Domain-Imitation

Die Domain Impersonation ist eine Form des Identitätsmissbrauchs und wird von Hackern häufig für das sogenannte Conversation Hijacking eingesetzt. Es wird dabei die Domain eines legitimen Unternehmens imitiert, indem der Angreifer Techniken wie Typosquatting verwendet und einen oder mehrere Buchstaben einer legitimen E-Mail-Adresse durch ähnliche Zeichen ersetzt oder dem Domain-Teil der E-Mail-Adresse einen schwer erkennbaren Buchstaben hinzufügt. Um einen solchen Angriff vorzubereiten, müssen die Hacker zuvor eine gefälschte Domain erwerben bzw. registrieren.

Die Domain-Imitation ist ein Angriff mit weitreichenden Auswirkungen. Der Hintergedanke dabei ist, dass Empfänger nicht jede E-Mail-Adresse Buchstabe für Buchstabe überprüfen. Die feinen Unterschiede zwischen einer legitimen E-Mail-Adresse und der imitierten E-Mail-Domain können leicht übersehen werden. Beispielsweise könnte ein Angreifer, der versucht, sich als barracuda.com auszugeben, eine dieser sehr ähnlichen URLs verwenden:

• barracada.de
• barrácuda.com
• barrracuda.com

Ein Angreifer kann auch die Top-Level-Domain (TLD) ändern, zum Beispiel auf .net statt.com oder auf .co statt.com.

• barracuda.net
• barracuda.co

Hacker investieren Zeit und Geld, um Domains zu registrieren, die legitime Domains imitieren sollen. Angriffe, die von solchen Domains ausgehen, sind in der Regel sorgfältig geplant, sodass der Betrug schwer zu erkennen ist und Angreifer maximalen Nutzen daraus ziehen können.

Angriffe, die mit dem Identitätsmissbrauch von Domains arbeiten, werden häufig in Verbindung mit Account Takeover und Conversation Hijacking eingesetzt. Sobald ein Account Takeover erfolgreich durchgeführt wurde, hat der Angreifer Zugang zur internen und externen Kommunikation zwischen Mitarbeitern, Geschäftspartnern und Kunden. Mit Informationen aus kompromittierten Accounts und unter Nutzung gefälschter Domains können Angreifer überzeugende Botschaften erstellen, mit dem Ziel, ihre Opfer um Geld zu betrügen. Ein Angreifer könnte sich beispielsweise als Lieferant ausgeben und Ihre Kreditorenbuchhaltung um die Änderung seiner Bankverbindung ersuchen.

Die Domain-Imitation wird schon seit geraumer Zeit genutzt, und auch wenn das Volumen insgesamt vergleichsweise gering ist, sind die Auswirkungen und die damit verbundenen Unkosten erheblich. Diese Art von Angriff ist kompliziert und erfordert eine Menge Ressourcen. Der Angreifer muss zunächst seine eigene Domain erwerben und registrieren. Dies kann kostspielig sein, aber bei sorgfältiger Ausführung kann die Domain-Imitation für den Angreifer hohe Renditen erzielen.

Die größte Herausforderung für potenzielle Opfer der Domain-Imitation ist es, Typosquatting zu erkennen und eine gefälschte von einer authentischen Website zu unterscheiden.

Stellen Sie zunächst sicher, dass der Domain-Identitätsmissbrauch Teil Ihrer Schulung zur Stärkung des Risikobewusstseins ist. Indem Sie sicherstellen, dass Ihre Mitarbeiter diese Angriffe erkennen können, ist Ihre Organisation wesentlich besser vor ihnen geschützt.

Zweitens: Da Betrüger ihre Taktiken zum Umgehen von Gateways und Filtersystemen ständig adaptieren, ist es außerdem wichtig, eine API-basierte Schutzebene für Ihre Posteingänge einzusetzen, die mit künstlicher Intelligenz arbeitet, um sehr gezielte Angriffe wie den Domain-Identitätsmissbrauch zu erkennen. Dabei werden historische Kommunikationsdaten verwendet, um bestimmten Korrespondenzen, Anfragen und Personen spezifische E-Mail-Domains zuzuordnen. Wenn also beispielsweise ein Anbieter eine ungewöhnliche Anfrage von einer nicht verifizierten Domain sendet, wird dies von dieser zusätzlichen Schutzebene erkannt und blockiert.

Drittens: Überwachen Sie neue Domain-Registrierungen auf typosquatted Domains, um sicherzustellen, dass Ihre Organisation nicht als Startrampe für solche Angriffe benutzt wird. Viele Organisationen entscheiden sich auch für den Kauf von Domains, die eng mit ihren eigenen zu verwandt sind, um potenziellen Fraud zu vermeiden.

Stellen Sie zu guter Letzt sicher, dass Ihre Mitarbeiter keine kostspieligen Fehler begehen und erstellen Sie angemessene Richtlinien und Verfahren, die vorsehen, dass alle E-Mail-Anfragen und Geldüberweisungen ordnungsgemäß zu bestätigen sind.