Unsichtbare Gefahr für Unternehmen durch Lookalike-Domains

Die Gefahr Opfer eines Lookalike-Domain-Angriffs zu werden ist groß: Egal ob Großbank, Softwareunternehmen oder Regierungsbehörden – allein seit Anfang 2022 wurden mehr als 1.600 Domains verwendet, die die Unternehmens- und Multi-Faktor-Authentifizierungs-Schreibweise missbrauchten und über 10.000 Organisationen durch Adversary-in-the-Middle (AitM)-Taktiken angegriffen haben. Das zeigt ein aktueller Report der Infoblox Threat Intelligence Group. Infoblox analysiert dafür täglich mehr als 70 Milliarden DNS-Ereignisse und hat 300.000 Lookalike-Domains zwischen Januar 2022 und März 2023 kuratiert, um das Ausmaß und die Raffinesse von Lookalikes als Angriffsvektor aufzuzeigen.

 

Was ist ein Lookalike-Domain-Angriff?

Bei einem „Lookalike“-Angriff verwenden Hacker Domains, die legitimen URLs visuell täuschend ähnlich sind, um User zum Besuch bösartiger Websites zu verleiten. Die Domain-Schreibweise unterscheidet sich meist nur in kleinsten Details, die auf den ersten Blick kaum zu erkennen sind. Durch die relativ einfache Umsetzbarkeit sind Lookalike-Domains eine gängige und sich stetig weiterentwickelnde Technik, die meist in Phishing-E-Mails verwendet wird. Mittlerweile kommt sie aber auch bei fortgeschritteneren Angriffen zum Einsatz, die beispielsweise darauf abzielen, Multi-Faktor-Authentifizierung (MFA) zu umgehen. Mithilfe von Adversary-in-the-Middle (AitM)-Techniken versuchen die Angreifer, ihren Opfern vorzugaukeln, dass sie während der Authentifizierung mit dem echten Netzwerk des Unternehmens interagieren.

Taktiken der Angreifer:

Homographen

verwenden visuell ähnliche Zeichen aus verschiedenen Zeichensätzen (z. B. kyrillisch oder griechisch), um Domänennamen zu schaffen, die mit den legitimen Namen identisch zu sein scheinen (z. B. Ersetzen von „a“ durch „α“).

Typosquats

nutzen häufige Tippfehler aus, indem sie Domains registrieren, die beliebten Websites sehr ähnlich sind (z. B. indem sie „google.com“ durch „goggle.com“ ersetzen), um die Nutzer zu täuschen.

Combosquats

kombinieren Elemente von Homographen und Typosquats, indem sie visuell ähnliche Zeichen und häufige Tippfehler in Domänennamen verwenden (z. B. „gооgεl.com“ anstelle von „google.com“). Combosquatting-Domains sind 100 Mal häufiger als Typosquatting-Domains und 60 % der Combosquatting-Domains bleiben mehr als 1.000 Tage lang aktiv.

Soundsquats

registrieren Domänennamen, die beim lauten Sprechen ähnlich klingen wie legitime Namen (z. B. „utube.com“ anstelle von „youtube.com“), um Benutzer zu täuschen, die die Domäne hören, anstatt sie zu lesen. Soundsquatting macht intelligente Assistenten wie Alexa, Siri oder Google Home zu potenziellen Vektoren für Angreifer.

