Domains sind die für Menschen lesbaren Webadressen und ermöglichen somit die Benennung von Websites und die Erstellung von E-Mail-Adressen. Eine Domain besteht im Wesentlichen aus zwei Elementen: dem Second-Level-Namen (oft ein Markennamen und/oder relevante Schlüsselwörter) und der Domain-Erweiterung oder Top-Level-Domain (TLD).
Es gibt verschiedene Arten von TLDs, z. B. generische (oder globale) TLDs (gTLDs), die ursprünglich dazu gedacht waren, eine Beschreibung des Website-Typs zu liefern, wie z. B. .COM für Webseiten von Unternehmen oder .ORG für gemeinnützige Organisationen. Es gibt auch länderspezifische TLDs (ccTLDs) für die jeweiligen Länder, z. B. .CO.UK für Großbritannien, .DE für Deutschland, etc. Und schließlich gibt es eine Reihe neuer gTLDs, die seit 2013 eingeführt wurden . Sie beziehen sich in der Regel auf bestimmte Themen oder Inhalte, Geschäftsbereiche, Interessen oder geografische Bereiche (z. B. .SHOP,.CLUB, .TOKYO). Für jede TLD gibt es eine Registrierungsbehörde, die ihre Infrastruktur verwaltet.
Mit Domains verbundene Inhalte umfassen das gesamte Inhaltspektrum im Internet, von der rechtmäßigen Nutzung durch Marken oder Einzelpersonen bis hin zu rechtsverletzenden oder kriminellen Aktivitäten. CSC hat beobachtet, dass Domains unter ganz bestimmten TLDs häufiger für kriminelle Inhalte verwendet werden.
Es gibt mehrere mögliche Gründe, warum bestimmte TLDs für Rechtsverletzer attraktiver sind, u. a. die Kosten für die Domain-Registrierung und die Schwierigkeiten bei der Durchführung von Durchsetzungsmaßnahmen (Takedowns) gegen rechtsverletzende Inhalte. TLDs, die von bestimmten Registrierungsbehörden betrieben werden, etwa denen, die günstige oder kostenlose Domain-Registrierungen anbieten oder die eine laxe Sicherheitspolitik bei der Registrierung verfolgen, werden eher für rechtsverletzende Aktivitäten genutzt. Darüber hinaus erweisen sich Domain-Endungen ohne klar definierte, zuverlässige Durchsetzungswege wie .VN (Vietnam) und .RU (Russland) als besonders riskant. Andere Faktoren sind ebenfalls von Bedeutung. So wirkt sich beispielsweise der Wohlstand eines Landes auf das technische Fachwissen der Internetdienstleister (ISP) und damit auf die Wahrscheinlichkeit aus, dass Domains gefährdet werden.
In diesem zweiteiligen Blog-Beitrag wollen wir die Bedrohungsstufen, die mit bestimmten Domain-Endungen verbunden sind, messen, d. h. die Wahrscheinlichkeit, dass eine Domain unter einer bestimmten TLD für betrügerische Zwecke registriert wird.
Teil 1: TLDS von Phishing-Websites
Die Ermittlung der insgesamten Häufigkeit von der Bedrohungen für jede TLD ist in mehrfacher Hinsicht nützlich:
- Priorisierung der durch einen Markenschutzdienst ermittelten Ergebnisse. Die TLD kann beispielsweise verwendet werden, um die wichtigsten Ziele für die künftige Überwachung von Inhaltsänderungen zu ermitteln.
- Identifizierung von TLDs, bei denen es ratsam ist, Domains mit wichtigen markenbezogenen Namen defensiv zu registrieren, um zu verhindern, dass sie von Drittparteien in böser Absicht registriert werden.
- Identifizierung von TLDs, bei denen es vorteilhaft für Markenschutzanbieter ist, eine „Sperrung“ oder Warnungen einzurichten, wenn z. B. ein Dritter versucht, eine Domain zu registrieren, die einen markenbezogenen Begriff enthält.
Analyse und Diskussion
Für diesen ersten Beitrag haben wir Daten der Anti-Fraud-Dienstleistungen von CSC analysiert, um die TLDs zu ermitteln, die mit für Phishing-Aktivitäten verwendeten Domains in Verbindung stehen. Die Analyse umfasst alle Webseiten, die zwischen November 2021 und April 2022 für TLDs mit mehr als 10 Phishing-Fällen entdeckt wurden und bei denen domainbasierte (im Gegensatz zu subdomainbasierten) Phishing-Fälle erfasst wurden. Die Ergebnisse bezogen sich auf 115 verschiedene TLDs.
Darüber hinaus betrachten wir auch die Häufigkeit der Domain-Nutzung unter der betreffenden TLD in Verbindung mit bedrohlichen Inhalten. Dazu drücken wir die Rohdaten als Anteil der Gesamtzahl der unter der TLD registrierten Domains aus[1]. Anschließend standardisieren wir die Daten, so dass der Wert für die TLD mit der höchsten Bedrohung 1 ist und alle anderen Werte in diesem Datensatz entsprechend skaliert werden. Dabei muss beachtet werden, dass dieser Wert den Anteil der bösartigen Domains unter jeder TLD widerspiegelt und nicht die Gesamtzahlen. Bei einigen anderen TLDs ist die Zahl der Rechtsverletzungen dagegen aufgrund der Gesamtzahl der Domain-Registrierungen unter diesen Endungen hoch. Tabelle 1 zeigt die oberen zwanzig TLDs, die im Phishing-Datensatz von CSC vertreten sind (nach totalen Zahlen), zusammen mit der vereinheitlichen Bedrohungshäufigkeit für diese TLDs.
