Kaspersky warnt vor Lookalike-Angriffen
Absichtliche Tippfehler als Angriffsvektor
Kaspersky-Experten haben im Rahmen einer Untersuchung festgestellt, dass die Dienstleistungs- und E-Commerce-Branche am stärksten von Phishing-Angriffen durch sogenannte „Lookalike“-Domains betroffen ist. So zielten im dritten Quartal 35 Prozent aller Lookalike-Angriffe auf Service- und E-Commerce-Anbieter – möglicherweise eine Folge der Corona-Pandemie, weil Anbieter derzeit verstärkt auf Online-Dienste setzen. Die Hälfte der gefälschten Domains sind dabei nur einmal in Verwendung und 73 Prozent nur einen Tag lang aktiv. Dies erschwert eine rechtzeitige Identifizierung. Eine automatisierte mehrschichtige Analyse könne solche Angriffe – ohne die Notwendigkeit, manuell Domänenlisten zu erstellen – erkennen, so der Sicherheitsanbieter Kaspersky.
Bei der Lookalike-Technik versenden Cyberkriminelle Phishing-E-Mails von vermeintlich legitimen Domain-Adressen, die lediglich durch kleine Abweichungen – etwa fehlende Buchstaben – von offiziellen Mailadressen zu unterscheiden sind. Es ist oft unwahrscheinlich, dass ein Empfänger solche bewusst gesetzten Fehler bemerkt. So würden Betrüger etwa @netflix.com in @netffix.com oder @kapersky.com anstelle von @kaspersky.com ändern. Solche von Lookalike-Domains versendeten Mails passieren die Authentifizierung problemlos, haben eine kryptografische Signatur und erwecken damit nicht den Verdacht von Anti-Spam-Systemen, warnt Kaspersky.
Untersuchungen von Kaspersky zeigen, welche Branchen am häufigsten unter Angriffen mit Lookalike-Domains leiden: Im dritten Quartal 2020 waren Dienstleistungen und E-Commerce am stärksten betroffen (35 Prozent), an zweiter Stelle kommen IT und Telekommunikation (22 Prozent) und an dritter der Bereich Produktion und Data-Mining.
Traditionelle Methode zur Erkennung von Lookalike-Domains ist die händische Eingabe aller denkbaren Varianten gefälschter Domains in eine Anti-Phishing-Lösung. Dieser Prozess ist jedoch sehr zeitaufwändig und mitunter nicht effektiv, da es immer Optionen gibt, die nicht mit aufgenommen sind. Techniken, die wirksamer gegen Phishing mit Lookalike-Domänen sind, umfassen mehrere Analysestufen und identifizieren gefälschte Websites, indem sie eine verdächtige Domain mit legitimen Adressen vergleicht, anstatt eine Liste mit falschen zu erstellen.
Wenn ein unbekannter Absender eine E-Mail an ein anderes E-Mail-Postfach zustellt, durchläuft die Mail alle Standard-Antispamfilter. Fällt hierbei nichts Bösartiges auf, beginnt die Domänenanalyse. In der ersten Phase vergleicht das System die Domain mit allen bekannten Doppelgängern. Gibt es keine Übereinstimmungen, überprüft es in der zweiten Phase Informationen über die Domain – etwa Registrierungsdetails oder Zertifikate. Bei Entdeckung von Verdachtsmomenten hinsichtlich illegitimer Details, erfolgt eine Fortsetzung der Untersuchung. In der dritten Stufe folgt ein Abgleich der Domain mit einer automatisch erstellten Liste bekannter, offizieller Webadressen. Identifiziert das System eine Ähnlichkeit zwischen der verdächtigen und einer legitimen Domäne, wird diese als „Doppelgänger“ klassifiziert.
Dieser Ansatz ermöglicht es einer Anti-Phishing-Lösung, Angriffe, die Doppelgänger-Domains verwenden, in Echtzeit zu blockieren, wenn sie zum ersten Mal auftauchen. Es sind keine manuellen Aktionen erforderlich, wie etwa das Zusammenstellen einer Liste legitimer oder möglicher Doppelgänger durch den Anwender. Die Durchführung aller Berechnungen erfolgt in der Cloud und erfordert keine zusätzlichen persönlichen Rechenressourcen. Dieser Sicherheitsansatz ist laut Kaspersky in den hauseigenen Lösungen zum Schutz von Mail-Servern und von Microsoft Office 365 implementiert.
Weitere Informationen stehen unter www.kaspersky.de zur Verfügung.
Lesen Sie mehr zum Thema
