Typosquatting, Domain-Squatting und Co.
Betrug per Tippfehler
Online-Betrüger bedienen sich verschiedener Phishing-Methoden, um Endanwender zu übertölpeln. Hierzu zählt Typosquatting (Registrierung von "Vertipper?-Domains) ebenso wie Domain-Squatting, also die Registrierung einer auf einem bekannten Produkt- oder Markennamen basierenden Domäne. Domain-Squatting verfolgt oft das Ziel, die Domäne eines Tages mit Gewinn an den Eigentümer der Marke oder des Produkts zu verkaufen - lässt sich aber auch für Betrügereien nutzen. Eine weitere gefährliche Spielart ist der "Chefbetrug" ("CEO Fraud").
Beim Typosquatting gibt es zwei Varianten: Im ersten Fall rechnen Betrüger damit, dass sich Nutzer bei der URL-Eingabe vertippen. Der Erfolg ist stark davon abhängig, wie oft jemand versehentlich auf der falschen Website landet. Im zweiten Fall hoffen sie, dass der Empfänger eines Links zum Beispiel in einer E-Mail den Unterschied zur richtigen URL nicht bemerkt, darauf klickt und auf einer gefälschten Website personenbezogene Daten eingibt oder aber seinen Rechner mit Malware infiziert.
Untersuchungen zeigen, dass verschiedene Formen des Vertippens sehr häufig auftreten: das Vertauschen von Buchstaben (youtube, yuotube), die falsche Dopplung eines Buchstabens, (google, goggle) oder das Vergessen eines Buchstabens (example, exmple). Hinzu kommt das sogenannte Bitsquatting: Ein Buchstabe wird mit einem auf der Tastatur danebenliegenden vertauscht (wikipedia.org, eikipedia.org). Cyberkriminelle haben sich auf zwei Varianten spezialisiert: erstens Zahlen, die - insbesondere bei serifenloser Schrift wie Arial - Buchstaben ähnlich sehen (paypal, paypa1); zweitens irreführende Domain-Namen (info-paypal.com), was manchmal auch als Typosquatting klassifizierbar ist. Hier findet man auch bekannte Domain-Namen als Subdomain-Namen einer fremden Site (paypal.com.betrug.xyz), in der Hoffnung, dass dies als Teil einer längeren URL nicht auffällt.
Mangelnde Abwehrbereitschaft
Um Betrügern zuvorzukommen, registrieren einige rechtmäßige Eigentümer zu ihrem Schutz zusätzlich zu ihrer Original-Domain auch typische Typosquat-Domains. Doch obwohl 95 Prozent der bekanntesten Websites von Typosquatting betroffen sind, schützen sich bisher nur sehr wenige Unternehmen aktiv dagegen. Selbst kritische Branchen wie Finanzdienste stellen hier keine Ausnahme dar, obwohl der Aufwand durch eine proaktive Registrierung der Domains sehr gering ausfällt. Dies öffnet Betrügern Tür und Tor.
Eine Untersuchung der Stony Brook University aus dem Jahr 2015 beobachtete vier Formen des Typosquattings, um herauszufinden, wie sich der Missbrauch eindämmen lässt. Die Studie analysierte die 500 meistbesuchten Websites über einen Zeitraum von sieben Monaten und prüfte, ob Typosquatting-Domains vorhanden und für welchen Zweck sie angelegt worden waren. Die Forscher unterteilten die Domain-Nutzung dabei in vier Bereiche:
- Affiliate-Missbrauch: Die Typosquat-Domains leiten Besucher auf die Original-Domain weiter, die sie eigentlich besuchen wollten. Die Inhaber der falschen URL lassen sich im Rahmen eines Affiliate-Programms für die Weiterleitung bezahlen.
- Betrug: Besucher von Typosquat-Domains fallen einem Betrugsversuch zum Opfer. Das können falsche Warnungen sein, Malvertising oder auch Umfragen oder Werbung von anderen Sites. Die Liste ist endlos, doch eines haben die meisten Sites gemein: Sie fordern den Besucher auf, eine Aktion durchzuführen, die letztlich dem Eigentümer der Typosquat-Domain Geld einbringt.
- Schutzregistrierung: Die Domain leitet die Besucher direkt auf die richtige Website weiter. Die Untersuchungen teilten auch Websites in diese Kategorie ein, die legitim waren und rein zufällig als Typosquat-Domains in Betracht kamen.
- Sonstiger Grund für die Registrierung: Websites, die in keine der andere Kategorien passten. Das sind vor allem Websites, die zwar registriert sind, aber (noch) keine Inhalte anzeigen.
Die Schlussfolgerungen der Untersuchung der Stony Brook University lauteten wie folgt:
- 95 Prozent der 500 meistbesuchten Websites wiesen Typosquat-Domains auf.
- Ein sehr geringer Prozentsatz schützte sich aktiv mit der Registrierung der Typosquat-Domains.
- Die große Mehrheit der Typosquat-Domains ließ sich auf eine kleine Gruppe von Betrügern zurückführen.
- Mehr als die Hälfte der Typosquat-Domains zeigte nur Werbung an.
- Typosquat-Domains von Sites pornografischen Inhalts fingen die Besucher größtenteils ab und leiteten sie auf eine konkurrierende Site weiter.
- Die meistverbreitete Form der Typosquat-Domains sind URLs, bei denen nur ein Punkt im Namen fehlt.
- Je kürzer der Domain-Name, desto größer ist die Chance, dass dem Original sehr ähnliche Typosquat-Domains vorhanden sind. Bei Domain-Namen mit bis zu acht Buchstaben sind durchschnittlich 75 Prozent der dazugehörigen Typosquat-Domains registriert.
