In den Anfangszeiten des Webs gab es nur wenige Top-Level-Domains (TLDs). Die meisten Anwender bewegten sich damals überwiegend auf Webseiten mit den Standardendungen .com, .net, .org, .edu und .gov sowie den länderspezifischen Kürzeln wie .de für Deutschland.
Aufgrund eines neuen Vergabeverfahren für generische TLDs (gTLDs) durch die ICANN Internet Corporation for Assigned Names and Numbers (ICANN) im Jahr 2012 ist jedoch die Zahl der rechtmäßig vergebenen TLDs seitdem rapide angestiegen. 2015 gab es es bereits über 1.000 TLDs.
Höhere Gefahr durch laxe Vergabe
Jede neue TLD wird von einer Organisation verwaltet, die dafür eine Evaluierungsgebühr von 185.000 US-Dollar an die ICANN entrichten muss. Zudem hat sie nachzuweisen, dass sie über die erforderliche Infrastruktur und das Know-how für den Betrieb einer entsprechenden Registrierung verfügt.
Eigentlich sollten alle Betreiber von gTLDs und länderspezifischen TLDs bei der Vergabe von Domänen eine hohe Sorgfalt an den Tag legen. Leider ist dies nicht immer der Fall. Bei Internetkriminellen hat sich schnell herumgesprochen, wer die Prüfungen eher lax durchführt, und so bevorzugen sie diese Anbieter für ihre Aktivitäten. Unternehmen und Privatnutzer können dagegen nur schwer beurteilen, ob eine neue TLD sicher oder zweifelhaft ist.
Um mehr Klarheit zu schaffen, hat eine aktuelle Studie die Webseitenaufrufe von mehr als 15.000 Unternehmen und 75 Millionen Privatnutzern weltweit untersucht. Auf Basis dieser Daten ist eine Rangliste der fragwürdigsten TLDs entstanden.
Die Top Ten der TLDs mit zweifelhaften Sites im Internet
Rang | Top-Level Domain | Anteil zweifelhafter Sites |
1 | .zip | 100,00 % |
2 | .review | 100,00 % |
3 | .country | 99,97 % |
4 | .kim | 99,74 % |
5 | .cricket | 99,57 % |
6 | .science | 99,35 % |
7 | .work | 98,20 % |
8 | .party | 98,07 % |
9 | .gq (Äquatorialguinea) | 97,68 % |
10 | .link | 96,98 % |
Warum Zip?
Interessant an der Domain.zip ist, dass es eigentlich derzeit nur eine einzige zugehörige Live-Website gibt: nic.zip. Diese leitet auf eine Informationsseite von Google zur Domain-Registrierung weiter. Trotzdem erscheinen zahlreiche .zip URLs in den untersuchten Traffic-Logs. Bei den meisten handelt es sich um Dateinamen - und nicht um URLs. Seit es die entsprechende TLD gibt, werden sie jedoch in den verschiedenen Browsern wie Links angezeigt und entsprechend behandelt.
Dies bestätigen viele Sicherheitsteams von Unternehmen, die ebenfalls Bedrohungen untersuchen und Indikatoren für gefährliches Verhalten ermitteln. Deren Berichte enthalten verschiedene .zip URLs, die mit Schadprogrammen assoziiert sind, unter anderem Malware-Familien wie Cryptowall, MiniDionis oder CozyBear.
Beispiele für gefährliche Aktivitäten
Die zweifelhaften TLDs bilden eine hervorragende Basis für kriminelle Aktivitäten. Die meisten werden für Spam- und Scam-Angriffe sowie die Verteilung von unerwünschter Software genutzt. Andere dienen zur Suchmaschinenoptimierung oder Verbesserung der Platzierung bei Suchanfragen. Dazu kommen so genannte "Junk-Sites", die auch als verdächtig eingestuft werden müssen.
