Phishing
Phishen im Pool der Top-Level Domains
Eine bislang aus der Cyberspionage bekannte Methode wird beliebter: Top-Level Domain (TLD)-Phishing. Kriminelle leiten dabei ihre potenziellen Opfer mit „falschen“ TLDs auf eigene Seiten um. Was hat es mit dieser Methode auf sich?
Save to Folio
Die Gefahren durch Phishing sind heutzutage in der Industrie hinlänglich bekannt. Auch wenn Multifaktor-Authentifizierung inzwischen der Standard ist, bietet klassisches Phishing (Passwort Phishing) immer noch genügend Vorteile für Angreifer. Denn beispielsweise wandelt sich der Multifaktor im Fall von gestohlenen Login-Daten eben wieder in nur einen Faktor, und für Kriminelle bedeutet das einfach nur noch eine Hürde. Immer mehr Täter nutzen klassische Phishing-Methoden aber auch für andere Zwecke. So bietet das Ansteuern von Links als Köder die Möglichkeit, Malware oder Falschinformationen (Fake News) zu platzieren. Die Taktik gilt deshalb zu Recht als Einfallstor für moderne cyberkriminelle Aktivitäten wie z.B. Ransomware. Seit einigen Monaten wird nun über eine bisher hauptsächlich aus dem Bereich von Spionageangriffen bekannte Methode diskutiert: Top-Level Domain (TLD)-Phishing. Leider ist die Aufklärung in diesem Bereich noch nicht hoch.
Definition
Als TLD bezeichnet man die höchste Ebene einer Namensauflösung im Internet. Bei einer Website wie trendmicro.com ist dies das „.com“. Die ursprüngliche Idee hinter TLD war es, einem Nutzer Hinweise darauf zu geben, mit wem er/sie sich verbindet. „.de“ steht dabei für Deutsch, „.com“ für Company, „org“ für Organisation usw. Die Registrierung einer TLD hängt davon ab, wer diese kontrolliert, das können Staaten, private Unternehmen oder Organisationen sein. Die Prüfung der Anmeldeinformationen ist bei der Vielzahl der Möglichkeiten nicht immer gegeben, deshalb können auch Kriminelle eigene Websites registrieren -- und tun dies auch häufig.
Top Level Domain Phishing
In Sicherheitsschulungen wird immer wieder darauf hingewiesen, Namen von Webseiten zu kontrollieren. Das ist gut so, denn Kriminelle registrieren häufig Domänen, um Opfer auszutricksen. Dafür generieren sie ähnliche Namen: „0“ statt „o“ oder „vv“ statt „w“ sind nur einige Beispiele.
Im Fall von TLD-Phishing hingegen wird nicht der Name der Webseite verändert sondern der Teil hinter dem Punkt. Aus „.com“ wird „.org“ oder andersherum. Die Angreifer registrieren dabei unbesetzte TLDs, um sich so als das bestimmte Unternehmen auszugeben. Dies ist nicht einfach. Viele Unternehmen registrieren vorsorglich (oder aus anderen Gründen) mehrere TLDs und leiten diese auf ihre Hauptseite um.
Auch ist die Registrierung bekannter TLDs für Kriminelle nicht mehr ohne Risiko. TLD-Phishing ist deshalb hauptsächlich aus dem Bereich staatlich gesteuerter Cyberangriffe bekannt. Wir berichteten beispielsweise über den Angriff einer Gruppe namens Void-Rabisu auf die Nonprofit-Organisation „Woman Political Leaders“. Dabei bildete der Akteur deren Webseite „wplsummit.org“ eins zu eins in einer neu registrierten Seite gleichen Namens mit der TLD „.com“ ab. Ziel war es, Spionage-Malware bei den Besuchern der Seite zu platzieren. Derartige Angriffe sind in der Branche bekannt, aber kommen sehr selten vor. Das könnte sich aber demnächst ändern.
Änderungen vom Mai 2023
Im Mai dieses Jahres wurde eine ganze Reihe neuer TLDs verfügbar gemacht. Zu den umstrittensten gehören dabei die TLDs „.zip“ und „.mov“. Es ist unschwer zu erkennen, dass diese TLDs für manche Nutzer eine Herausforderung darstellen. Warum sollte die Download-Umgebung einer Firma nicht unter „firmenname.zip“ liegen oder eine Kollektion der wichtigsten Filme unter „firmenname.mov“? Diese TLDs erlauben sowohl gezielte Phishing-Angriffe auf das eigene Unternehmen als auch Massenangriffe auf dessen Kunden.
Das stellt erfahrungsgemäß weniger eine Herausforderung für bekannte Konzerne dar als für Mittelständler. Der Hintergrund ist einfach. Würde beispielsweise eine Privatperson eine Domäne eines weltweit bekannten Konzerns registrieren wollen, erweckt dies sofort den Argwohn der IT-Security. Die entsprechende Webseite hätte einen „möglicherweise gefährlich“-Hinweis und würde meist vorsorglich geblockt, noch bevor ein Zusammenhang mit Phishing bewiesen ist. Im Mittelstandsbereich geht das nicht so einfach. Nicht selten haben mehrere Firmen und Privatpersonen die Namensrechte an unterschiedlichen TLDs. Es ist deshalb eher normal, dass eine legitime Nutzung vorliegt, wenn trotz Namensgleichheit eine weitere TLD von anderen Personen registriert wird.
TLD-Phishing vermeiden
Wie bereits erwähnt, besteht immer eine Möglichkeit, die TLDs der eigenen Firma selbst zu registrieren. Dies kann den Missbrauch der eigenen Domain verhindern, aber nicht Angriffe über andere. Da der Handel mit den oben genannten speziellen TLDs privatwirtschaftlich durchgeführt wird, sollte dies allerdings nur gemacht werden, wenn auch ein wirtschaftlicher Nutzen hinter dem Erwerb steht.
In die Sicherheitsschulungen für Mitarbeiter sollte das Thema TLD-Phishing auf jeden Fall aufgenommen werden. Auch wenn die Änderung erst vor kurzem erfolgte und Stand heute noch keine Angriffe bekannt sind, dürfte es nur eine Frage der Zeit sein, bis diese stattfinden. Kriminelle werden natürlich nicht die ersten sein, die diese Domains registrieren. Schließlich hilft es ihnen nichts, wenn die TLDs bereits von Anfang an als bösartig verschrien sind.
Und damit sind wir bei der nächsten Option, die aus Sicht der Security in die Betrachtung einfließen kann. Derzeit gibt es wenige Webseiten, die mit den neuen TLDs gestaltet werden. Es ist deshalb auch eine Möglichkeit, sie beispielsweise über URL-Filter oder ähnliche Mechanismen zu blockieren. Auf lange Sicht und abhängig davon, in welchen Geschäftsbereichen Ihr Unternehmen tätig ist, kann dies eine nicht unerhebliche Anzahl von „False/Positive“ Erkennungen erzeugen. Hier ist die Frage, ob es ausreicht, mit Ausnahmeregelungen zu arbeiten, oder ob ein solcher Filter grundsätzlich wieder ausschaltet werden muss. In der Zwischenzeit könnte es allerdings eine „Quick & Dirty“-Lösung sein, um zumindest die Gefahr des internen Phishings abzuwehren.