Die Gefahr Opfer eines Lookalike-Domain-Angriffs zu werden ist groß: Egal ob Großbank, Softwareunternehmen oder Regierungsbehörden – allein seit Anfang 2022 wurden mehr als 1.600 Domains verwendet, die die Unternehmens- und Multi-Faktor-Authentifizierungs-Schreibweise missbrauchten und über 10.000 Organisationen durch Adversary-in-the-Middle (AitM)-Taktiken angegriffen haben.
Das zeigt ein aktueller Report der Infoblox Threat Intelligence Group. Infoblox analysiert dafür täglich mehr als 70 Milliarden DNS-Ereignisse und hat 300.000 Lookalike-Domains zwischen Januar 2022 und März 2023 kuratiert, um das Ausmaß und die Raffinesse von Lookalikes als Angriffsvektor aufzuzeigen.
Was ist ein Lookalike-Domain-Angriff?
Bei einem „Lookalike“-Angriff verwenden Hacker Domains, die legitimen URLs visuell täuschend ähnlich sind, um User zum Besuch bösartiger Websites zu verleiten. Die Domain-Schreibweise unterscheidet sich meist nur in kleinsten Details, die auf den ersten Blick kaum zu erkennen sind. Durch die relativ einfache Umsetzbarkeit sind Lookalike-Domains eine gängige und sich stetig weiterentwickelnde Technik, die meist in Phishing-E-Mails verwendet wird.
Mittlerweile kommt sie aber auch bei fortgeschritteneren Angriffen zum Einsatz, die beispielsweise darauf abzielen, Multi-Faktor-Authentifizierung (MFA) zu umgehen. Mithilfe von Adversary-in-the-Middle (AitM)-Techniken versuchen die Angreifer, ihren Opfern vorzugaukeln, dass sie während der Authentifizierung mit dem echten Netzwerk des Unternehmens interagieren.
Fakten zu Lookalike-Domain-Angriffen:
- Lookalike Domains sind ein beliebtes Mittel für Cyberkriminelle, die es auf Privatpersonen und Unternehmen abgesehen haben. Social-Media-Plattformen, große Marken, aber auch kleine Unternehmen sind gefährdet. Die Angreifer nutzen verschiedene Methoden wie SMS, Telefonanrufe, Direktnachrichten in sozialen Medien, E-Mails und QR-Codes, um „Lookalikes“ einzusetzen.
- Handys und Laptops sind aufgrund kleinerer Bildschirme und einer fehlenden Linkvorschau anfälliger für Lookalike-Angriffe. Selbst sicherheitsbewusste Personen können einem gut gestalteten Lookalike zum Opfer fallen, insbesondere in Kombination mit anderen Social-Engineering-Taktiken wie SMS-Nachrichten oder dringenden Telefonanrufen.
- Smishing, also der Versand von Phishing-Nachrichten per SMS, nimmt trotz der Verbesserungen bei den Spam-Filtern für Mobiltelefon-SMS zu. Die Angreifer sind in der Lage, schnell eine große Anzahl von Nachrichten zu verbreiten und einige der Sicherheitsmechanismen zu umgehen, die zum Schutz vor E-Mail-Phishing-Angriffen eingerichtet wurden.
SMS werden sowohl für breit angelegte Angriffe auf Verbraucher als auch für gezielte Spearphishing-Angriffe auf Mitarbeiter von Unternehmen eingesetzt. Cyberkriminelle, wie die von Infoblox als OpenTangle und Scamélie bezeichneten Angreifer, zielen mit Lookalike-Domains auf Verbraucher und Regierungsangestellte ab. Allein von OpenTangle werden seit etwa 2 Jahren über 1500 Domains kontrolliert.
- Lookalike-Domains werden nicht nur als Webseiten-Domains verwendet. Sie tauchen auch als Nameserver, Mailserver, CNAME Records und PTR Records auf. Die Verwendung von Lookalikes als Mailserver stellt eine zusätzliche Herausforderung für die Erkennung von Phishing-E-Mails auf einem Endpunkt dar, da die E-Mail-Kopfzeilen auf den ersten Blick legitim erscheinen. Lookalikes eignen sich perfekt für Malware Command and Control (C2), da sie sich leicht neben legitimen Domains in den Netzwerkverkehr einfügen.
- Auch die MFA ist in Gefahr. Seit Anfang 2022 wurden mehr als 1.600 Domains verwendet, die MFA-Schlüsselwörter wie „mfa“, „okta“ oder „2fa“ nachahmten. Beispiele sind wecc-okta[.]org, wecc-oktc[.]org und wecc-okta[.]com, die alle im Februar 2023 registriert wurden und die gleiche IP-Adresse haben.
Die weltweiten Ziele reichen von Großunternehmen bis hin zu großen Banken, Softwareunternehmen, Internetdienstanbietern und Regierungsstellen. Infoblox entdeckte MFA-Lookalikes für Dienste wie Dropbox, Paypal, Microsoft, Okta, Netflix, Amazon, Tripadvisor und YouTube.
5 Tipps, sich vor Lookalike Domains zu schützen:
- Das schwächste Glied in der Cybersecurity ist oft der Mensch. Phishing-Angriffe sind eine ernsthafte Bedrohung für Einzelpersonen, Unternehmen und Organisationen. Wenn Sie Anzeichen eines Phishing-Angriffs erkennen können und Maßnahmen zum eigenen Schutz ergreifen, können Sie das Risiko, Opfer eines solchen Angriffs zu werden, verringern. Seien Sie aufmerksam und proaktiv!
- Implementieren Sie Security-Lösungen auf DNS-Ebene. Mehr als 90 % der Malware nutzt auf ihrem Weg in und aus dem Netzwerk das DNS. Daher kann die Integration von DDI-Metadaten in den Sicherheits-Stack eines Unternehmens dazu beitragen, Hacker so früh wie möglich zu erkennen. Das bedeutet: Selbst, wenn die Mitarbeiter und Firewalls die Angreifer nicht als solche erkennen, tut es die DNS Security Lösung. Somit kann eine gut konfigurierte DNS-Sicherheitslösung die schadhafte Kommunikation direkt an der Wurzel erkennen und helfen, die richtigen Maßnahmen zu ergreifen, bevor Schlimmeres passiert.
- Eine gute und moderne DDI-Lösung kann Router, Switches und Load Balancer (also alle Layer-2 und Layer-3 Geräte) zentral und unkompliziert erfassen und so Sichtbarkeit im Netzwerk bieten. Die Integration von DDI-Metadaten in den Sicherheits-Stack eines Unternehmens kann dazu beitragen, Hacker so früh wie möglich zu erkennen, da so der Datenverkehr und das Verhalten jedes Geräts im Netzwerk sichtbar sind.
- Überprüfen Sie regelmäßig Ihre DNS-Aufzeichnungen und löschen Sie alle veralteten Zuweisungen. DNS-, DHCP- und IP-Adress-Management-Tools, kurz DDI, können dies heutzutage sogar automatisiert über das sogenannte DNS Scavenging. Sie sorgen so dafür, dass keine DNS-Records übersehen und vergessen werden, die dann von den Kriminellen für ihre Zwecke missbraucht werden können.
- Automatisieren Sie Ihre Sicherheitsmaßnahmen, wo immer dies möglich ist, um das Risiko menschlicher Fehler zu verringern, da diese leicht übersehen können, was sich direkt vor ihnen befindet.