Die Welt der Subdomains

Die Welt der Subdomains

Eine Web-Domain ist ein Teilbereich des Internets, dessen Inhaber (bzw. Registrant) dazu berechtigt ist, eine damit verknüpfte Website zu erstellen und zu hosten. In einer Domain kann der Inhaber auch jede beliebige Subdomain einrichten. Dazu werden aus technischer Sicht die Einträge auf dem autoritativen Domain-Name-System-(DNS-)Server konfiguriert. Der Subdomain-Name steht in der URL vor dem Domain-Namen und wird von diesem mit einem Punkt getrennt (z. B. „blog“ in der URL https://blog.cscglobal.com/). Subdomains können bei der Erstellung von Webadressen für verschiedenste Zwecke verwendet werden, zum Beispiel für individuelle Microsites für Submarken und Kampagnen oder regions- oder themenspezifische Unterseiten. Manche Internetdienstleister, die private Subdomain-Registrierungsbehörden genannt werden, verkaufen auch bestimmte kommerzialisierte Subdomains ihrer Website, damit Nutzer ihre eigenen Websites erstellen können (z. B. „Second-Level-Domains“ wie blogspot.com, die es Nutzern ermöglicht, URLs in Form von benutzername.blogspot.com zu registrieren, um – in diesem Fall – einen persönlichen Blog einzurichten).

Missbrauch von Subdomains bei allgemeinen Online-Inhalten

Aus Sicht der Markenüberwachung können verschiedene Markenrechtsverletzungen vorliegen, wenn ein Markenname oder andere relevante Schlüsselwörter in der Subdomain einer externen URL enthalten sind. Anlass zur Sorge geben unter anderem:

  • Subdomains, die Traffic von Suchmaschinenanfragen falsch auf Inhalte von Dritten umleiten
  • Websites, die vorgeben, zur jeweiligen Marke zu gehören
  • Reputationsprobleme, d. h. Websites mit Informationen, Kommentaren vin Kunden oder mit Aktivismus verbundenen Materialien, die eine bestimmte Marke betreffen
  • URLs, die der URL der offiziellen Markenwebsite täuschend ähneln (und z. B. für betrügerische Aktivitäten, Phishing oder die Verbreitung von Malware genutzt werden)

Markenspezifische Subdomains können bei Internetnutzern für Verwirrung sorgen und sind ein effektiver Bedrohungsvektor, weil sie vertrauten, legitimen URLs ähneln. Zum Beispiel könnte die hypothetische und inoffizielle Domain cscglobal.blog.com für eine überzeugende Fälschung der offiziellen Version blog.cscglobal.com verwendet werden.

In den letzten Monaten wurden für einige (oft SMS-basierte) Phishing-Angriffe Markennamen in der Subdomain eingesetzt, um scheinbar höchst vertrauenswürdige, aber irreführende URLs zu erstellen[1][2], wie Abbildung 1 veranschaulicht.

Abbildung 1: Beispiel für einen SMS-basierten Phishing-Angriff auf HSBC-Kunden aus dem Jahr 2021

Bei diesem Angriff auf britische Bankkunden enthielt die Phishing-URL in der Subdomain einen Verweis auf HSBC und die Domain begann mit „uk“ (uk-account.help). So entstand eine URL, die der offiziellen URL hsbc.co.uk/account-help stark ähnelte. Für den Link zur Phishing-Website wurde zudem das HTTPS-Protokoll verwendet, das früher als Indikator für Vertrauenswürdigkeit galt. Heute wird dieses jedoch von über 80 % der Phishing-Websites eingesetzt,[3] da SSL-Zertifikate einfach von kostenlosen Anbietern erworben werden können. Dieser Ansatz ist aus mehreren Gründen besonders effektiv. So wird zum Beispiel eine neue generische Top-Level-Domain-(gTLD-) Extension angewandt, mit der manche Nutzer womöglich nicht vertraut sind. Außerdem wird die Tatsache genutzt, dass bei mobilen Endgeräten auf einen Bindestrich üblicherweise ein Zeilenumbruch folgt. Zonendateianalysen zeigen, dass es mindestens mehrere hundert neue registrierte gTLD-Domains mit einem ähnlichen Namensformat gibt, die für betrügerische Zwecke genutzt werden könnten. Dazu zählen etwa uk-authorization-online.support, uk-gov.tax, uk-insurance.claims, uk-border.agency und uk-lottery.win.

Weitere aktuelle Beispiele für Subdomains mit Markennamen in Phishing-Scams sind etwa hermes.online-parcel-reschedule.com (für das Logistikunternehmen Hermes) und o2.billing9k7j.com (für das Telekommunikationsunternehmen O2). Bei solchen Angriffen entziehen sich Betrüger der Erfordernis, eine markenspezifische Domain zu registrieren (die ein Markeninhaber mit einem grundlegenden Domain-Überwachungsdienst möglicherweise einfacher erkennen könnte). Da die WHOIS-Einträge für die übergeordneten Domains häufig anonymisiert sind, ist es schwierig, eine Verbindung zwischen Vorfällen herzustellen. Diese Domains werden oft erst direkt vor dem Angriff registriert und nur für kurze Zeit verwendet, um die Erkennung und Takedown-Maßnahmen zu erschweren.