- Im siebenmonatigen Zeitraum stellten die Forscher fest, dass die Nutzung mancher Typosquat-Domains sich ins Gegenteil drehte. Beispiel: Hat der Eigentümer der Original-Domain die Registrierung der Typosquat-Domain auslaufen lassen, reagieren die Betrüger sehr schnell und übernehmen diese. Zudem wechselten die Modelle, an denen die Betrüger verdienten, beispielsweise von Werbung hin zu Umfragen.
- Fängt eine Site Besucher für Affiliate-Zwecke ab, lotst sie diese über verschiedene Zwischenstationen auf die Original-Site. Das hat den Hintergrund, dass der Originalinhaber, der die Affiliate-Kosten zahlt, nicht sehen soll, dass der Besucher direkt bei ihm landen wollte und sich nur vertippt hatte.
Anwendung findet Typosquatting auch in der häufig genutzten Betrugsform des E-Mail-Spoofings. Ein Beispiel hierfür ist der sogenannte "Chefbetrug" oder "CEO Fraud": Kriminelle schicken der Buchhaltung im Namen des CEOs eine E-Mail mit der Bitte, schnellstmöglich einen Betrag auf ein bestimmtes Konto zu überweisen, und nutzen dabei einen Ton der Dringlichkeit, der keine Einwände duldet. Dass der Auftrag nicht vom Chef selbst kam, stellt sich dann erst heraus, wenn es schon zu spät ist. Um der E-Mail Glaubwürdigkeit zu verleihen, kommen oft Typosquat-Domains zum Einsatz.
Schutzmaßnahmen
Der erste Schritt zur Abwehr ist die Registrierung der Typosquat-Domains. Die Frage ist dabei allerdings, in welchem Maße es sich lohnt, Domains zu registrieren, die den eigenen ähneln: Wie viele müssen es sein und vor allem, welche? Eine pauschale Empfehlung gibt es nicht, denn die optimale Anzahl hängt von den Risiken und Kosten ab. Hinzu kommt, dass bei einem langen Domain-Namen die Anzahl von Möglichkeiten sehr schnell ansteigt. Die Untersuchungen fanden allerdings heraus, dass kürzere Domain-Namen bei der Auswahl von Domains für Typosquatting beliebter sind. Im Allgemeinen gilt also die Empfehlung, sich bei der Auswahl der zu schützenden Domains auf die zu beschränken, die der eigenen am stärksten ähneln.
Um diese Domains herauszufinden, gibt es mehrere Indikatoren. Am weitesten verbreitet ist die "Damerau-Levenshtein"-Distanz. Sie beschreibt den Unterschied zwischen zwei Domain-Namen, zum Beispiel, indem man einen Buchstaben, Punkt usw. hinzufügt oder weglässt. Das gilt auch, wenn zwei nebeneinander stehende Buchstaben verwechselt werden. Eine sogenannte "Dicke Finger?-Distanz mit dem Abstand eins bedeutet, dass ein Buchstabe mit einem Zeichen verwechselt wurde, das auf einer Nachbartaste der Standardtastatur steht.
Eine etwas aufwendigere Form des Schutzes ist die Beobachtung möglicher Typosquat-Domains. Sobald eine dieser Domains registriert wird, kann das Unternehmen dagegen bei den zuständigen Behörden Einspruch erheben. Dabei sollte man folgendes Urteil des Bundesgerichtshofs aus dem Jahr 2009 beachten: "Die Registrierung von Domains, mit dem Ziel, diese später zu veräußern, ist grundsätzlich zulässig und kann nur bei Vorliegen besonderer Umstände den Tatbestand einer unlauteren Mitbewerberbehinderung erfüllen und einen Anspruch auf Einwilligung in die Löschung des Domain-Namens begründen. Ein Löschungsanspruch ist ausgeschlossen, wenn ein einem Domain-Namen entsprechendes Unternehmenskennzeichen eines Dritten erst nach der Registrierung des Domain-Namens in Gebrauch genommen wird und für den Domain-Inhaber zum Registrierungszeitpunkt kein besonderes Interesse eines bestimmten Unternehmens erkennbar war, gerade einen dieser Geschäftsbezeichnung entsprechenden Domain-Namen zu verwenden."
Es ist somit besser, mit proaktiver Registrierung vorzusorgen. Natürlich gibt es noch weitere Möglichkeiten für Unternehmen, Typosquat-Domain-Betrug vorzubeugen. Dies kann, abhängig von der Brisanz der Situation, der Weg über die Registrierungsorganisation ICANN oder die Polizei sein. Zudem kann ein Unternehmen durch Training der Mitarbeiter auf die Möglichkeit von Betrug hinweisen. Zum Schutz der Besucher einer Website sollte der Betreiber SSL-Zertifikate zur Authentifizierung verwenden. So können Nutzer sich versichern, dass sie wirklich auf die gewünschte Website zugreifen.
Beim erwähnten "Chefbetrug" wiederum muss der Empfänger eigentlich damit rechnen, dass er einen solchen Auftrag wie oben beschrieben nie ohne Weiteres erhalten wird. Entweder sollte er direkt Vorgesetzte einschalten oder sich die Order telefonisch bestätigen lassen. Gegen diese Masche helfen technische Hilfsmittel nur wenig, denn die Betrüger haben den schwächsten Punkt der Sicherheitskette im Visier: den ahnungslosen Mitarbeiter. Daher ist es von großer Bedeutung, intern Protokolle zu entwickeln, die beschreiben, wie bei solchen E-Mails vorzugehen ist. Ein wichtiger Punkt neben dem Training der Mitarbeiter können automatisierte Beschränkungen sein - einerseits der zu überweisenden Summen, andererseits der Konten in bestimmten Ländern wie zum Beispiel auf den Bahamas.
Lesen Sie mehr zum Thema
