Abwehrmaßnahmen gegen neue Phishing-Methoden

URL- und Domain-Name-Malware blocken

| Autor / Redakteur: Patrick Wheeler / Stephan Augsten

Beliebte Top Level Domains

Diese Beobachtungen spiegeln einen viel größeren Trend in der Malware-„Industrie” wider. Angreifer nutzen Anfälligkeiten im Domain Name System (DNS) und in traditionellen URL-Blacklisting-Methoden aus, um vorhandene Abwehrmaßnahmen zu umgehen und ihre Ziele zu erreichen.

In ihren Forschungsergebnissen für das zweite Quartal 2013 fand die Anti-Phishing Working Group (APWG), dass die Top Level Domain (TLD) .com bei Phishing-Kampagnen noch immer die meistgenutzte war (44 Prozent des gesamten Phishings). Einige länderbezogene TLDs sind bei Phishing-Angriffen aber üblicher, als es in Wirklichkeit registriert wurde.

Ein Beispiel ist Brasilien (.br), auf das nur ein Prozent der weltweit registrierten Domains entfallen, gleichzeitig aber vier Prozent der Phishing-Mail-TLDs. Alleine für Länder nutzen Phisher und Malware-Schreiber die ungeheure Menge der möglichen TLDs, um eine immense Anzahl einzigartiger Domain-Namen und URLs zu erzeugen.

Die Kontrollen, von denen viele annehmen, dass sie dazu da wären, diese Art von Missbrauch zu verhindern, funktionieren nicht. Der Bericht „Global Phishing Survey 1H2013: Trends and Domain Name Use” von APWG untersucht die Rolle der Domain-Namen in Phishing-Angriffen sehr viel detaillierter und ist der Ansicht, dass die Domain-Registratoren entweder am Steuer eingeschlafen sind oder den Phishern aktiv Vorschub leisten.

TLDs wachsen sich zum Problem aus

Das Problem wird noch schlimmer. Die Internet Corporation for Assigned Names and Numbers (ICANN) hat kürzlich Pläne bekannt gegeben, die Anzahl an Top Level Domains – einschließlich TLDs in nicht lateinischen Zeichen wie u.a. Arabisch, Chinesisch und Kyrillisch – von derzeit 22 auf 1.400 zu erhöhen.

TLDs mit nicht lateinischen Zeichen sind schon über Jahre verfügbar und weisen offenbar keine Anzeichen besonderer Nutzung unter Phishern auf. Die APWG nimmt aber an, dass Angreifer nach Wegen suchen, diese zu nutzen. Immerhin seien Sicherheitsanbieter beim Blocken von Phishing-URLs und -Domains, bei denen lateinische Zeichen verwendet werden, fortschrittlicher geworden.

Die Cyber-Kriminellen sind sich dessen bewusst und testen die Grenzen aller Blacklisting- und URL-Filtertechniken, ob lokal wie Cloud-basiert. Sie erstellen einen regelrecht unendlichen Pool einmal verwendbaree URLs, die für Phishing-E-Mails genutzt werden können, sowie von Domain-Namen, die für DGA-basierte Botnetze einsetzbar sind.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42496634 / Kommunikation)