Warum werden bestimmte Domains für Phishing oder Malware missbraucht, während andere unauffällig bleiben? Während die Inhalte einer Website für aufmerksame Internetnutzer eine sichtbare potenzielle Gefahr ausmachen, beginnen böswillige Aktivitäten bereits viel früher: bei der Registrierung der Domain.
Genau diesen Aspekt hat das Sicherheits-Team der ICANN gemeinsam mit KOR Labs in dem zweijährigen Forschungsprojekt INFERMAL (Inferential Analysis of Maliciously Registered Domains) untersucht. Die zentrale Frage: Warum häufen sich missbräuchliche Domainregistrierungen bei bestimmten Registraren und Domainendungen?
Das Ziel der Studie war es, die Sichtweise von Angreifern einzunehmen: Welche Rahmenbedingungen machen eine Domain für Phishing besonders attraktiv – und welche schrecken eher ab? Dieser Perspektivwechsel sollte dabei helfen, nicht nur Missbrauch zu erkennen, wenn er bereits erfolgt ist, sondern schadhafte Aktivitäten bereits bei der Registrierung zu unterbinden.
Studienmethode: Wie Angreifer denken
Für die Analyse wurden über 29.000 Domains ausgewertet – darunter rund 14.500 als missbräuchlich und 15.400 als unbedenklich eingestufte Domains. Für jede Domain wurden 73 Merkmale rund um Leistungen und Richtlinien des jeweiligen Registrars erfasst. Diese wurden in drei Hauptbereiche gruppiert:
- Registrierungsmerkmale: Preisgestaltung, API-Zugänge, Zahlungsmöglichkeiten, Zusatzservices
- proaktive Prüfmechanismen: z. B. Identitätsprüfung, Verzögerungen beim Live-Schalten, KYBC („Know Your Business Customer“)
- reaktive Sicherheitsmaßnahmen: Verhalten nach Erkennung von Missbrauch, z. B. Dauer bis zur Suspendierung
Anschließend wurden statistische Modelle eingesetzt, um Zusammenhänge zwischen diesen Merkmalen und dem Risiko von Missbrauch zu analysieren.
Zentrale Erkenntnisse: Was Angreifer bevorzugen
Die Auswertung der Daten zeigt auf, dass es bestimmte Rahmenbedingungen sind, die Domains für Angreifer besonders attraktiv machen. Diese Auffälligkeiten hat die Studie aufdeckt.
Billig zieht Angreifer magisch an
Angreifer agieren oft preisgetrieben. Domains, die für Phishing registriert wurden, kosteten im Schnitt nur 4,71 USD und liegen damit deutlich unter dem Durchschnittspreis regulärer unbedenklicher Domains (8,62 USD). Außerdem scheinen Angreifer Rabatte, Sonderaktionen und Mengenrabatte zu lieben. Sie nutzen diese gezielt über automatisierte Tools, oft vie offenen APIs und mit mehreren Fake-Accounts, um in kurzer Zeit massenhaft Domains zu registrieren.
Gratisdienste & Automatisierung begünstigen Missbrauch
Kostenlose Zusatzangebote wie Webspace und DNS-Dienste klingen kundenfreundlich – werden aber auch von Angreifern geschätzt, weil sie Komplexität und Kosten senken. Besonders kritisch sind dabei offene APIs. Laut INFERMAL-Studie steigt das Risiko für Phishing-Domains bei API-Zugang um ganze 401 %.
Proaktive Maßnahmen wirken, ohne legitime Nutzer abzuschrecken
Maßnahmen wie Identitätsprüfung, Registrierungsverzögerungen oder KYBC-Prozesse können die Missbrauchsrate um bis zu 63 % senken – ohne spürbaren Einfluss auf das Verhalten legitimer Kunden.
Ein Vergleich zeigt: In der .dk-Zone (Dänemark), in der KYBC vorgeschrieben ist, liegt die Missbrauchsquote deutlich niedriger als in .cn (China), wo trotz Pflicht zur Identitätsprüfung immer noch viel Missbrauch aufgrund einer lückenhaften Umsetzung auftritt.
Reaktive Maßnahmen sind unzureichend und oft zu spät
Die Geschwindigkeit, mit der eine missbräuchliche Domain nach einem Verstoß gesperrt wird, hat nur geringen Einfluss auf einen Angriff. Phishing-Kampagnen laufen oft nur wenige Stunden. Da genügt eine schnelle Abschaltung allein also nicht, um Angreifer effektiv zu stoppen. Und auch wenn eine betroffene Seite zeitnah vom Netz genommen wird, ist der Schaden meist längst angerichtet.
Ausblick: Cybersecurity ist komplex und im steten Wandel
Die INFERMAL-Studie ist ein großer Schritt hin zu mehr Sicherheit – weil sie dort ansetzt, wo Missbrauch entsteht: bei der Domain-Registrierung. Es geht nicht nur um günstige Preise oder schnelle Prozesse, sondern um das richtige Maß an Sicherheit und Verantwortung.
Dabei ist es oft nicht ein einzelner Faktor, der das Risiko erhöht. Vielmehr ist das Zusammenspiel aus niedrigen Kosten, offenen Schnittstellen, fehlender Prüfung und Automatisierung ein Risikotreiber. Angreifer sind dabei flexibel und experimentierfreudig: Sie nutzen gestohlene Daten, umgehen einfache Kontrollen und schlagen dort zu, wo es wenig Hürden gibt. Deshalb ist ein ganzheitlicher, mehrschichtiger Schutzansatz entscheidend.
Dein Partner für eine sichere Domainregistrierung
Bei der Domain-Offensive setzen wir bewusst auf Transparenz, Sicherheit und proaktive Schutzmaßnahmen – schon lange bevor Deine Domain live geht. Unsere Sicherheitsverfahren wie Identitätsprüfung, Abuse-Monitoring und API-Beschränkungen auf verifizierte Nutzer helfen dabei, Angriffe frühzeitig zu verhindern – ohne dabei legitime Nutzer auszubremsen.
Wir schaffen eine sichere digitale Umgebung mit einer vertrauenswürdigen Infrastruktur, die nicht Zielscheibe für Phishing wird. Denn Du sollst Dich auf das konzentrieren können, was wirklich zählt: Deine Ideen, Dein Projekt, Dein Business!
Du willst tiefer in die Ergebnisse der Studie eintauchen? ICANN hat auf ihrer Website alle Erkenntnisse aus dem INFERMAL-Projekt (auf Englisch) veröffentlicht.
Neugierig geworden, wie Du Deine Online-Sicherheit stärken kannst? Dann stehen Dir viele weitere verwandte Artikel und Wiki-Beiträge auf unserer Hilfeseite rund um das Thema Cyber Security zur Verfügung.
Schreibe einen Kommentar