Wenn Kriminelle eine Marke angreifen möchten, müssen sie zuerst einen sorgfältig ausgewählten Domain-Namen registrieren. Bei den erfolgreichsten en Rechtsverletzungen wird häufig ein Domain-Name verwendet, der der offiziellen Website der anvisierten Marke täuschend ähnelt. Ein solcher Domain-Name ermöglicht verschiedenste Angriffe. Bei Phishing-Angriffen kann die Domain zum Beispiel für das Hosting einer Website-Nachahmung oder die Erstellung irreführender Absender-E-Mail-Adressen genutzt werden. Auch bei anderen Markenrechtsverletzungen kann sie eingesetzt werden, um Nutzer über falsch eingegebene URLs oder die Manipulation von Suchmaschinen auf gefälschte Websites weiterzuleiten.
Eine mittlerweile gut etablierte Vorgehensweise ist die Verwendung von Zeichenfolgen wie „www“ oder „http“ im Domain-Namen betrügerischer Websites. Das heißt, dass zum Beispiel Domains wie www-google.com oder httpgoogle.com registriert werden, um eine legitime Website nachzuahmen (in diesem Fall www.google.com oder http://google.com).
CSC untersuchte im August 2022 unter Verwendung seiner 3D-Domain-Monitoring-Technologie, welche Muster es bei Domain-Registrierungen von Namen, die mit „www“ oder „http“ beginnen, im Vorjahr gab. Im Rahmen der Analyse wurden neu registrierte Domains (N), erneut registrierte Domains (R) und aufgegebene bzw. verfallene Domains (D) identifiziert. Jede neue oder erneute Registrierung oder Aufgabe einer Domain wird in diesem Kontext als „Ereignis“ bezeichnet.
Ergebnisse
Von August 2021 bis August 2022 wurden mehr als 230.000 Ereignisse für „www“-Domains und mehr als 12.000 Ereignisse für „http“-Domains identifiziert. In Abbildung 1 wird die kontinuierliche Aktivität während des einjährigen Zeitraums, die zahlreiche Hochs und Tiefs umfasste, veranschaulicht.
.jpg)
Im gesamten Datensatz sind einige Schlüsselwort-Zeichenfolgen mehrmals in den Second-Level-Domain-Namen (der Teil des Domain-Namens links neben dem Punkt) aufgetreten. Das bedeutet, dass die jeweiligen Domains entweder wiederholt verfallen sind und erneut registriert wurden oder dass unterschiedliche Domains mit dem gleichen Second-Level-Domain-Namen, aber anderen Top-Level-Domain-(TLD-)Endungen – sogenannte „Cousin-Domains“ – registriert wurden. Einige dieser Schlüsselwort-Zeichenfolgen enthielten bekannte Markennamen, Variationen oder Rechtschreibfehler, was darauf hindeutet, dass ein Angriff auf die jeweiligen Marken geplant wird (siehe Tabellen 1 und 2).
| Schlüsselwort-Zeichenfolge | Anzahl der Registrierungen oder Aufgaben |
| www-roblox | 21 |
| www-lcloud | 16 |
| www-apple | 15 |
| wwwgoogle | 13 |
| www-avito | 12 |
| www-citizens | 11 |
| www-yandex | 10 |
| www-torproject | 10 |
| www-icloud | 10 |
| www-blablacar | 10 |
| www-bitstamp | 10 |
| www1royalbank | 10 |
| Schlüsselwort-Zeichenfolge | Anzahl der Registrierungen oder Aufgaben |
| https-skinbaron | 9 |
| https-www-ruraivla-com-lsum-main | 8 |
| httpsgoogle | 7 |
| https-csmoney | 7 |
| httpgoogle | 7 |
| http18comic | 7 |
| httpsstreamlabs | 6 |
| https-googlecom | 6 |
| https-httpsgoogle | 6 |
| httpsgoogledotcom | 6 |
| httpsgoogleplay | 6 |
| https–google | 6 |
| httpsgoogle-com | 6 |
| httpsgooglecom | 6 |
| httpsecuregoogle | 6 |
| httpsdealersvwcredit | 6 |
| https-anydesk | 6 |
| httpqgoogle | 6 |
| httpagoogle | 6 |
| httpcredito-app-nubank | 6 |
| http2google | 6 |
Die Tabellen 3 und 4 enthalten die im Datensatz am häufigsten auftretenden TLDs.
| TLD | Anzahl der Registrierungen oder Aufgaben |
| .COM | 204.795 |
| .XYZ | 6.233 |
| .NET | 4.411 |
| .ORG | 3.008 |
| .TOP | 1.646 |
| .VIP | 1.423 |
| .INFO | 950 |
| .FR | 937 |
| .ONLINE | 714 |
| .UK | 676 |
| TLD | Anzahl der Registrierungen oder Aufgaben |
| .COM | 8.284 |
| .XYZ | 1.267 |
| .NET | 429 |
| .ORG | 388 |
| .LIVE | 228 |
| .ONLINE | 180 |
| .INFO | 170 |
| .UK | 160 |
| .FR | 154 |
| .SITE | 150 |
Es ist wenig überraschend, dass .COM am häufigsten im Datensatz vertreten ist. Diese TLD erfreut sich nach wie vor großer Beliebtheit und findet häufig in offiziellen Domain-Namen von Marken Anwendung, die Kriminelle nachahmen. Die Liste enthält jedoch auch einige neue generische TLDs (gTLDs) wie .XYZ, .TOP, .VIP, .ONLINE, .LIVE und .SITE und bestätigt damit frühere Beobachtungen, dass diese Endungen bei Betrügern beliebt sind[1],[2],[3].
