Das im Combosquatting am häufigsten verwendete Wort ist „Support“.
Zusammenfassung
Cybersquatting (auch Domain Squatting oder URL-Hijacking genannt) kommt häufig bei Phishing-Kampagnen, Identitätsdiebstahl und Installationsversuchen von Malware zum Einsatz.
Combosquatting übertrifft das Typosquatting sowohl in Bezug auf die Anzahl aktiver Domains als auch in der Anzahl der geklickten Links, was es zur gegenwärtig größten Bedrohung aus dem Bereich Cybersquatting macht.
Wir haben den globalen DNS-Traffic und interne Listen schädlicher Domains analysiert, um häufig verwendete Schlüsselwörter zu identifizieren.
Wir haben Beispiele der 50 beliebtesten Combosquatting-Schlüssel zusammengestellt.
Einführung
Cyberkriminelle imitieren täglich die Websites von Marken. Deren Betrieb wäre in der Praxis schwer umzusetzen; so wäre beispielsweise schwierig, das dazu notwendige physische Gebäude zu bekommen. Online jedoch können diese Cyberkriminellen gut konzipierte, ähnlich aussehende Websites hosten, die imitierte Domainnamen umfassen.
Häufig werden diese Websites auf Domänennamen gehostet, die der Domain der ursprünglichen Marke sehr ähnlich sind. Wir bezeichnen diese als „Cybersquatted Domains“.
Unsere Analyse schädlicher Domains hat gezeigt, dass Combosquatting die größte Bedrohung aus dem Bereich Cybersquatting ist. In diesem Beitrag zeigen wir, wie wir Combosquatting im DNS-Traffic erkennen können, und listen die häufigsten Combosquatting-Schlüsselwörter auf, die Angreifer verwenden, um Unternehmen und Einzelpersonen gleichermaßen zu täuschen.
Was ist Cybersquatting?
Bei Cybersquatted Domains handelt es sich um Domainnamen, die Cyberkriminellen registriert haben und verwenden, um vom Geschäftswert einer Marke oder eines Namens zu profitieren, obwohl sie nicht die Eigentümer sind. Cybersquatting wird häufig als Wegbereiter für Kampagnen zur Installation von Ransomware (z. B. durch Malvertising), Phishing-Versuche oder Identitätsdiebstahl angesehen.
Varianten von Cybersquatting
Es gibt in der Praxis verschiedene Arten von Cybersquatting. Tabelle 1 zeigt die Unterschiede zwischen ihnen anhand der fiktiven Marke Safebank[.]com.
Variante |
Beschreibung |
Beispiel für safebank[.]com |
|---|---|---|
Combosquatting |
Der Markendomäne wird ein Schlüsselwort hinzugefügt |
safebank-security[.]com |
Typosquatting |
Ein Zeichen wird hinzugefügt, ersetzt oder ausgetauscht |
safebqnk[.]com |
Bitsquatting |
Zufälliges Verdrehen des ASCII-Parts |
sagebank[.]com |
IDN-Homograph-Squatting |
Verwendung ähnlich aussehender Zeichen |
sǎfebank[.]com |
TLD-Squatting |
Ersetzen der Top-Level Domain (TLD) |
safebank[.]co |
Soundsquatting |
Verwendung von Homophonen |
savebank[.]com |
Dotsquatting |
Einfügen von einem oder mehreren Punkten |
sa.febank[.]com |
Tabelle 1: Die Varianten von Cybersquatting
Unter diesen Varianten muss das Dotsquatting separat erwähnt werden. Während unserer Recherche in vorhandener Literatur fanden wir davon keine Erwähnung. Da in unseren Daten jedoch häufig Fälle von Dotsquatting auftauchen, haben wir es als eigene Kategorie eingestuft. Dotsquatting ist der beschreibende Name, den unser Team dieser Variante gegeben hat, um so haben wir es auch hier genannt.
Wie die Varianten interagieren
Es gibt einige Parallelen zwischen den verschiedenen Arten von Squatting, insbesondere zwischen dem Bitsquatting und dem Typosquatting. Das obige Beispiel zum Bitsquatting ist ein Beleg dafür: Da das „g“ auf einer QWERTY-Tastatur neben dem „f“ steht, könnte dies auch als Typosquatting betrachtet werden.
Diese Arten schließen sich auch nicht gegenseitig aus. Ein einzelner Domainname kann auch eine Kombination aus mehrere Arten von Squatting sein, z. B. safebank-security[.]co, das sowohl als Combosquatting als auch als TLD-Squatting angesehen werden kann.