Viele Seiten im Internet existieren weniger als 24 Stunden lang und sind meistens in Spam-Mails verlinkt. Sie werden häufig gewechselt, um den Updates von Sicherheitsprogrammen zuvorzukommen. Die Flut an neuen Domains sorgt inzwischen für einen unbegrenzten Nachschub an frei verfügbaren "Eintagsfliegen".
Eine aktuelle Malware-Kampagne zeigt, wie die Domain .kim für kriminelle Zwecke genutzt wird:
Auf Websites wie buu.kim und newido.kim wurden kürzlich Seiten mit verschleiertem Javascript-Code entdeckt. Der Inhalt auf diesen Seiten besteht größtenteils aus Bilddateien, die auf der Malware-verseuchten Website fourapp.info gehostet werden. Wer solche Seiten ohne Schutz durch Sicherheitssoftware aufruft, muss mit Drive-by-Downloads von Malware rechnen.
Mitte Juni 2015 wurde eine neue Variante des Fake-Video-Angriffs entdeckt: Die meistbesuchte .country-Website wurde für einen Scam mit einem angeblich "schockierenden" Video als Köder benutzt.
Eine zunehmend beliebte Masche von Scam-Betrügern ist es, Besucher auf eine Seite zu locken, die so ähnlich aussieht wie YouTube, sonst aber in keiner Weise mit YouTube in Verbindung steht.
Unter einem Video, das sich scheinbar nicht abspielen lässt, tauschen sich im Kommentarfeld andere vermeintlich "echte" Nutzer darüber aus, wie das Video zum Laufen gebracht werden kann. Dort heißt es, man müsse das Video zunächst "liken" oder "teilen" beziehungsweise an einer Online-Umfrage teilnehmen, bevor man es abspielen kann. Wer diese Tipps befolgt, nimmt entweder an einer Scam-Umfrage teil oder löst eine Spam-Attacke auf die eigenen Facebook-Freunde aus.
- Lebenszyklus einer Cyberattacke
Die IT-Security-Spezialisten von Palo Alto Networks haben den Lebenszyklus eines Hackerangriffs analysiert. In jeder der sechs Phasen einer Cyberattacke kann ein Unternehmen jedoch gezielt gegensteuern. Welche Maßnahmen und Werkzeuge dazu nötig sind, erfahren Sie hier. - 1. Ausspionieren
Hacker verwenden oft Phishing-Taktiken oder extrahieren öffentliche Informationen aus dem Social-Media-Profil eines Mitarbeiters oder von Unternehmenswebsites. Diese Informationen verwenden die Cyberkriminellen, um gezielte, scheinbar legitime Anfragen zu versenden, die den Mitarbeiter auf bösartige Links locken oder dazu verleiten sollen einen infizierten Anhang zu öffnen. Die anschließend heruntergeladene Malware verwenden Cyberkriminelle um nach ausnutzbaren Schwachstellen zu suchen. Um den Lebenszyklus zu durchbrechen, können Unternehmen URL-Filter verwenden. Damit werden Angreifer daran gehindert, Social-Media- und Website-Informationen zu manipulieren. Zudem sollten Unternehmen den Netzwerkverkehrsfluss mithilfe von Intrusion-Prevention-Technologien kontrollieren, um Bedrohungen zu erkennen und Port-Scans und Host-Sweeps zu verhindern. - 2. Vorbereitung & Auslieferung
Angreifer verwenden verschiedene Methoden wie die Einbettung von Intruder-Code in Dateien und E-Mails oder gezielt auf die Interessen des Einzelnen zugeschnittene Nachrichten. Hier können Unternehmen den Zyklus mit einer Firewall durchbrechen. Diese gewähren Einblick in den gesamten Datenverkehr und blockieren alle Hochrisiko-Anwendungen. Kombinierte Maßnahmen zur Bedrohungsabwehr wie IPS, Anti-Malware, Anti-CnC, DNS-Überwachung und Sink Holing sowie Datei- und Content-Blockierung können bekannte Exploits, Malware und eingehende Command-and-control-Kommunikation abwehren. Ergänzt werden können diese Maßnahmen durch eine cloudbasierte Malware-Analyse im Netzwerk. - 3. Ausbeutung