Im Allgemeinen sind markenbezogene Subdomains auf Websites von Dritten schwieriger zu erkennen als entsprechende Domains, die mit Wildcard-Suchanfragen in den Zonendateien der Registrierungsbehörden viel einfacher identifiziert werden können. Die unkomplizierteste Methode zur Erkennung von Subdomains ist die Metasuche in Suchmaschinen. Voraussetzung dafür ist jedoch, dass die jeweiligen Subdomains mit anderen Websites verlinkt sind und von den Suchmaschinen indexiert wurden. Auch andere Verfahren können teilweise zur Lösung des Problems beitragen. Zum Beispiel eine detaillierte Analyse der Domain-Zonen-Konfigurationsdaten (z. B. passive DNS-Analyse), eine Analyse der Zertifikattransparenz oder die Nutzung expliziter Anfragen auf Domains, um herauszufinden, ob bestimmte Subdomains vorhanden sind.

Ein weiteres Problem besteht darin, dass private Subdomain-Registrierungsbehörden nicht unbedingt von der Internet Corporation for Assigned Names and Numbers (ICANN) reguliert werden und deshalb unter Umständen über keine Streitbeilegungsverfahren, Verfahren zur Meldung von Missbrauch oder Einträge mit WHOIS-Informationen verfügen.

Die Optionen zur Durchsetzung von Rechten gegen rechtsverletzende Subdomains können relativ begrenzt sein – insbesondere im Vergleich zu den verschiedenen Ansätzen, die bei Domains angewandt werden können. Manchmal ist es möglich, Kontakt mit der Registrierungsbehörde, dem Registrar, dem Hosting-Anbieter oder dem DNS-Anbieter aufzunehmen, aber sie sind möglicherweise nicht verpflichtet, entsprechende Maßnahmen zu ergreifen. Außerdem gelten viele etablierte Verfahren zur Streitbeilegung, wie etwa die Uniform Domain-Name Dispute-Resolution-Richtlinie (UDRP), nicht unbedingt für Subdomains. Es gibt jedoch ein paar Ausnahmen, zum Beispiel bei bestimmten neuen gTLDs, wenn die Host-Domain einem Ländercode entspricht (z. B. jp.com) oder in anderen begrenzten Fällen (z. B. Fälle, die vom Dispute Resolution Service (DRS) für .NZ abgedeckt werden). Anderenfalls sind Gerichtsverfahren oft der einzige Ausweg[4].

Auch die Nutzung betrügerischer Domains in Kombination mit Wildcard-MX-Records (über die der Domaininhaber E-Mails empfangen kann, die an jede Subdomain einer Domain gesandt werden) kann für Kriminelle eine äußerst effiziente Methode sein, um E-Mails, die eigentlich an vertrauenswürdige Organisationen gerichtet sind, abzufangen und dabei sensible Informationen zu erbeuten. Sie können erfolgreich dabei sein, wenn die E-Mail-Adresse des Empfängers falsch eingegeben wurde (z. B. mit einem zusätzlichen „.“). Eine sorgfältig ausgewählte Domain kann Angriffe auf viele unterschiedliche Organisationen ermöglichen (z. B. kann *.bank.[TLD] zum Abfangen falsch adressierter E-Mails an jede Organisation mit einer offiziellen Domain im Format [brand]bank.[TLD] verwendet werden).

Subdomains offizieller Domains im Markeninhaber-Portfolio

Zur Gewährleistung der Domain-Sicherheit müssen Markeninhaber vor allem darauf achten, welche Subdomains es in ihren eigenen Domains gibt.

Subdomain-Hijacking

Wie bereits erwähnt, können Markeninhaber Subdomains offizieller Websites für viele verschiedene Zwecke einsetzen. Wenn sie allerdings eine große Anzahl von Subdomains registrieren (IBM® hat zum Beispiel rund 60.000 und Microsoft® mehr als 120.000), kann sich die Verwaltung der Subdomains als aufwendiges Unterfangen erweisen. Aufgrund der damit verbundenen Risiken können böswillige Akteure die Subdomains übernehmen, indem sie abgelaufene Hosting-Services (ein Problem mit der Bezeichnung „verwaiste DNS-Einträge“), DNS-Fehlkonfigurationen oder unseriöse legitime Nutzer für sich nutzen. Sie können Subdomains auch mit Pharming-Angriffen (DNS-Vergiftung) beeinträchtigen, bei denen Subdomain-Einträge modifiziert werden, um Traffic auf betrügerische IP-Adressen umzuleiten. Dadurch erhalten Betrüger die Möglichkeit, gefälschte Websites zu erstellen, Inhalte hochzuladen, den Traffic zu überwachen oder offizielle Unternehmenssysteme zu hacken[5]. In einer Studie aus dem Jahr 2021 wurden bei 50.000 der weltweit wichtigsten Websites über 1.500 anfällige Subdomains gefunden[6].

