Aktuelle Studie zu TLD
Die gefährlichsten Domains im Internet
Beispiele für gefährliche Aktivitäten
Die zweifelhaften TLDs bilden eine hervorragende Basis für kriminelle Aktivitäten. Die meisten werden für Spam- und Scam-Angriffe sowie die Verteilung von unerwünschter Software genutzt. Andere dienen zur Suchmaschinenoptimierung oder Verbesserung der Platzierung bei Suchanfragen. Dazu kommen so genannte "Junk-Sites", die auch als verdächtig eingestuft werden müssen.
Viele Seiten im Internet existieren weniger als 24 Stunden lang und sind meistens in Spam-Mails verlinkt. Sie werden häufig gewechselt, um den Updates von Sicherheitsprogrammen zuvorzukommen. Die Flut an neuen Domains sorgt inzwischen für einen unbegrenzten Nachschub an frei verfügbaren "Eintagsfliegen".
Eine aktuelle Malware-Kampagne zeigt, wie die Domain .kim für kriminelle Zwecke genutzt wird:
Auf Websites wie buu.kim und newido.kim wurden kürzlich Seiten mit verschleiertem Javascript-Code entdeckt. Der Inhalt auf diesen Seiten besteht größtenteils aus Bilddateien, die auf der Malware-verseuchten Website fourapp.info gehostet werden. Wer solche Seiten ohne Schutz durch Sicherheitssoftware aufruft, muss mit Drive-by-Downloads von Malware rechnen.
Mitte Juni 2015 wurde eine neue Variante des Fake-Video-Angriffs entdeckt: Die meistbesuchte .country-Website wurde für einen Scam mit einem angeblich "schockierenden" Video als Köder benutzt.
Eine zunehmend beliebte Masche von Scam-Betrügern ist es, Besucher auf eine Seite zu locken, die so ähnlich aussieht wie YouTube, sonst aber in keiner Weise mit YouTube in Verbindung steht.
Unter einem Video, das sich scheinbar nicht abspielen lässt, tauschen sich im Kommentarfeld andere vermeintlich "echte" Nutzer darüber aus, wie das Video zum Laufen gebracht werden kann. Dort heißt es, man müsse das Video zunächst "liken" oder "teilen" beziehungsweise an einer Online-Umfrage teilnehmen, bevor man es abspielen kann. Wer diese Tipps befolgt, nimmt entweder an einer Scam-Umfrage teil oder löst eine Spam-Attacke auf die eigenen Facebook-Freunde aus.
- Lebenszyklus einer Cyberattacke
Die IT-Security-Spezialisten von Palo Alto Networks haben den Lebenszyklus eines Hackerangriffs analysiert. In jeder der sechs Phasen einer Cyberattacke kann ein Unternehmen jedoch gezielt gegensteuern. Welche Maßnahmen und Werkzeuge dazu nötig sind, erfahren Sie hier. - 1. Ausspionieren
Hacker verwenden oft Phishing-Taktiken oder extrahieren öffentliche Informationen aus dem Social-Media-Profil eines Mitarbeiters oder von Unternehmenswebsites. Diese Informationen verwenden die Cyberkriminellen, um gezielte, scheinbar legitime Anfragen zu versenden, die den Mitarbeiter auf bösartige Links locken oder dazu verleiten sollen einen infizierten Anhang zu öffnen. Die anschließend heruntergeladene Malware verwenden Cyberkriminelle um nach ausnutzbaren Schwachstellen zu suchen. Um den Lebenszyklus zu durchbrechen, können Unternehmen URL-Filter verwenden. Damit werden Angreifer daran gehindert, Social-Media- und Website-Informationen zu manipulieren. Zudem sollten Unternehmen den Netzwerkverkehrsfluss mithilfe von Intrusion-Prevention-Technologien kontrollieren, um Bedrohungen zu erkennen und Port-Scans und Host-Sweeps zu verhindern. - 2. Vorbereitung & Auslieferung
