News

    David Goldstein - .cm Typosquatting Domains erhalten 45 Millionen Besuche pro Jahr

    23.05.2018

    Domain-Namen, die unter Kameruns ccTLD .cm registriert sind, stellen ein erhebliches Sicherheitsrisiko dar, da sie sehr oft absichtlich von Typosquattern registriert werden, mit der Absicht, .com Domain-Namen von einigen der größten weltweit agierenden Unternehmen zu imitieren. Beim Besuch der Webseiten ist es üblich, dass Nutzer mit irreführenden Maleware-Warnungen und Scam-Webseiten sowie Spam bombardiert werden. Und es scheint, dass einige dieser großen Unternehmen sehr wenig dagegen tun.

    Laut einer Studie von KrebsOnSecurity, analysierte der Sicherheitsexperte Mathew Chambers für das erste Quartal 2018 die .cm Zugriffsprotokolle und stellte fest, dass die von Typosquatting betroffenen Webseiten 11,8 Millionen mal besucht wurden, was in etwa 45 Millionen Besuchern pro Jahr entspricht. Viele derjenigen, die diese Webseiten versehentlich besuchen, werden dann „mit irreführenden Maleware-Warnungen bombardiert und auf Scammy- und Spam-Webseiten umgeleitet.“ Als Ergebnis machen die Betreiber der Webseiten wahrscheinlich gutes Geld, ungeachtet des Inhalts, der durch sie geliefert wird.

    Die Studie kam zustande, nachdem einige Internetnutzer Chambers über Probleme berichteten, die angeblich folgten, nachdem sie espn.com eingegeben hatten, berichtete KrebsOnSecurity. Tatsächlich hatten sie jedoch espn.cm eingegeben. Beim Besuch von espn.cm (bitte nicht tun!), stellte Chambers fest, dass er „schnell seinen Computerbildschirm mit Warnungen über Maleware und unzählige andere Pop-ups gefüllt hatte.“

    „Eine Sache, die wir bemerken, ist, dass alle Links, die von diesen Domains generiert werden, nur einmal funktionieren. Beim Versuch sie erneut aufzurufen erscheint 404,“ schrieb Chambers und bezog sich auf die 404-Standardnachricht, die im Browser angezeigt wird, wenn eine Webseite nicht gefunden werden kann. „Die Datei wird gelöscht, um Nachforschungen zu verhindern oder automatische Scanner daran zu hindern, sie herunterzuladen. Auch einige der Exploit-Codes auf diesen Seiten werden sich willkürlich auflösen und sie werden keinen Code darauf finden und dennoch können sie gerade als Waffe für Angriffe umgewandelt worden sein. Es könnte der User Agent oder irgendein anderer Faktor sein, aber sie werden auf jeden Fall für einen längeren Zeitraum inaktiv.“

    KrebsOnSecurity, vom Sicherheitsexperten Brian Krebs geleitet, hat einige Ratschläge für Internetnutzer, die die Internetadresse direkt eingeben – bitte tun sie es nicht!

    „Wenn Sie die Gewohnheit haben, direkt zu Webseiten zu navigieren (d.h. den Namen der Webseite in eine Adresszeile des Webbrowsers einzugeben), sollten Sie sich dieser riskanten Praxis entledigen. Wie diese allgegenwärtigen Typosquatting-Seiten zeigen, ist es eine gute Idee, nicht direkt zu Webseiten zu navigieren, die sie häufig besuchen. Markieren Sie stattdessen die Webseiten, die sie am häufigsten aufrufen, insbesondere diejenigen, die Ihre persönlichen und finanziellen Informationen speichern oder die einen Login für den Zugriff benötigen.“

    Beim etwas tieferen Graben in den Domain-Namen, die vom Typosquatting betroffen waren, fand Krebs heraus, dass über tausend Domains von einigen der größten Unternehmen von der gleichen IP Adresse verwaltet wurden, die zu einem Unternehmen gehörte, das von einem erst kürzlich überführten Verbrecher geleitet wurde.

    „Es ist bemerkenswert, dass so viele große Unternehmensmarken nicht mehr tun, um ihre Marken zu überwachen und um zu verhindern, dass potenzielle Besucher Opfer solch eklatanter Typosquatting-Fälle werden.“