Verletzungen der Rechte von Top-Marken
CSC analysierte auch die Häufigkeit der Registrierungen und Aufgaben von „www“- und „http“-Domains mit den 10 wertvollsten Unternehmensmarken des Jahres 2022.[4] Dabei wurde angenommen, dass diese Marken wahrscheinlich attraktive Ziele für Kriminelle darstellen. Die Ergebnisse sind in Tabelle 5 enthalten.
| Marken-Zeichenfolge | Anzahl der Registrierungen oder Aufgaben für „www“-Domains | Anzahl der Registrierungen oder Aufgaben für „http“-Domains |
| apple | 212 | 43 |
| 143 | 120 | |
| amazon | 114 | 19 |
| microsoft | 14 | 6 |
| tencent | 0 | 0 |
| mcdonalds | 8 | 2 |
| visa | 58 | 10 |
| 38 | 31 | |
| alibaba | 7 | 4 |
| vuitton | 1 | 0 |
| SUMME | 595 | 235 |
Die darüber hinaus in den Domain-Namen enthaltenen Schlüsselwörter können mehr über die Absichten jener verraten, die die Domains registrieren. In den 255 im Datensatz enthaltenen Domain-Ereignissen für „apple“ kommen zum Beispiel häufig bestimmte Schlüsselwörter (bzw. abweichende Varianten oder Varianten mit Rechtschreibfehlern) vor, die auf Phishing-Aktivitäten schließen lassen. Dazu zählen zum Beispiel „login“ (13 Fälle), „support“ (47 Fälle) und „activate“ (17 Fälle).
Von den 564 aktiven, einzigartigen Domains mit einem der Top-10-Markennamen im Datensatz wiesen 16 % aktive MX-Records auf, was darauf hindeutet, dass sie für den Versand oder Empfang von E-Mails konfiguriert sind. Dies ist ein weiteres Anzeichen dafür, dass sie möglicherweise für die Verwendung in Phishing-Kampagnen registriert wurden.
Bei der Untersuchung der Inhalte der Websites im markenspezifischen Datensatz stellte sich heraus, dass der Großteil der Domains zum Zeitpunkt der Analyse inaktiv war. Allerdings wurden einige vom Browser als gefährlich oder irreführend eingestuft, weshalb sie früher betrügerische Websites gehostet haben dürften. Andere Websites beinhalteten Pay-per-Click-Links, machten den umgeleiteten Web-Traffic zu Geld und lenkten Nutzer möglicherweise zu Websites von Konkurrenten um. Auf manchen Websites wurden zudem Banner-Anzeigen für Glücksspiele oder nicht jugendfreie Inhalte angezeigt. Abbildung 2 enthält drei Beispiele für Websites mit aktiven rechtsverletzenden Inhalten.
Fazit
Innerhalb eines einjährigen Zeitraums erkannte CSCs 3D-Domain-Monitoring-Technologie fast eine Viertel Million Ereignisse, bei denen bewusst irreführende Domains mit der Zeichenfolge „www“ oder „http“ am Anfang registriert oder aufgegeben wurden. Ein erheblicher Teil der Ereignisse war scheinbar gegen spezifische Marken gerichtet, wobei 830 der Ereignisse mit den 10 wertvollsten Marken in Verbindung standen.
Einige Domains führten (derzeit oder früher) zu rechtsverletzenden Inhalten, während 16 % der Domains, die sich auf die 10 wertvollsten Marken bezogen, mit aktiven MX-Records konfiguriert waren. Dies deutet darauf hin, dass sie möglicherweise für den Versand und Empfang von E-Mails registriert wurden und für Phishing-Kampagnen verwendet werden könnten.
Die Ergebnisse untermauern, wie wichtig ein Programm zur aktiven Domain-Überwachung und Durchsetzung von Rechten für Markeninhaber ist. CSCs 3D-Domain-Monitoring-Technologie kann die Registrierung, die erneute Registrierung und den Ablauf von Domain-Namen mit Markenbegriffen und anderen relevanten Schlüsselwörtern (einschließlich Varianten wie Fuzzy Matches und Begriffe mit ersetzten Zeichen) für eine breite Auswahl von Endungen erkennen. Sie hilft Markeninhabern, die Risiken in Verbindung mit rechtsverletzenden Domain-Registrierungen durch Dritte zu erkennen und zu reduzieren.
Falls Sie gerne mehr über CSCs 3D Domain Monitoring und Dienstleistungen zur Durchsetzung von Rechten erfahren möchten, füllen Sie bitte unser Kontaktformular aus, um mit einem unserer Spezialisten zu sprechen.
[1] cscdbs.com/blog/branded-domains-are-the-focal-point-of-many-phishing-attacks/
[2] circleid.com/posts/20210908-credential-hinting-domain-names-a-phishing-lure
[3] unit42.paloaltonetworks.com/top-level-domains-cybercrime/