In den letzten Jahren gab es immer wieder Berichte über derartige Angriffe auf Unternehmen. So wurden unter anderem offizielle Subdomains von Unternehmen gehijackt, um Traffic auf Inhalte umzuleiten, die Malware, Pornografie und glücksspielbezogene Materialien umfassten. 2020 wurden etwa Subdomains der Xerox-Website verwendet, um Nutzer zu Websites weiterzuleiten, auf denen gefälschte Waren verkauft wurden. Dabei wurde der gute Ruf der offiziellen Domain des Unternehmens ausgenutzt, um das Suchmaschinenranking bösartiger Inhalte zu verbessern[7]. 2019 entfernte GoDaddy® 15.000 missbräuchlich verwendete Subdomains, die für massive Spam-Werbekampagnen für gefälschte Produkte genutzt wurden[8].

Markeninhaber können diese Bedrohungen abwehren, indem sie ihr eigenes Domain-Portfolio analysieren und auf Subdomains achten, die auf externe IP-Adressen verweisen.

Domain-Shadowing

Ein weiteres Risiko besteht in der Möglichkeit, dass Kriminelle neue, inoffizielle Subdomains von offiziellen Websites erstellen, indem sie das DNS mit Methoden wie Phishing- oder Wörterbuch-Angriffen kompromittieren. Dieser Ansatz wird als „Domain-Shadowing“ bezeichnet. Er kann auch eingesetzt werden, um Nutzer zu bedrohlichen Inhalten weiterzuleiten und gleichzeitig den Schutz auszunutzen, der mit dem Hosting auf einer vertrauenswürdigen Website verbunden ist (z. B. Umgehung der Blocklisten von Websites). In einem bekannten Fall wurden zum Beispiel mehrere Domains (vor allem über GoDaddy registrierte Domains) kompromittiert, um über 40.000 Subdomains zu erstellen, die auf russische IP-Adressen mit verschiedenen Malware-Varianten verwiesen[9],[10].

So ein Angriff kann schwer erkennbar sein, weil dafür keine Änderungen auf dem offiziellen Webserver des Unternehmens vorgenommen werden müssen und die rechtsverletzenden Inhalte für gewöhnlich extern gehostet werden. Der Schaden wird unter Umständen erst ersichtlich, wenn Nutzerbeschwerden eingehen oder die offizielle Domain aufgrund der böswilligen Aktivität auf eine Blockliste gesetzt wird. Rigorose Sicherheitsmaßnahmen einschließlich der Nutzung von sicheren Passwörtern und Zwei-Faktor-Authentifizierung sind der wichtigste Ansatz, um dies zu verhindern[11].

Ein ähnlicher Angriffsvektor ist die Nutzung von Wildcard-DNS-Einträgen, die dazu führen kann, dass jede beliebige Subdomain so konfiguriert wird, dass Traffic auf eine bösartige externe IP-Adresse umgeleitet wird. Böswillige Akteure können randomisierte, wechselnde Subdomains einsetzen, um auf Hostnamen basierende Blocklisten zu umgehen (z. B. in koordinierten Phishing-Kampagnen). Solche Angriffe können sowohl gegen offizielle (kompromittierte) als auch gegen externe (unabhängige) Domains gerichtet sein[12].

Im Allgemeinen sollten Markeninhaber zur Abwehr dieser Bedrohungen einen robusten Domain-Sicherheitsstatus gewährleisten und ein umfassendes Programm zur Markenüberwachung und Durchsetzung von Rechten umsetzen.

Wenn Sie mit einem unserer Spezialisten über die Domain-Überwachung, die Durchsetzung oder Betrugsbekämpfungsdienste sprechen möchten, füllen Sie bitte unser Kontaktformular aus.


[1] cscdbs.com/blog/phishing-scams-how-to-spot-them/

[2] thewebisround.xyz/2021/06/28/the-reality-behind-the-smishers/

[3] docs.apwg.org/reports/apwg_trends_report_q2_2021.pdf

[4] worldtrademarkreview.com/enforcement-and-litigation/subdomains-and-online-brand-protection-what-you-need-know-long-read

[5] networkworld.com/article/3623949/don-t-let-subdomains-sink-your-security.html

[6] eurekalert.org/news-releases/698257

[7] theregister.com/2020/07/07/microsoft_azure_takeovers/

[8] techradar.com/news/godaddy-shuts-down-15k-subdomains-used-in-massive-spam-campaign

[9] domaintools.com/resources/blog/domaintools-101-dns-shadow-hack-attacked

[10] threatpost.com/40000-subdomains-tied-to-rig-exploit-kit-shut-down/126072/

[11] encyclopedia.kaspersky.com/glossary/domain-shadowing/

[12] phishlabs.com/blog/phishing-with-wildcard-dns-attacks-and-pharming/