Doppelgänger-Domains und Typosquatting
Bösartige Domains lauern überall - ein Klick auf einen echt aussehenden, aber falschen Link, oder ein Tippfehler beim Ansteuern einer bekannten Website können bereits unbemerkt Schaden anrichten.
Hierbei unterscheidet man primär zwischen zwei Arten sogenannter Doppelgänger-Domains. Diejenigen, bei denen sich passiv auf häufige Tippfehler oder Buchstabendreher verlassen wird und solche, mit denen aktive Angriffe durchgeführt werden.
Tippfehler-Domains (Typosquatting)
Da wir keine gefährlichen Links verbreiten möchten, spielen wir folgendes Szenraio im Kopf durch:
Ein Unternehmen verkauft auf seiner Website Waren über einen Online-Shop. Bestellungen werden immer zuverlässig und zeitnah verschickt, doch in letzter Zeit häufen sich Beschwerden von Kunden, die trotz Bezahlung keine Ware erhalten haben. Ein Kunde schreibt: "Ich habe letztens in Ihrem Online-Sbop bestellt, aber nach 2 Wochen immer noch nichts erhalten". Das Unternehmen überprüft den Fall und stellt fest, dass von diesem Kunden keine Bestellungen vorliegen.
Haben Sie es bemerkt? Im Wort Shop hat sich ein Schreibfehler eingeschlichen. Die Kunden haben beim Online-Sbop bestellt, geschrieben mit einem 'b' statt einem 'h'.
Kriminelle Dritte haben diese falsche Domain registriert, um mit dem etablierten Namen des Unternehmens und der Unachtsamkeit der Nutzer Geld zu verdienen. Dabei haben sie Layouts, Logos und Texte der Firma übernommen, um einen "Evil Twin" (böser Zwilling) zu erschaffen, eine gefälschte Website, die der echten Seite täuschend ähnlich sieht.
Solche Domains werden auch verwendet, um Nutzernamen und Passwörter von Kunden zu stehlen. Damit können Kundenkonten und deren Zahlungsinformationen missbraucht und dem Unternehmen geschadet werden.
Wie man sich schützen kann
Als Betreiber einer Webseite sollte man ähnliche Domains mit einem Buchstabendreher oder Verwechslungsgefahr von Anfang an selbst registrieren und eine Weiterleitung auf die korrekte Domain einrichten. Dies kostet pro Domain meist nur wenige Euro pro Monat und kann dem Unternehmen und seinen Kunden viel Ärger ersparen.
Nutzer sollten genau hinschauen, im Zweifelsfall auch eine größere oder andere Schriftart wählen und sich beim Aufrufen einer Webseite nicht nur auf das Schloss-Symbol verlassen. Dieses zeigt lediglich an, dass die Kommunikation zwischen dem Browser und dem Server verschlüsselt ist, garantiert jedoch nicht, dass man mit dem richtigen Server kommuniziert.
Aktive Angriffe durch E-Mails
Es gibt es auch perfidere Doppelgänger-Domains, bei denen Angreifer nicht auf einen Fehler der Webseiten-Besucher warten, sondern gut getarnte Domains registrieren und gezielt im Namen des Unternehmens E-Mails verschicken. Dies geschieht in der Hoffnung, dass die Empfänger den Unterschied in der Schreibweise der Domain nicht bemerken.
Beispielsweise kann ein 'e' fast unbemerkt durch ein 'е' ausgetauscht werden. Noch einfacher ist das Austauschen von l mit I, also großem 'i' und kleinem 'L'. Der "Online-Shop" lässt sich vom "OnIine-Shop" kaum unterscheiden und auch "Online" und "Onlinе" sehen sich sehr ähnlich.
Es gibt eine Vielzahl von sogenannten buchstabenähnlichen Symbolen oder ähnlichen Buchstaben anderer Alphabete, die auch in Domain-Namen verwendet werden können. i, ⅰ und 𝗂 sind ebenfalls im Schriftbild nahezu identisch.
Häufig werden Kunden oder Mitarbeiter des Unternehmens kontaktiert, um Daten zu erhalten. Im schlimmsten Fall verschaffen sich Kriminelle durch die Übernahme von Mitarbeiter-Accounts Zugang in das Intranet des Unternehmens, um dort noch größeren Schaden anzurichten.
Wie man sich schützen kann
Für Unternehmen ist es praktisch kaum möglich, alle ähnlichen Buchstabenkombinationen vorherzusehen und zu registrieren. Hier helfen Maßnahmen, die automatisiert falsche Domains in E-Mails und im Browser erkennen und den Nutzer vor der Diskrepanz warnen. In E-Mail-Programmen kann ein Hinweis eingeblendet werden, wenn die Domain allgemein unbekannt oder extern ist. So werden Mitarbeiter darauf aufmerksam gemacht, dass sie aktuell nicht innerhalb des Unternehmens, sondern mit einer dritten Partei kommunizieren. Sie können dann bewusst entscheiden, ob es sich dabei um eine vertrauenswürdige Quelle (Kunden, Interessenten) oder um ein Risiko handelt.
Bei einer erkannten Doppelgänger-Domain können Kunden umgehend gewarnt und die entsprechenden Domain-Registrare auf den Missbrauch aufmerksam gemacht werden, um die Domain schnellstmöglich abzuschalten.