Phishing mit Lookalike-Domänen
Lookalike-Angriffe: Über ein Drittel haben die Service- und E-Commerce-Branche im Visier - knapp ein Viertel die ITK-Branche
Bei der Lookalike-Technik versenden Cyberkriminelle Phishing-E-Mails von vermeintlich legitimen Domain-Adressen, die lediglich durch kleine Abweichungen – etwa fehlende Buchstaben – von offiziellen Mailadressen zu unterscheiden sind
Kaspersky-Experten haben im Rahmen einer Untersuchungen festgestellt, dass die Dienstleistungs- und E-Commerce-Branche am stärksten von Phishing-Angriffen durch sogenannte ,Lookalikes‘ betroffen ist. So gingen im dritten Quartal 2020 35 Prozent aller Lookalike-Angriffe auf das Konto von Service- und E-Commerce-Anbieter – möglicherweise eine Folge der Corona-Pandemie, weil Anbieter derzeit verstärkt auf Online-Dienste setzen. Die Hälfte (50 Prozent) der gefälschten Domains werden dabei nur einmal verwendet, 73 Prozent sind auch nur einen Tag lang aktiv. Dies erschwert eine rechtzeitige Identifizierung. Durch eine automatisierte mehrschichtige Analyse können solche Angriffe – ohne die Notwendigkeit, manuell Domänenlisten zu erstellen – erkannt werden.
Bei der Lookalike-Technik versenden Cyberkriminelle Phishing-E-Mails von vermeintlich legitimen Domain-Adressen, die lediglich durch kleine Abweichungen – etwa fehlende Buchstaben – von offiziellen Mailadressen zu unterscheiden sind. Es ist meist unwahrscheinlich, dass ein Empfänger solche bewusst gesetzten Fehler bemerkt. So würden Betrüger etwa @netflix.com in @netffix.com oder @kapersky.com anstelle von @kaspersky.com ändern. Solche von Lookalike-Domains versendeten Mails passieren die Authentifizierung problemlos, haben eine kryptografische Signatur und erwecken damit nicht den Verdacht von Anti-Spam-Systemen.
Untersuchungen von Kaspersky zeigen, welche Branchen am häufigsten unter Angriffen mit Lookalike-Domains leiden. Im dritten Quartal 2020 waren Dienstleistungen und E-Commerce am stärksten betroffen (35 Prozent), an zweiter Stelle kommen IT und Telekommunikation (22 Prozent) und an dritter der Bereich Produktion und Data-Mining.
Automatisierter Schutz statt mühsamer Listenführung
Traditionelle Methode zur Erkennung von Lookalike-Domains ist die händische Eingabe aller denkbaren Varianten gefälschter Domains in eine Anti-Phishing-Lösung. Dieser Prozess ist jedoch sehr zeitaufwändig und mitunter nicht effektiv, da es immer Optionen gibt, die nicht mit aufgenommen werden. Technologien, die wirksamer gegen Phishing mit Lookalike-Domänen sind, umfassen mehrere Analysestufen und identifizieren gefälschte Websites, indem sie eine verdächtige Domain mit legitimen Adressen vergleicht, anstatt eine Liste mit falschen zu erstellen.
Wenn eine E-Mail von einem unbekannten Absender an ein anderes E-Mail-Postfach zugestellt wird, durchläuft sie alle Standard-Antispamfilter. Wird hierbei nichts Bösartiges entdeckt, beginnt die Domänenanalyse. In der ersten Phase vergleicht das System die Domain mit allen bekannten Doppelgängern. Gibt es keine Übereinstimmungen, überprüft es in der zweiten Phase Informationen über die Domain – etwa Registrierungsdetails oder Zertifikate. Werden dabei Verdachtsmomente hinsichtlich illegitimer Details entdeckt, wird die Untersuchung fortgesetzt. In der dritten Stufe wird die Domain mit einer automatisch erstellten Liste bekannter, offizieller Webadressen abgeglichen. Identifiziert das System eine Ähnlichkeit zwischen der verdächtigen und einer legitimen Domäne, wird diese als "Doppelgänger" klassifiziert.
Dieser Ansatz ermöglicht es einer Anti-Phishing-Lösung, Angriffe, die Doppelgänger-Domains verwenden, in Echtzeit zu blockieren, wenn sie zum ersten Mal auftauchen. Es sind keine manuellen Aktionen erforderlich, wie etwa das Zusammenstellen einer Liste legitimer oder möglicher Doppelgänger durch den Kunden. Alle Berechnungen werden in der Cloud durchgeführt und erfordern keine zusätzlichen persönlichen Rechenressourcen. (Kaspersky Lab: ra)
Kaspersky: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.