihn umgeleitet werden (sog. „catch-all“). Weiter werden Tippfehler-Domains aktiv im Bereich Social Media eingesetzt, um somit vertrauliche Informationen zu beschaffen. Binnen eines halben Jahres konnten 120.000 E-Mails mit einer Datenmenge von 20 Gigabyte an Rechnungen, Diagrammen, Kreditkarteninformationen und Passwörtern abgefangen werden.

Aktive Attacken – Hier zeigt Godai, dass die Kommunikation von zwischen zwei „Fortune  500“ unternehmen sehr einfach abgefangen werden kann.

Nach einer Überprüfung der WhoIs-Daten aller Fortune 500 Unternehmen, stellte Godai fest, dass einige der größten mit Standort in China mit registrierten Malware und Phishing Domains assoziierten werden. Godai warnt hier, im Bezug auf die 20GB Daten, die in der Studie abgefangen werden konnten, das ein böswilliger Angreifer hier deutlich mehr Schaden anrichten könnte.

Zum Schutz vor böswilligen Angriffen ist der Kauf und Registrierung möglicher Domain-Doppelgänger sowie eine zentrale Domainverwaltung besonders wichtig. Weiter sollte der DNS intern so konfiguriert werden, damit Doppelgänger Domainnamen nicht aufgelöst werden können, besonders wenn das Unternehmen nicht im Besitz dieser ist. Dies schützt vor dem versehentlichen Versenden interner E-Mails an Doppelgänger Domains. Eine Alternative zur Konfiguration des internen DNS für Doppelgänger Domains ist es, den Mailserver so zu konfigurieren, dass dieser keine Doppelgänger Domains als E-Mail Ziel erlaubt. Auch die interne Kommunikation der Angriffsmethoden mit Benutzern, Kunden und Geschäftspartnern ist sehr wichtig. Je mehr Bewusstsein sie für sozial-technische Angriffe haben, desto weniger anfällig sind sie dafür.

Zur Studie: "Doppelgänger Domains"