TLD | % der Phishing-Fälle insgesamt | Gesamtzahl d. registr. Domains unter der TLD | Normalisierte Bedrohungshäufigkeit im Datensatz |
.COM | 45,7 % | 221.858.334 | 0,014 |
.ORG | 6,9 % | 15.550.733 | 0,031 |
.APP | 6,2 % | 1.155.807 | 0,377 |
.NET | 4,8 % | 19.773.315 | 0,017 |
.XYZ | 2,5 % | 10.841.304 | 0,016 |
.RU | 2,5 % | 10.627.033 | 0,016 |
.CO | 2,1 % | 4.110.132 | 0,035 |
.CN | 1,7 % | 25.147.816 | 0,005 |
.ME | 1,3 % | 1.669.800 | 0,054 |
.DEV | 1,2 % | 391.929 | 0,222 |
.BR | 1,2 % | 5.519.378 | 0,015 |
.TOP | 1,2 % | 8.830.142 | 0,009 |
.IO | 1,1 % | 923.588 | 0,085 |
.IN | 1,1 % | 3.271.337 | 0,023 |
.PAGE | 1,0 % | 368.474 | 0,195 |
.ID | 0,9 % | 760.240 | 0,080 |
.ICU | 0,8 % | 7.956.385 | 0,007 |
.INFO | 0,8 % | 7.852.896 | 0,007 |
.DE | 0,7 % | 22.881.115 | 0,002 |
.KE | 0,7 % | 165.907 | 0,288 |
Ähnliche Muster haben wir in anderen Analysen von bedrohlichen Inhalten beobachtet. Die Studie „Malware Landscape 2022” von Interisle ergab, dass die oberen zehn TLDs, die mit Malware-Domains in Verbindung gebracht werden, ebenfalls eine Mischung aus alten gTLDs (.COM an erster Stelle, .NET an fünfter Stelle, .ORG an sechster Stelle und .BIZ an zehnter Stelle), neuen gTLDs (.XYZ an zweiter Stelle, .CLUB an siebter Stelle und .TOP an neunter Stelle) und ccTLDs (.BR, .IN und .RU an dritter, vierter bzw. achter Stelle) darstellen[2]. Acht dieser 10 Erweiterungen finden sich unter den ersten 14 in der obigen Phishing-Liste von CSC. In ähnlicher Weise analysierte der „Phishing Activity Trends Report“ der Anti-Phishing Working Group (APWG) für das Q4 2021 die oberen Phishing-TLDs. Unter den oberen neun befanden sich neben alten gTLDs die neuen gTLDs .XYZ, .BUZZ und .VIP sowie die ccTLDs .BR und .IN. Die neuen gTLDs waren in dem Datensatz mehr als doppelt so stark vertreten, wie man es allein aufgrund der Gesamtzahl der mit diesen Erweiterungen registrierten Domains erwarten würde[3]. Auch eine Studie von Agari und PhishLabs für das Q1 2022 zeigte ähnliche Muster. Zu den zehn am häufigsten durch Phishing missbrauchten TLDs (nach Anzahl der Websites) gehörten die neuen gTLDs .VIP, .XYZ und .MONSTER sowie die ccTLDs .BR, .LY und .TK[4],[5].
Tabelle 2 zeigt, dass das Gesamtbild ganz anders aussieht, wenn man die oberen TLDs nach ihrer standardisierten Bedrohungshäufigkeit betrachtet. Die Liste wird von einer Reihe von ccTLDs und einer geringeren Anzahl von neuen gTLDs dominiert und führt viele der zuvor gezeigten beliebten TLDs nicht mehr auf.
TLD | Normalisierte Bedrohungshäufigkeit im Datensatz | Gesamtzahl d. registr. Domains unter der TLD | % der Phishing-Fälle insgesamt |
.GD | 1,000 | 3.306 | 0,05 % |
.GY | 0,910 | 4.037 | 0,05 % |
.MS | 0,739 | 9.440 | 0,10 % |
.ZM | 0,531 | 4.838 | 0,04 % |
.APP | 0,377 | 1.155.807 | 6,21 % |
.LY | 0,356 | 25.801 | 0,13 % |
.KE | 0,288 | 165.907 | 0,68 % |
.DEV | 0,222 | 391.929 | 1,24 % |
.PAGE | 0,195 | 368.474 | 1,03 % |
.UG | 0,187 | 10.810 | 0,03 % |
.SN | 0,187 | 9.842 | 0,03 % |
.DO | 0,176 | 30.215 | 0,08 % |
.BD | 0,127 | 37.465 | 0,07 % |
.SBS | 0,120 | 44.222 | 0,08 % |
.NP | 0,112 | 57.379 | 0,09 % |
.SH | 0,110 | 25.070 | 0,04 % |
.NG | 0,097 | 240.668 | 0,33 % |
.IO | 0,085 | 923.588 | 1,11 % |
.ID | 0,080 | 760.240 | 0,86 % |
.SA | 0,079 | 60.246 | 0,07 % |
Im zweiten Artikel dieser Reihe vergleichen wir diese Ergebnisse mit denen aus zusätzlichen Datensätzen, um ein Gesamtmaß für die Bedrohungshäufigkeit von TLDs unter Berücksichtigung einer Reihe von betrügerischen Nutzungen zu erstellen. Anschließend gehen wir auf die Auswirkungen auf die Cybersicherheit ein, erörtern Maβnamen und erläutern, wie CSC bei diesem Prozess helfen kann.
[1] domainnamestat.com/statistics/tldtype/all
[2] interisle.net/MalwareLandscape2022.pdf
[3] docs.apwg.org/reports/apwg_trends_report_q4_2021.pdf
[4] info.phishlabs.com/hubfs/Agari%20PhishLabs_QTTI%20Report%20-%20May%202022.pdf
[5] tripwire.com/state-of-security/security-data-protection/phishing-threat-trends-intelligence-report/