Typosquatting

Wie häufig passiert es, dass man z.B. http://www.gogole.de eintippt, statt http://www.google.de? Derartige “Vertipper” kennt wahrscheinlich jeder. Bislang wurde dies vor allem von Firmen genutzt, die derartige Domains für sich registriert haben, um den darauf fehlgeleiteten Traffic für Werbeanzeigen zu nutzen und darüber Geld zu verdienen. Die Registrierung dieser “Vertipper”-Domains wird als “Typosquatting” bezeichnet.

Zwei Wissenschaftler haben nun derartige Domains für viele der sog. “Fortune 500 Companies”, also weltweit agierende, große Unternehmen registriert. Zweck war es allerdings nicht, Web-Traffic für Werbeanzeigen zu generieren, sondern gezielt fehlgeleitete E-Mails zu erfassen und auszuwerten. Nach sechs Monaten konnten sie knapp 20 Gigabyte Daten analysieren. Wenn man sich vor Augen führt, dass eine E-Mail üblicherweise nur wenige Kilobyte groß ist (ohne Attachments), dann kann man sich ausmalen, wie viel Datenverkehr ausgewertet werden konnte. Unter den – “abgefangen” ist hier wohl das falsche Wort – erhaltenen E-Mails befanden sich solche mit den Usernamen und Passwörtern von Angestellten, Details zur Netzwerkkonfiguration, Rechnungen und ähnliche Dokumente.

Details sind in einem Paper der beiden Wissenschaftler veröffentlicht worden. Danach waren etwa 30% der Fortune 500 Companies grundsätzlich für derartige Angriffe verwundbar. Bei ihren Recherchen fanden die Wissenschaftler zudem heraus, dass bereits einige Typo-Domains für große U.S.-Firmen von China aus registriert worden waren. Es liegt daher nahe anzunehmen, dass derartige Angriffe bereits gefahren werden.

Ein besonderes Risiko liegt hierbei vor allem darin, dass die Angriffe kaum bemerkt werden können, da kein Angriff auf die eigene Infrastruktur stattfindet. Es handelt sich also um rein passive Angriffe. Bei Vertippern in E-Mails wird meist lediglich eine Fehlermeldung empfangen, die kein weiteres Misstrauen hervorruft. Oder das Missgeschick wird aus einem Grund bemerkt kommentarlos durch den Absender korrigiert (indem die Mail an den richtigen Empfänger erneut gesendet wird). Besonders Firmen, die Subdomains nutzen (z.B. se.ibm.com für den schwedischen Teil der Firma IBM) scheinen verwundbar zu sein (etwa beim versehentlichen Weglassen des Punktes bei Registrierung von seibm.com). Von den 30 Domains, die durch die Wissenschaftler registriert wurden, bemerkte lediglich eine einzige Firma die Aktion und drohte mit einer gerichtlichen Verfolgung, falls die Domain nicht wieder freigegeben würde.

Aus Sicht der Wissenschaftler kommen vor allem zwei Möglichkeiten in Betracht, um derartige Angriffe zu verhindern. Zum einen können Firmen versuchen, mögliche Typo-Domains selbst zu registrieren. Dies wäre jedenfalls für die gängigen Vertipper möglich. Zum anderen kann der interne Netzwerkverkehr zu derartigen Domains auf der Ebene des Routers blockiert werden. Damit werden zwar keine externen Mails an die Doppelgänger-Domains blockiert, aber zumindest der interne Datenverkehr kann ausgefiltert werden.