Und schließlich deckt Tabelle 1 nicht alle Arten von Cybersquatting ab, die es in der Praxis gibt. Und es werden wahrscheinlich in Zukunft noch mehr Varianten entstehen, da sich diese Angriffsvektoren sich tendenziell weiterentwickeln.
Monetarisierung von Cybersquatting
Finanzielle Schäden und die Auswirkungen von Cybersquatting gibt es schon seit vielen Jahren, doch es bleibt weiterhin eine enorme Bedrohung sowohl für Unternehmen als auch für Einzelpersonen.
Der Begriff wird auch in allgemeineren Kontexten verwendet. Typische Methoden aus diesem Bereich sind Domainnamen-Warehousing und Domainnamen-Frontrunning. Jemand kauft zum Beispiel coke[.]net (TLD-Squatting) und versucht, die Domain mit hohem Gewinn an die Coca-Cola Company zu verkaufen. Eine weitere häufig vorkommende Art der Monetarisierung ist Affiliate Marketing durch Hit Stealing. Beispielsweise die Registrierung von Payypal[.]com und das anschließende Weiterleiten von Besuchern an die echte Website über einen Referenzcode. Es werden sehr viele Angriffe durchgeführt, und meistens sind sie erfolgreich. Diese Erfolge aus der Vergangenheit führten dazu, dass verschiedene Gesetze und Vorschriften entstanden, einschließlich des U.S. Anti-Cybersquatting Consumer Protection Act (ACPA).
Beispiele für erfolgreiches Cybersquatting
2023 wurde Reddit Opfer einer gezielten Phishing-Kampagne. Teil des Angriffs war eine Website, die auf einer Cybersquatted Domain gehostet wurde und das Verhalten des Intranet-Gateways klonte, Diese Domain benennt Reddit implizit in seiner Security Incident Response. Die Cyberkriminellen haben sich Zugang zu eingeschränkten Informationen von Mitarbeitern und Werbetreibenden verschafft.
2011 wurde Facebook zum Opfer eines Angriffs mit mehr als 100 ähnlich aussehende Domainnamen, die durch einfache Schreibfehler entstanden sind. Facebook erhielt später Schadenersatz in Höhe von fast 2,8 Millionen US-Dollar.
Es können auch Verbraucher direkt ins Visier genommen werden. Im Oktober 2022 meldete BleepingComputer eine umfangreiche Typosquatting-Kampagne mit dem Ziel, Menschen dazu zu bringen, mit Malware infizierte Apps zu installieren. Die Opfer infizierten sich mit Keyloggern und Malware, die Anmeldedaten von Bankkonten und Wallets von Kryptowährung gestohlen hat.
Die Beliebtheit von Combosquatting
In unserer Analyse von 2022 war Combosquatting die häufigste Art von Cybersquatting was eindeutige Domainnamen angeht. Mit anderen Worten: Cyberkriminelle nutzen viel häufiger Combosquatting als Teil ihres Angriffsvektors als andere Arten von Cybersquatting.
Combosquatting schien auch die meisten DNS-Abfragen zu generieren, wobei jede dieser Abfragen ein potenzielles Opfer darstellt, das eine schädliche Domain besucht.
Diese beiden Fakten machen das Combosquatting laut unserer Analyse zur größten Bedrohung im Bereich Cybersquatting.
Typosquatting bekommt mehr Aufmerksamkeit
Diese Erkenntnisse unseres Teams decken sich mit den Ergebnissen einer groß angelegte Studie von 2017, die sich speziell auf Combosquatting konzentriert hat: „Wir stellen fest, dass Combosquatting-Domänen 100 Mal häufiger vorkommen als Typosquatting-Domains.“
Trotz alledem haben wir den Eindruck, dass das Typosquatting – nicht das Combosquatting – die Variante ist, die in Forschung, Blogs und Zeitschriften die größte Aufmerksamkeit erhält. Als Forscher konnten wir keine Daten finden, die diese Aufmerksamkeit für das Typosquatting rechtfertigen. Die Daten, die wir gesehen haben, lassen uns vermuten, dass es Cyberkriminellen mehr als gelegen kommt, dass das Typosquatting die meiste Aufmerksamkeit erhält. So bleibt das Combosquatting weiterhin unter dem Radar.
