Kurzlebige Domainnamen, also Domains, die oft nur für wenige Stunden registriert werden, sind ein Segen für Cyberkriminelle und ihre Phishing-Aktivitäten. Phishing ist ein enormer Kostenfaktor für große und kleine Marken und sogar für Einzelpersonen. Ebenso kurzlebige Domains, die oft in bestimmten Top-Level-Domains registriert sind, wo Domains entweder verschenkt oder mit einer niedrigen Registrierungsgebühr versehen und über bestimmte Registrare in großen Mengen gekauft werden.
Der Einzelhandel wird besonders mit kurzlebigen Domains angesprochen, die sich als beliebte Marken und Händler ausgeben, entweder mit ähnlich aussehenden Domainnamen oder Websites, die gefälschte Waren verkaufen. Die Personen, die durch die Übermittlung von Informationen auf Phishing-Betrug hereinfallen oder versehentlich schädliche Anwendungen installieren, sind die gleichen Personen, die weltweit zu einer milliardenschweren Handelswirtschaft beitragen. Sie sind ein wichtiger Teil des Phishing-Lebenszyklus.
Ein kürzlich veröffentlichter Bericht von Akamai Technologies mit dem Titel "Phishing - Baiting the Hook" untersucht, wie die Menschen durch Phishing mit dem, was der Bericht als "Köder" und "Landung" beschreibt, angelockt werden. "Ein Köder erregt die Aufmerksamkeit des Opfers durch eine Warnung, eine dringende Bitte oder eine andere Nachricht, die ein Gefühl der Beunruhigung oder Besorgnis auslöst. Wenn der Köder funktioniert, muss das Opfer landen, und das ist die letzte Phase des Angriffs."
"Die Landung kann alles sein, einschließlich bösartiger Anhänge oder Links, ein perfekter Klon der Website einer Bank, ein Einzelhandelsportal oder ein einfaches Formular, in dem Informationen im Austausch gegen eine Art von Preis oder Belohnung angefordert werden.
Die häufigsten Landelemente bei einem Phishing-Angriff beinhalten eine Plattform, besser bekannt als Kit. Akamai konzentrierte sich in seinem Bericht auf Phishing-Kits.
Es gibt 2 Arten von Phishing, die Akamai beschreibt: generische Phishing-Angriffe, zu denen auch Botnets gehören, die ein Zahlenspiel sind, bei dem der Kriminelle Tausende - manchmal Zehntausende - potentieller Opfer anlockt; und Speer-Phishing-Angriffe, die in der Regel nur eine Person oder eine Gruppe (z.B. den Kundenstamm eines Einzelhändlers oder eine Gruppe von Aktivisten) zum Ziel haben. Manchmal zielen Speer-Phishing-Angriffe auf ein ganzes Unternehmen ab und werden zunächst mit allgemeinen Phishing-Angriffen verwechselt. Was sie jedoch von generischen Versuchen unterscheidet, sind die feinen Details. Speer-Phishing wird häufig bei staatlichen Angriffen, Unternehmensspionagekampagnen und betrügerischen Finanzangriffen gesehen, bei denen das Endziel nicht die Sammlung grundlegender Informationen ist, sondern etwas Zerstörerisches oder Folgenschweres.
Und genau hier kommen Domänennamen ins Spiel. Der Bericht erklärt: "Manchmal werden Phishing-Kits auf eine kompromittierte Website hochgeladen. Wenn dies geschieht, hat der Angreifer eine Schwachstelle im CMS der Website oder auf dem Server selbst ausgenutzt. Die Entführung einer solchen Domäne zum Hosten eines Phishing-Kits nutzt den positiven Ruf und das hohe Alter der URL aus, wodurch der Angreifer länger verborgen bleiben kann. In anderen Fällen entscheidet sich der Kriminelle für den Kauf einer eigenen Domain und eines eigenen Hosting-Pakets".
Der Bericht stellt fest, wie wichtig "das Alter ist, wenn Phishing-URLs berücksichtigt werden. Neu angelegte Domains - also solche, die weniger als einen Monat alt sind - werden von Sicherheitsprodukten oft als verdächtig markiert".
Um zu erklären, wie Kriminelle die Vorteile kurzlebiger Domains nutzen, verfolgen die Forscher die Domainregistrierungen und melden Domains regelmäßig, sobald sie eine Warnung ausgeben. Die Kriminellen nutzen die Verkäufe von Top-Level-Domains (TLDs) bei einem bestimmten Registrar, kaufen in großen Mengen und rotieren während eines bestimmten Phishing-Laufs durch ihre Sammlung. So können sie den Betrieb aufrecht erhalten, auch wenn eine oder mehrere ihrer Domains abgeschaltet oder gemeldet werden.
Die finanziellen Vorteile können erheblich sein. Der Bericht stellt fest, dass "in Fällen wie diesen eine Domain, die nur wenige Tage besteht, Hunderte von Opfern hervorbringen kann, aber selbst diejenigen, die nur wenige Stunden existieren, dem Kriminellen trotzdem positive Resultate liefern. Denn nach den anfänglichen Ausgaben (Domains, Phishing-Kits und vielleicht Hosting) braucht ein Krimineller nur wenige Opfer, um sein Geld zurückzubekommen. Alles danach ist reiner Profit".
Es gibt ein Wettrennen zwischen den Kriminellen und den Sicherheitsteams, die versuchen, ihre Aktivitäten zu beenden. "Obwohl Sicherheitsteams regelmäßig Phishing-URLs melden, wählen einige Kriminelle Webhoster und Domains, bei denen diese Meldungen einfach ignoriert werden. Doch wie die Daten zeigen, haben die meisten Kits eine kurze Lebensdauer, und das Zeitfenster für die meisten Phishing-Kits wird immer kleiner.
"Über einen Zeitraum von 60 Tagen beobachtete Akamai mehr als 2.064.053.300 einzigartige Domains, die häufig mit schädlichen Aktivitäten in Verbindung gebracht werden. Von diesen hatten 89% eine Lebensdauer von weniger als 24 Stunden und 94% eine Lebensdauer von weniger als drei Tagen.
"Betrachtet man die Phishing-Domains, so haben auffällige kurzlebige TLDs wie .gq, .loan und .tk eine durchschnittliche Lebensdauer von 24 Stunden. Wenn man sich die Daten ansieht, ist die Verfügbarkeit von billigen Namensregistrierungen auf solchen TLDs ein Segen für Kriminelle; sie erschwert die Aufdeckung, weil die Namen so kurz im Verkehr sind.
"Die hohe Anzahl von .com-Domains mit kurzer Lebensdauer ist auf Namen zurückzuführen, die für den Botnetzverkehr verwendet werden, wobei täglich eine große Anzahl neuer Namen verwendet wird (die meisten davon sind nicht registriert und lösen daher nicht auf).