Fakten zu Lookalike-Domain-Angriffen

  • Lookalike-Domains sind ein beliebtes Mittel für Cyberkriminelle, die es auf Privatpersonen und Unternehmen abgesehen haben. Social-Media-Plattformen, große Marken, aber auch kleine Unternehmen sind gefährdet. Die Angreifer nutzen verschiedene Methoden wie SMS, Telefonanrufe, Direktnachrichten in sozialen Medien, E-Mails und QR-Codes, um „Lookalikes“ einzusetzen.
  • Handys und Laptops sind aufgrund kleinerer Bildschirme und einer fehlenden Linkvorschau anfälliger für Lookalike-Angriffe. Selbst sicherheitsbewusste Personen können einem gut gestalteten Lookalike zum Opfer fallen, insbesondere in Kombination mit anderen Social-Engineering-Taktiken wie SMS-Nachrichten oder dringenden Telefonanrufen.
  • Smishing, also der Versand von Phishing-Nachrichten per SMS, nimmt trotz der Verbesserungen bei den Spam-Filtern für Mobiltelefon-SMS zu. Die Angreifer sind in der Lage, schnell eine große Anzahl von Nachrichten zu verbreiten und einige der Sicherheitsmechanismen zu umgehen, die zum Schutz vor E-Mail-Phishing-Angriffen eingerichtet wurden. SMS werden sowohl für breit angelegte Angriffe auf Verbraucher als auch für gezielte Spearphishing-Angriffe auf Mitarbeiter von Unternehmen eingesetzt. Cyberkriminelle, wie die von Infoblox als Opentangle und Scamélie bezeichneten Angreifer, zielen mit Lookalike-Domains auf Verbraucher und Regierungsangestellte ab. Allein von Opentangle werden seit etwa 2 Jahren über 1500 Domains kontrolliert.
  • Lookalike-Domains werden nicht nur als Webseiten-Domains verwendet. Sie tauchen auch als Nameserver, Mailserver, CNAME Records und PTR Records auf. Die Verwendung von Lookalikes als Mailserver stellt eine zusätzliche Herausforderung für die Erkennung von Phishing-E-Mails auf einem Endpunkt dar, da die E-Mail-Kopfzeilen auf den ersten Blick legitim erscheinen. Lookalikes eignen sich perfekt für Malware-Command and Control (C2) , da sie sich leicht neben legitimen Domains in den Netzwerkverkehr einfügen.
  • Auch die MFA ist in Gefahr. Seit Anfang 2022 wurden mehr als 1.600 Domains verwendet, die MFA-Schlüsselwörter wie „mfa“, „okta“ oder „2fa“ nachahmten. Beispiele sind wecc-okta[.]org, wecc-oktc[.]org und wecc-okta[.]com, die alle im Februar 2023 registriert wurden und die gleiche IP-Adresse haben. Die weltweiten Ziele reichen von Großunternehmen bis hin zu großen Banken, Softwareunternehmen, Internetdienstanbietern und Regierungsstellen. Infoblox entdeckte MFA-Lookalikes für Dienste wie Dropbox, Paypal, Microsoft, Okta, Netflix, Amazon, Tripadvisor und Youtube.

 

5 Tipps, sich vor Lookalike-Domains zu schützen

  1. Das schwächste Glied in der Cybersecurity ist oft der Mensch. Phishing-Angriffe sind eine ernsthafte Bedrohung für Einzelpersonen, Unternehmen und Organisationen. Wenn Sie Anzeichen eines Phishing-Angriffs erkennen können und Maßnahmen zum eigenen Schutz ergreifen, können Sie das Risiko, Opfer eines solchen Angriffs zu werden, verringern. Seien Sie aufmerksam und proaktiv!
  2. Implementieren Sie Security-Lösungen auf DNS-Ebene. Mehr als 90 % der Malware nutzt auf ihrem Weg in und aus dem Netzwerk das DNS. Daher kann die Integration von DDI-Metadaten in den Sicherheits-Stack eines Unternehmens dazu beitragen, Hacker so früh wie möglich zu erkennen. Das bedeutet: Selbst, wenn die Mitarbeiter und Firewalls die Angreifer nicht als solche erkennen, tut es die DNS Security Lösung. Somit kann eine gut konfigurierte DNS-Sicherheitslösung die schadhafte Kommunikation direkt an der Wurzel erkennen und helfen, die richtigen Maßnahmen zu ergreifen, bevor Schlimmeres passiert.
  3. Eine gute und moderne DDI-Lösung kann Router, Switches und Load-Balancer (also alle Layer-2 und Layer-3 Geräte) zentral und unkompliziert erfassen und so Sichtbarkeit im Netzwerk bieten. Die Integration von DDI-Metadaten in den Sicherheits-Stack eines Unternehmens kann dazu beitragen, Hacker so früh wie möglich zu erkennen, da so der Datenverkehr und das Verhalten jedes Geräts im Netzwerk sichtbar sind.
  4. Überprüfen Sie regelmäßig Ihre DNS-Aufzeichnungen und löschen Sie alle veralteten Zuweisungen. DNS-, DHCP- und IP-Address-Management-Tools, kurz DDI, können dies heutzutage sogar automatisiert über das sogenannte DNS-Scavenging. Sie sorgen so dafür, dass keine DNS-Records übersehen und vergessen werden, die dann von den Kriminellen für ihre Zwecke missbraucht werden können.
  5. Automatisieren Sie Ihre Sicherheitsmaßnahmen, wo immer dies möglich ist, um das Risiko menschlicher Fehler zu verringern, da diese leicht übersehen können, was sich direkt vor ihnen befindet.

Info: Den umfangreichen Report zu Lookalike-Domains als PDF findet sich via nachfolgendem Link: https://insights.infoblox.com/resources-whitepapers/infoblox-report-deep3r-look-at-lookal1ke-attacks

#Infoblox