Schlüsselwörter im Combosquatting
Denken Sie immer daran: Combosquatting ist eine Variante des Cybersquatting, bei der der Domain der Marke ein Schlüsselwort hinzugefügt wird. Hier sind einige weitere Beispiele für safebank[.]com:
safebank-members[.]com
mysafebank[.]com
login-safebank[.]com
Aber wie definieren wir ein Schlüsselwort? Wenn wir uns die obigen Beispiele ansehen, sehen wir Schlüsselwörter wie„members“ „my“und„login“,die an die Markesafebank angehängt werden.Dies geschieht durch einen Bindestrich (login-safebank) oder einfach durch eine direkte Verkettung (mysafebank) auf beiden Seiten des Wortes.
Die Schlüsselwörter sollen bestimmte Gefühle auslösen, wie in Tabelle 2 dargestellt.
Schlüsselwörter |
Gefühle |
|---|---|
Verifizierung, Konto, Anmeldung |
Sicherheit, Autorität |
Jetzt, Alarm |
Dringlichkeit |
Gratis, Aktion |
Angst, etwas zu verpassen |
Tabelle 2: Beispiele für Schlüsselwörter und die Gefühle, die sie auslösen
Markennamen sind nicht gleichbedeutend mit Legitimität
Der Markenname (safebank) lässt den Link legitim wirken. Die Tatsache, dass ein Link einen Markennamen enthält, macht ihn natürlich nicht sicher. Nichts hindert Menschen daran, Domainnamen mit markenrechtlich geschützten Markennamen zu registrieren. Es ist klar, dass das Ziel des Angreifers hier darin besteht, beim Nutzer eine schnelle, emotionale Reaktion anstatt einer rationalen auszulösen. Die Kombination der Marke mit einem Stichwort scheint eine sinnvolle Möglichkeit zu sein, das zu erreichen.
Wie nutzen wir dieses Wissen, um Menschen zu schützen?
Als Forschungsteam im Bereich Cybersicherheit verfügen wir über die leistungsfähigste aller Waffen: Daten! Wir haben Zugriff auf eine riesige Liste von Domains, die wir als schädlich gekennzeichnet haben. Diese Liste teilen wir mit unseren Kunden und sie ermöglicht ihnen, Endnutzer beim Surfen im Internet zu schützen. Darüber hinaus können wir DNS-Traffic-Daten verwenden, um Trends bei Schlüsselwörtern, die in neuen Domains vorkommen, zu beobachten, und zwar sowohl in gutartigen als auch in schädlichen Domains.
Schlüsselwortermittlung auf Grundlage von Daten
Es ist wichtig zu erwähnen, dass der Datensatz, den wir für diese Analyse verwendet haben, nur schädliche Phishing-Domains enthält. Dadurch konnten wir uns ausschließlich darauf konzentrieren, welche Schlüsselwörter Angreifer gegenwärtig aktiv verwenden. Jede Eingabe wurde durch mehrere interne Prozesse als Phishing-Angriff markiert, um Genauigkeit zu gewährleisten. In diesem Abschnitt erläutern wir kurz, wie wir die Liste der häufig verwendeten Schlüsselwörter zusammengestellt haben.
Die Analyse beginnt
Sie erinnern sich vielleicht daran, dass Schlüsselwörter mal durch einen Bindestrich an eine Marke angehängt und mal direkt mit dem Namen verkettet werden.
Die ehemaligen Schlüsselwörter sind leicht zu finden – wir müssen einen Domainnamen nur mit Bindestrichen unterteilen, da Bindestriche natürliche Trennzeichen sind. Zum Beispiel: Nehmen wir an, wir haben eine Domain amazon-e[.]com. Der Bindestrich ist ein eindeutiger Hinweis darauf, wobei es sich um die die Schlüsselwörter handel: Der Markenname Amazon und das Schlüsselwort e. Ganz einfach.
Die direkt verketteten Schlüsselwörter stellen jedoch eine viel größere Herausforderung dar. Sie erfordern eine Vielzahl von Wissenspunkten, wie Sprache, lokalisierte Marken und sogar Browserverhalten. Überlappungen von Schlüsselwörtern sind ein häufiges Beispiel dafür.
Werfen wir einmal einen Blick auf amazone[.]com. Hier können wir nicht sagen, ob es sich um die Marke Ama (Italienischer Hersteller von Lederschuhen), Amaz (Griechischer Damenmode-Designer) oder Amazon (Amerikanisches Technologieunternehmen) handelt. Diese Domain bietet die folgenden Optionen von Schlüsselwörtern: zone, one, e, die alle valide wären.
