Vor Kurzem hatte ich die Gelegenheit, für einen Podcast mit Dave Bittner von CyberWire zu sprechen. Dabei haben wir uns darüber unterhalten, wie .AI es Cyberkriminellen ermöglicht, einige der größten Unternehmen der Welt zu kompromittieren. Dies geht aus den Forschungsergebnissen des Berichts zur Domain-Sicherheit 2023 von CSC hervor. Nachfolgend finden Sie eine Zusammenfassung der wichtigsten Punkte, die in diesem Podcast besprochen wurden.
Mangelnder Fokus außerhalb der Netzwerkgrenzen eines Unternehmens
Als Domain-Registrar für Unternehmen, der auch Markenschutz und Betrugsbekämpfung anbietet, haben wir festgestellt, dass Cybersicherheitsexperten zwar eine hervorragende Arbeit bei der Verteidigung innerhalb der Netzwerkgrenzen ihres Unternehmens leisten, es jedoch Lücken und einen Mangel an Fokus bei der Verwaltung der externen Angriffsfläche im Internet gibt. Unser jährlicher Bericht zur Domain-Sicherheit zu den Forbes Global 2000-Unternehmen unterstreicht die Bedeutung der Domain-Sicherheit im Internet.
Ein wachsender Domain-Namensraum bedeutet auch eine größere Angriffsfläche
Der Domain-Namensraum geht heute über die klassischen .COM, .NET, .ORG hinaus und hat sich auf andere Domainnamen erweitert. Dazu gehören etwa .APP und seit Neuestem auch .AI für künstliche Intelligenz.
Aus unserem Bericht geht hervor, dass 43 % der .AI-Domains durch Dritte registriert sind. Das bedeutet, dass der Markeninhaber nicht Eigentümer der Domain ist, die seine Marke beinhaltet. Das Unternehmen XYZ ist beispielsweise online auf XYZ.COM tätig. Damit ist alles in Ordnung. XYZ.AI ist jedoch Eigentum eines Dritten, bei dem es sich um eine böswillige Partei handeln könnte – einen Cyberkriminellen oder einen Betrüger. Die gleiche Logik gilt für andere neue oder bekannte gTLD- bzw. ccTLD-Domain-Endungen. Dies wirkt sich für den Markeninhaber nachteilig aus, da sein Ruf auf dem Spiel steht. Unsere Statistiken zeigen, dass viele weltweit führende Unternehmen im .AI-Domainbereich einem Risiko ausgesetzt sind.
Darüber hinaus berichteten wir, dass etwa 21 % der Subdomains nicht aufgelöst werden können. Dadurch werden Subdomains, die in Cloud-Infrastrukturen legitim vorhanden sind, anfällig für Kompromittierung durch Cyberkriminelle. Viele Unternehmen sind im Laufe der Zeit gewachsen. Sobald Akquisitionen abgeschlossen sind, finden sich DNS-Zonen (Domain-Namensystem), die seit 20 oder 30 Jahren nicht „bereinigt“ wurden. Dabei handelt es sich um exponierte Bereiche im Internet, die Cyberkriminelle ausnutzen können.
Überwachung auf Anzeichen böswilliger Absichten
Heute verfügen wir über so viele Tools, mit denen wir Bedrohungen sofort identifizieren können, z. B. wenn ein Markendomainname nicht vom Markeninhaber selbst registriert oder wenn ein Domainname als inaktiv ermittelt wird. Inaktive Domainnamen gelten als verdächtige Domainnamen, die jederzeit von Kriminellen aktiviert werden können, um gezielte Phishing- und Malware-Kampagnen zu starten. Ein inaktiver Domainname ist derzeit mit keiner Webseite verknüpft. Wenn es allerdings MX-Records gibt, die den E-Mail-Kanal aktivieren, ist dies ein Zeichen dafür, dass er sehr bald in einer Phishing- oder Malware-Kampagne verwendet werden könnte.
Inaktive Domainnamen sind von entscheidender Bedeutung und sollten in das moderne Security Operations Center integriert werden. Durch eine kontinuierliche tägliche Überwachung kann eine Website unmittelbar nach ihrer Aktivierung auf Phishing-Aktivitäten untersucht werden. Dann können sofort Maßnahmen ergriffen werden, um die Situation durch Takedown-Verfahren abzumildern.
Darüber hinaus bringen Cyberkriminelle bei diesen gezielten Angriffskampagnen auch generative KI zum Einsatz, um eine höhere Komplexität und schnellere Bereitstellung zu erreichen. Generative KI ermöglicht es Kriminellen auch, Phishing-E-Mails zu erstellen, die personalisiert, gezielt und frei von Rechtschreibfehlern sind sowie über korrekte Grammatik verfügen. Dadurch erschwert sich die Erkennung solcher E-Mails. KI-Tools aus dem Dark Web wie FraudGPT sind derzeit verfügbar und ermöglichen es Kriminellen, komplexere, Social-Engineering-Deepfake-Angriffe zu starten, die die Emotionen oder das Vertrauen ihrer Ziele noch schneller manipulieren.
Empfehlungen für eine starke Sicherheitsposition
Die Domain-Sicherheit sollte ein integraler Bestandteil der Sicherheitsposition jedes Unternehmens, jedes Online-Unternehmens und auch jedes Regierungssektors darstellen. Derzeit sind die Portfolios für Domainnamen bei vielen Unternehmen weltweit über viele generische Top-Level-Domains (gTLDs) wie .COM und länderspezifischen Endungen (ccTLDs) wie .UK verteilt. Sicherheitsexperten und Chief Information Security Officers sollten uneingeschränkten Zugriff auf das Portfolio für Domainnamen haben und diese Daten von so wenig Anbietern wie möglich verarbeiten lassen.
Sie müssen in der Lage sein, das Portfolio zu verwalten und kontinuierlich zu überwachen. Nur so können sie Social-Engineering-Angriffe identifizieren, die zu DNS-Hijacking, Domain-Hijacking oder Domain-Shadowing führen könnten, und Phishing-Angriffe verhindern.
Im Gegensatz zu Registraren im Einzelhandel empfehlen wir die Verwendung von Enterprise-Class-Registraren. Diese verfügen über gut ausgebildete Teams, die rund um die Uhr arbeiten, um Domains vor Anfragen zum Hinzufügen, Ändern und Löschen zu schützen, die vollständig autorisiert und authentifiziert werden müssen.
Wenn Sie mehr erfahren möchten, hören Sie sich das ganze Podcast-Interview an.