Angreifer, die Zugriff auf das Netzwerk erlangt haben, könnten den Angriffscode aktivieren und die Zielmaschine unter ihre Kontrolle bringen. Endpunktschutz-Technologien können bekannte wie auch unbekannte Schwachstellen-Exploits blockieren. Sandboxing-Technologie stellt automatisch eine globale Bedrohungserkennung bereit, um Folgeangriffe auf andere Unternehmen zu verhindern. Auch an dieser Stelle kann sich der Zugriff auf eine dynamische Malware-Analyse-Cloud lohnen. - 4. Installation
Angreifer etablieren privilegierte Operationen und Rootkits, führen Privileg-Eskalation durch und nisten sich dauerhaft ein im Netzwerk des Unternehmens. Unternehmen können Endpunktschutz-Technologien verwenden, um lokale Exploits zu verhindern, die zu Privileg-Eskalation und Passwortdiebstahl führen. Mit einer modernen Firewall lassen sich sichere Zonen mit strikter Benutzerzugriffskontrolle und fortlaufender Überwachung des Datenverkehrs zwischen den Zonen einrichten. - 5. Command & control
Angreifer richten einen Rückkanal zum Server ein. Auf diese Weise können Daten zwischen infizierten Geräten und dem Server ausgetauscht werden. Es gibt verschiedene Möglichkeiten, um den Angriffszyklus an diesem Punkt zu durchbrechen. Unternehmen können ausgehende Command-and-control-Kommunikation durch Anti-CnC-Signaturen blockieren. URL-Filterung kann die Kommunikation mit bekannten bösartigen URLs verhindern. Outbound-Kommunikation kann zu internen Honey Pots umgeleitet werden, um kompromittierte Hosts zu erkennen und zu blockieren. - 6. Aktivitäten am Angriffsziel
Angreifer manipulieren das Netzwerk für ihre eigenen Zwecke. Es gibt viele Motive für Cyberangriffe, wie etwa Datenextraktion, Zerstörung von kritischen Infrastrukturen oder Erpressung. Unternehmen mit feingliedriger Anwendungs- und Benutzerüberwachung können Dateiübertragungs-Richtlinien durchsetzen, um bekannte Archivierungs- und Übertragungstaktiken von Hackern zu verhindern. Dies begrenzt die Freiheit der Angreifer, sich mit Tools und Skripten seitlich im Netzwerk zu bewegen.
Tipps für Unternehmen und Privatnutzer
Ob Unternehmen oder Privatnutzer: Wer online unterwegs ist, sollte sich der Risiken beim Surfen auf gefährlichen TLDs bewusst sein. Aber auch "sichere" TLDs sind nicht davor gefeit, von Cyberkriminellen missbraucht zu werden. Starke Sicherheitsmaßnahmen und eine umfassende Security-Policy sind also nach wie vor unverzichtbar. Zudem sollten folgende einfache Tipps als Grundschutz beachtet werden:
Unternehmen sollten die riskantesten TLDs generell blockieren.
Nutzer sollten mit höchster Vorsicht auf Links in Suchergebnissen, E-Mails oder sozialen Netzwerken klicken, vor allem wenn sie zu Webseiten mit diesen TLDs führen.
Um zu verifizieren, wohin genau ein Link führt, sollten Nutzer mit der Maus den Link berühren, ohne ihn anzuklicken. Im daraufhin erscheinenden Textfeld wird die Zieladresse samt TLD sichtbar.
Auf mobilen Endgeräten lässt sich ein Link verifizieren, indem der Nutzer ihn berührt und anschließend kurz hält, anstatt ihn nur anzutippen.
Link zur Studie von Blue Coat (bw)