Filtern der Domains
Jetzt vereinfachen wir die Aufgabe erheblich. Wir beschränken die Analyse auf die erste Art von Schlüsselwörtern, die einfach zu extrahieren sind: Die Domainnamen, die Bindestriche enthalten. Wegen der schieren Menge an Daten sollte die Verteilung innerhalb dieser Teilmenge der Verteilung innerhalb des gesamten Datensatzes entsprechen.
Kurz gesagt, der ursprüngliche Prozess umfasste vier Hauptschritte:
Die Domainnamen aus unserer Phishing-Liste als Eingabe verwenden
Die TLD entfernen
Die verbleibende Liste nach gängigen Markennamen filtern
Durch einen Bindestrich trennen
Sobald diese vier Schritte abgeschlossen sind, sammeln wir alle daraus resultierenden Wörter in einer langen Liste. Wir haben diese Liste weiter verfeinert (indem wir die Markennamen entfernt haben), sodass nur die Schlüsselwörter übrig blieben. Schließlich haben wir alle Schlüsselwörter kompiliert und gezählt.
Die 50 beliebtesten Combosquatting-Schlüsselwörter
Durch den oben beschriebenen Filterprozess bleiben die beliebtesten Combosquatting-Schlüsselwörter für bekannte Marken übrig. Wir wissen, dass das zutrifft, da es sich bei den Eingaben selbst um bestätigte Phishing-Domänen aus der Vergangenheit handelt.
In Tabelle 3 zeigt die 10 häufigsten Combosquatting-Schlüsselwörter, die dieser Prozess ergeben hat, geordnet nach Beliebtheit und Häufigkeit ihrer Verwendung. Die vollständige Liste der Top 50 finden Sie in unserem GitHub.
Rang |
Keyword |
|---|---|
1 |
support |
2 |
com |
3 |
login |
4 |
help |
5 |
secure |
6 |
www |
7 |
account |
8 |
app |
9 |
verify |
10 |
service |
Tabelle 3: Die 10 Schlüsselwörter, die am häufigsten verwendet werden, in der Reihenfolge ihrer Beliebtheit
So erhalten wir einen sehr klaren Überblick, welche Schlüsselwörter Angreifer benutzen, um Opfer zu betrügen. Wie Sie sehen, ist das am häufigsten verwendete Schlüsselwort im Combosquatting „Support.“ Der Grund dafür ist wahrscheinlich, dass legitime Supportseiten häufig Portale innerhalb einer Site sind, sodass die URL ungefähr so aussieht: support[.]company-name[.]com.
Überraschungen
Überraschenderweise fanden wir „com“. Von diesem Schlüsselwort haben wir nicht erwartet, dass es einen so hohen Platz in der Rangfolge einnimmt, und wir das hätten ohne den datengesteuerten Ansatz und unseren umfangreichen Datensatz nie erfahren. Einige Beispiele sind accountpaypal-com[.]Info und com-apple[.]co.
Eine weitere ist „jp“, die TLD für Japan. Einige Beispiele sind apple1-jp[.]com und jp-rakuten[.]com. In dieser Liste finden sich mehrere Schlüsselwörter, die TLD-Codes sind: „US“, „UK“ und „FR“. Dies kann darauf hinweisen, dass diese Länder am stärksten betroffen sind.
Fazit
Es existieren unzählige, potenzielle Anwendungen von Cybersquatting und die Zielgruppen reichen von Einzelverbrauchern bis hin zu großen Unternehmen. Das macht es schwierig, den Gesamtschaden durch Cybersquatting genau zu bemessen. Darüber hinaus sind wir der Meinung, dass viel zu wenig über Cybersquatting-Kampagnen berichtet wird; über viele davon wird erst informiert, wenn ein großes Unternehmen davon betroffen ist.
Diese großen und auch kleinere Angriffe sind lukrativ – und es ist entscheidend, dass wir Analysen wie diese durchführen, um unser Verständnis vom Verhalten der Angreifer zu verbessern.
Wir werden solche Bedrohungen weiterhin für weiterführende Analysen überwachen und die Ergebnisse mit der Community teilen. Um mit den neuesten Sicherheitsstudien auf dem Laufenden zu bleiben, folgen Sie uns auf Twitter.
