„Combosquatting“, obwohl nicht neu, wird zum neuesten Werkzeug für Kriminelle, um Internetnutzer zu täuschen. Diese Praxis, die vor etwa einem Jahrzehnt aufkam, wird von Kriminellen dazu genutzt, Vorteile daraus zu ziehen, dass Internetnutzer vermehrt dazu ermutigt werden, Internetadressen zu kontrollieren, bevor sie einen Link anklicken. Die Kriminellen registrieren Domainnamen mit bekannten Markennamen, fügen jedoch zusätzliche Wörter hinzu und die nichtsahnenden Internetnutzer klicken auf einen Link, der häufig mit einer Phishing E-Mail kommt und werden dann auf eine Webseite weitergeleitet, die gefälschte Ware verkauft, die persönliche und finanzielle Informationen abgreift oder Schadsoftware installiert.
In der vermutlich ersten großangelegten, empirischen Studie über Combosquatting erklärten Forscher von der Georgia Tech und Stony Brook University in den USA, unterstützt vom US-Verteidigungsministerium, wie Angreifer Domainnamen wie familiarbankname-security.com oder security-familiarbankname.com registrieren können. Unvorsichtige Nutzer sehen den vertrauten Banknamen in der URL oder Webadresse, aber das zusätzliche, mit Bindestrich hinzugefügte Wort, bedeutet, dass das Ziel ein völlig anderes ist als erwartet. Das Ergebnis könnte eine Webseite sein, die gefälschte Waren verkauft, Zugangsdaten stiehlt, den Computer des Nutzers mit Malware infiziert oder einen anderen Computer in einen Botnet-Angriff zwingt.
Diese Angriffsstrategie, bekannt als Combosquatting, ist eine wachsende Bedrohung, mit Millionen von Domains, die für böswillige Zwecke eingerichtet wurden. Dies geht aus einer Studie hervor, die Ende Oktober auf der ACM Conference on Computer and Communications Security (CCS) 2017 vorgestellt wurde.
„Dies ist eine Taktik, die die Gegenspieler immer häufiger anwenden, weil sie gesehen haben, das es funktioniert,“ sagte Manos Antonakakis, Assistenzprofessor an der School of Electrical and Computer Engineering am Georgia Institute of Technology. „Dieser Angriff ist offensichtlich, aber viele Leute sind nicht computererfahren genug, um den Unterschied in den URLs, die bekannte Markennamen enthalten, zu bemerken.
Combosquatting unterscheidet sich von seinem besser bekannten Verwandten, dem Typosquatting, insofern, dass hierbei die Gegenspieler Variationen von URLs registrieren, die aller Wahrscheinlichkeit nach von Nutzern falsch geschrieben werden. Combosquatting Domains sind nicht davon abhängig, dass ihre Opfer Schreibfehler machen, sondern bieten böswillige Links in E-Mails, in Online Werbung oder als Resultat von Websuchen an. Combosquatting-Angreifer kombinieren oft den Markennamen mit einem Begriff, der ein Gefühl von Dringlichkeit vermitteln soll, um die Opfer zu ermutigten, auf das zu drücken, was auf den ersten Blick als legitimer Link erscheint.
In sechsjähriger Datenerfassung fanden die Forscher allein für 268 populäre Marken 2,7 Millionen Combosquatting-Domains, und diese waren 100mal häufiger als Typosquatting-Domains. Die Combosquatting-Domains scheinen eine Herausforderung zu sein, da fast 60 Prozent der missbräuchlichen Domains seit mehr als 1.000 Tagen – also fast drei Jahren – aktiv sind. Und die Zahl der registrierten Combosquatting-Domains ist zwischen 2011 und 2016 jedes Jahr gestiegen.
Die Forscher entdeckten unter den böswilligen Domains einige, die zuvor von legitimen Unternehmen registriert worden waren, die Wörter mit ihren Marken kombiniert hatten.
Aus nicht nachzuvollziehenden Gründen ließen diese Firmen die Registrierungen verfallen, sodass die Domains, welche Markennamen beinhalteten, die einst zu legitimen Seiten führten, von Combosquatting-Angreifern übernommen werden konnten.
In vielen Fällen wurden böswillige Domains nach Ablauf ihrer Gültigkeit mehrfach neu registriert, was darauf hindeutet, dass eine Verbesserung der „Internethygiene“ erforderlich sein könnte, um dieser Bedrohung zu begegnen.