Die Registrierung von Domainnamen zu missbräuchlichen Zwecken ist ein kleines, aber signifikantes Problem. Diejenigen, die feststellen, dass Variationen ihrer Domainnamen für solche Zwecke verwendet werden, können leicht Einkommens- und Reputationsverluste erleiden.
Während die überwiegende Mehrheit der Registrierung und Nutzung von Domainnamen unbedenklich ist, gibt es Cyberkriminelle, die sie missbrauchen. Beispiele dafür sind groß angelegte Phishing-Angriffe, Drive-by-Downloads und Spam-Kampagnen. Sicherheitsorganisationen wie die Anti-Phishing Working Group (APWG) und Stop Badware sammeln Informationen über diese missbräuchlich verwendeten Domainnamen und stellen sie ihren Kunden (z.B. Hosting-Providern und Domain-Registrierungsstellen) in Form von URL-Blacklists zur Verfügung.
Um einem solchen Missbrauch entgegenzuwirken, startete in der zweiten Jahreshälfte 2018 ein französisch-niederländisches Projekt, das das Problem angehen soll, indem es automatisch zwischen Domainnamen, die von Cyberkriminellen für böswillige Aktivitäten registriert wurden, und Domainnamen, die von ungeschützten Webanwendungen genutzt wurden, unterscheidet. Das Projekt, das gemeinsam von SIDN Labs, Afnic Labs, den von den niederländischen und französischen ccTLD-Registries und der Grenoble Alps University eingerichteten Laboren durchgeführt wird, soll Vermittlern wie Registrierstellen und ccTLD-Registries helfen, ihre Prozesse zur Missbrauchsbekämpfung weiter zu optimieren.
Das Forschungsprojekt "Classification of compromised versus maliciously registered domains" (COMAR) hat das ultimative Ziel, einen maschinell lernbasierten Klassifikator zu entwickeln, der Domains auf der schwarzen Liste als kompromittiert oder böswillig registriert kennzeichnet, dann ihre Genauigkeit umfassend bewertet und sie dann für eine Produktionsumgebung implementiert.
Die Studie will auch das gewinnmaximierende Verhalten der Angreifer und ihre Geschäftsmodelle untersuchen. COMAR wird ihren Klassifizierer auf nicht beschriftete Domainnamen von URL-Blacklists anwenden, um beispielsweise die folgende Frage zu beantworten: Bevorzugen Angreifer es, bösartige Domains zu registrieren, gefährdete Websites zu kompromittieren oder Domains legitimer Dienste wie Cloud-basierte File-Sharing-Dienste bei ihren kriminellen Aktivitäten zu missbrauchen?
