Typosquatting

Only in German available.

Typosquatting ist eine Art von Social-Engineering-Angriff auf einen Internet-User. Dabei werden ähnliche Domains zu der Zieldomain registriert, mit der Hoffnung, dass ein Benutzer einen Tippfehler macht und auf der Seite des Angreifers landet.

Zum Beispiel:
Nehmen wir zum Beispiel als Ziel-Domain wikipedia.org. Hier kann man sich folgende Tippfehler vorstellen: wiipedia.org, eikipedia.org, wikipedie.org, wikipdia.org, wilipedia.org, sikipedia.org, wiiipedia.org, usw.

Neben Tippfehler können auch verschiedene Schreibweisen, wie es diese zum Beispiel in Englischen (Britisch vs. Amerikanisch) gibt, als Domains missbraucht werden.

Zum Beispiel:
color.com vs. colour.com

Weiter können Angreifer Domains registrieren, welche ähnlich zur Ziel-Domain aussehen.

Zum Beispiel:
meine-bank.ch vs. meinebank.ch vs. meine-bank.com vs. meinebank.swiss

Bei unserer Arbeit kommen wir immer wieder mit solchen ähnlichen Domains in Kontakt. Bei .ch-Domains ist aufgefallen, dass dies vor allem Banken und grosse Firmen oder Institutionen betrifft.

Angriffsvektoren

Phishing / Imitatoren

Bei Phishing-Mails können falsche Domains den Empfänger täuschen und die Glaubwürdigkeit des Phishing-Mails, wie auch der enthaltenen Links erhöhen. So kann es für den Empfänger am Schluss schwer sein, den Phishing-Versuch zu erkennen.

Ziel des Angriffes ist es möglichst viele Informationen (z.B. Login-Informationen) abzugreifen, um sich selber bei der Ziel-Webseite einloggen zu können oder ein komplettes Profil für einen Identitätsdiebstahl zu erhalten.

Bait and switch

Bei dieser Art von Angriff versucht der Angreifer dem Benutzer etwas zu verkaufen, welches er so oder so auf der originalen Webseite gekauft hätte. Meist handelt es sich hierbei um digitale Güter, welche nie geliefert werden.

Verwandte Suchergebnisse

Der Betreiber der fake Webseite versucht Internet-Traffic umzuleiten. Oft auf einen Mitbewerber der Zielwebseite, welche den Angreifer für diesen Traffic bezahlt. Als Benutzer landet man beim Mitbewerber und nicht auf der Seite, auf welche man eigentlich wollte.

Internet-Traffic monetarisieren

Die fake Webseite, auf welcher der Benutzer landet, ist mit Werbung übersäht, so kann der Betreiber der falschen Webseite die Nutzer monetarisieren.

Umfragen / Giveaways

Die fake Webseite gibt sich als originale Webseite mit einer Umfrage aus. Der Angreifer versucht so ein komplettes Profil des Benutzers zu erstellen, welches sie dann verwenden kann.

Affiliate links

Die fake Webseite leitet den Benutzer auf die original Webseite weiter, dies jedoch über einen Affiliate-Link. So erhält der Betreiber der fake Webseite eine Kommission, wenn der Benutzer etwas kauft.

Malware

Die fake Webseite versucht Malware auf den Computer des Besuchers zu installieren.

Witzwebseite

Die Inhalte der fake Webseite macht sich über die Original-Webseite lustig. Dies könnte zum Beispiel bei Politischen-Inhalten die Ansicht der Gegenpartei sein.

Wie kann ich mich vor Typosquatting schützen?

Hier die wichtigsten Tipps auf was sich jeder Benutzer achten kann.

Für Personen

• Nicht auf Links in unerwünschten / nicht angeforderten E-Mails / SMS / WhatsApp / etc. klicken
• Vorsicht bei Links in den Social-Media-Kanälen
• Erstelle Lesezeichen für oft besuchte Webseiten (Bsp. E-Banking-Webseite) und verwende diese

Für Firmen

• Registriere ähnliche Domains selber und konfiguriere diese mit den korrekten SPF, DKIM und DMARC Einträgen (siehe Beitrag zu den genannten Technologien: https://codepurple.ch/research/spf-dmarc-analyse-von-ch-und-li-domains)
• Benutze Monitoring-Dienste, welche Registrationen von ähnlichen Domains erkennen
• Informiere Mitarbeiter und Kunden, wenn man den Verdacht hat, betroffen zu sein

In wie weit ist meine Firma betroffen?

Codepurple hat einen umfangreichen Datenstamm und Software für die Analyse zur Verfügung. Gerne Analysieren wir für Sie Ihr Unternehmen: Anfrage senden.