Cyber-Kriminalität
Vorsicht bei abgelaufenen Domains
Domains laufen irgendwann ab, sei es weil ein Unternehmen nicht mehr existiert, der bisherige Eigentümer die Domain aufgegeben oder die Verlängerung einfach vergessen hat. Sie können nun den Besitzer wechseln und leider auch in kriminelle Hände fallen – also Vorsicht!
Save to Folio
Von Richard Werner, Business Consultant bei Trend Micro
Nicht wenige Unternehmen sind der Corona-Krise zum Opfer gefallen. Doch selbst wenn die Firmen schließen mussten, bleiben ihre Websites regelmäßig noch länger bestehen. In der häufig dramatischen Situation einer Geschäftsaufgabe werden diese schlichtweg vergessen. Nach einer gewissen Zeit laufen die registrierten Domains jedoch ab. Nicht selten ist die Website jedoch noch durch Links auf anderen Seiten oder in Suchmaschinen wie Google erreichbar. Sie sind dann nach einer Übergangszeit durch jedermann nach dem First-Come-First-Serve-Prinzip neu registrierbar, was auch häufig geschieht – und das leider auch zu kriminellen Zwecken.
Die Seiten erscheinen dann vorübergehend durch Landing Pages ersetzt, die darauf hinweisen, dass die Domain nicht mehr vergeben ist oder erneuert werden soll. In manchen Fällen enthält die Landing Page einfach nur Links zu der abgelaufenen Website. In anderen Fällen wird die Seite von einer Auktionsseite gehostet, die den abgelaufenen Domänennamen verkaufen will. Normalerweise erscheinen diese Arten von Landing Pages oder Auktionsseiten harmlos und enthalten Links zu anderen Websites, von denen man annimmt, dass sie legitim sind.
Doch leider machen sich auch Cyberkriminelle diese abgelaufenen Domains zunutze. Sie registrieren diese erneut und nutzen sie, um darüber Schadsoftware zu verbreiten, entweder direkt, über automatische Weiterleitungen oder mittels bösartiger Werbeanzeigen („Malvertising“) auf anderen Seiten. Es gab auch schon gefälschte Online-Shops, die die abgelaufene Domain von legitimen Shopping-Seiten übernommen hatten.
Das Ausmaß des Problems wird in der Branche häufig unterschätzt – deshalb die Ergebnisse einer Stichprobe zur Verdeutlichung: Unsere Sicherheitsforscher entdeckten die von Cyberkriminellen übernommene und zwischenzeitlich für bösartige Zwecke missbrauchte Website einer Darmstädter Therapiepraxis, auf die jedoch noch immer zahlreiche andere Seiten verlinkt sind. Innerhalb eines halben Jahres registrierten und blockierten unsere Sicherheitslösungen in der Folge über 1.300 Zugriffe von Trend Micro-Usern auf diese Seite.
Das Schicksal übernommener Websites droht jedoch nicht nur aufgelösten Firmen. Jede Domain läuft irgendwann ab. Damit ihnen nicht ihre Website „abhandenkommt“, sollten Unternehmen sicherstellen, dass alle durch sie registrierten Domains regelmäßig verlängert werden.
Fazit
Seien Sie gerade auf solchen abgelaufenen Seiten besonders vorsichtig – Cyberkriminelle missbrauchen diese regelmäßig. Laden Sie von dort nichts herunter, klicken Sie keine Links und achten Sie darauf, dass Sie nicht automatisch auf andere Seiten weitergeleitet werden. Eine aktuelle Sicherheitssoftware bietet zusätzlichen Schutz.
Dieser Beitrag (wie auch frühere zur Sicherheit) ist zuerst im LANline Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.
Vielen Dank an das Threat Research Team von Trend Micro für die Idee zum Artikel und die tatkräftige Unterstützung bei der Recherche!