Angreifer verwenden verschiedene Methoden wie die Einbettung von Intruder-Code in Dateien und E-Mails oder gezielt auf die Interessen des Einzelnen zugeschnittene Nachrichten. Hier können Unternehmen den Zyklus mit einer Firewall durchbrechen. Diese gewähren Einblick in den gesamten Datenverkehr und blockieren alle Hochrisiko-Anwendungen. Kombinierte Maßnahmen zur Bedrohungsabwehr wie IPS, Anti-Malware, Anti-CnC, DNS-Überwachung und Sink Holing sowie Datei- und Content-Blockierung können bekannte Exploits, Malware und eingehende Command-and-control-Kommunikation abwehren. Ergänzt werden können diese Maßnahmen durch eine cloudbasierte Malware-Analyse im Netzwerk. - 3. Ausbeutung
Angreifer, die Zugriff auf das Netzwerk erlangt haben, könnten den Angriffscode aktivieren und die Zielmaschine unter ihre Kontrolle bringen. Endpunktschutz-Technologien können bekannte wie auch unbekannte Schwachstellen-Exploits blockieren. Sandboxing-Technologie stellt automatisch eine globale Bedrohungserkennung bereit, um Folgeangriffe auf andere Unternehmen zu verhindern. Auch an dieser Stelle kann sich der Zugriff auf eine dynamische Malware-Analyse-Cloud lohnen. - 4. Installation
Angreifer etablieren privilegierte Operationen und Rootkits, führen Privileg-Eskalation durch und nisten sich dauerhaft ein im Netzwerk des Unternehmens. Unternehmen können Endpunktschutz-Technologien verwenden, um lokale Exploits zu verhindern, die zu Privileg-Eskalation und Passwortdiebstahl führen. Mit einer modernen Firewall lassen sich sichere Zonen mit strikter Benutzerzugriffskontrolle und fortlaufender Überwachung des Datenverkehrs zwischen den Zonen einrichten. - 5. Command & control
Angreifer richten einen Rückkanal zum Server ein. Auf diese Weise können Daten zwischen infizierten Geräten und dem Server ausgetauscht werden. Es gibt verschiedene Möglichkeiten, um den Angriffszyklus an diesem Punkt zu durchbrechen. Unternehmen können ausgehende Command-and-control-Kommunikation durch Anti-CnC-Signaturen blockieren. URL-Filterung kann die Kommunikation mit bekannten bösartigen URLs verhindern. Outbound-Kommunikation kann zu internen Honey Pots umgeleitet werden, um kompromittierte Hosts zu erkennen und zu blockieren. - 6. Aktivitäten am Angriffsziel
Angreifer manipulieren das Netzwerk für ihre eigenen Zwecke. Es gibt viele Motive für Cyberangriffe, wie etwa Datenextraktion, Zerstörung von kritischen Infrastrukturen oder Erpressung. Unternehmen mit feingliedriger Anwendungs- und Benutzerüberwachung können Dateiübertragungs-Richtlinien durchsetzen, um bekannte Archivierungs- und Übertragungstaktiken von Hackern zu verhindern. Dies begrenzt die Freiheit der Angreifer, sich mit Tools und Skripten seitlich im Netzwerk zu bewegen.
Tipps für Unternehmen und Privatnutzer
Ob Unternehmen oder Privatnutzer: Wer online unterwegs ist, sollte sich der Risiken beim Surfen auf gefährlichen TLDs bewusst sein. Aber auch "sichere" TLDs sind nicht davor gefeit, von Cyberkriminellen missbraucht zu werden. Starke Sicherheitsmaßnahmen und eine umfassende Security-Policy sind also nach wie vor unverzichtbar. Zudem sollten folgende einfache Tipps als Grundschutz beachtet werden:
Unternehmen sollten die riskantesten TLDs generell blockieren.
Nutzer sollten mit höchster Vorsicht auf Links in Suchergebnissen, E-Mails oder sozialen Netzwerken klicken, vor allem wenn sie zu Webseiten mit diesen TLDs führen.
Um zu verifizieren, wohin genau ein Link führt, sollten Nutzer mit der Maus den Link berühren, ohne ihn anzuklicken. Im daraufhin erscheinenden Textfeld wird die Zieladresse samt TLD sichtbar.
Auf mobilen Endgeräten lässt sich ein Link verifizieren, indem der Nutzer ihn berührt und anschließend kurz hält, anstatt ihn nur anzutippen.
Link zur Studie von Blue Coat (bw)