Aktuelle Studie zu TLD

Die gefährlichsten Domains im Internet

Ivo Strigel ist seit Mai 2013 Senior Manager Channel Sales für Deutschland, Österreich, die Schweiz und Osteuropa bei Blue Coat. In dieser Position verantwortet er den Vertrieb über Channel-Partner in den genannten Regionen. Der Diplom-Ingenieur ist seit mehr als 20 Jahren in verschiedenen Positionen im Bereich IT-Vertriebs- und -Management tätig und verfügt über eine tiefgehende Expertise zu den Themen IT-Business, Networking und Security.

Eine Studie von Blue Coat zeigt, dass einige neue Top-Level-Domains bis zu 100 Prozent verdächtige Webseiten aufweisen. Der Hauptgrund dafür sind nachlässige Vergabekriterien. Zusätzlich zu einer umfassenden Security Policy können sich Unternehmen mit einfachen Tipps vor den damit verbundenen Sicherheitsrisiken schützen.

In den Anfangszeiten des Webs gab es nur wenige Top-Level-Domains (TLDs). Die meisten Anwender bewegten sich damals überwiegend auf Webseiten mit den Standardendungen .com, .net, .org, .edu und .gov sowie den länderspezifischen Kürzeln wie .de für Deutschland.

Die gefährlichsten Domains im Internet
Die gefährlichsten Domains im Internet
Foto: Blue Coat Systems

Aufgrund eines neuen Vergabeverfahren für generische TLDs (gTLDs) durch die ICANN Internet Corporation for Assigned Names and Numbers (ICANN) im Jahr 2012 ist jedoch die Zahl der rechtmäßig vergebenen TLDs seitdem rapide angestiegen. 2015 gab es es bereits über 1.000 TLDs.

Höhere Gefahr durch laxe Vergabe

Jede neue TLD wird von einer Organisation verwaltet, die dafür eine Evaluierungsgebühr von 185.000 US-Dollar an die ICANN entrichten muss. Zudem hat sie nachzuweisen, dass sie über die erforderliche Infrastruktur und das Know-how für den Betrieb einer entsprechenden Registrierung verfügt.

Eigentlich sollten alle Betreiber von gTLDs und länderspezifischen TLDs bei der Vergabe von Domänen eine hohe Sorgfalt an den Tag legen. Leider ist dies nicht immer der Fall. Bei Internetkriminellen hat sich schnell herumgesprochen, wer die Prüfungen eher lax durchführt, und so bevorzugen sie diese Anbieter für ihre Aktivitäten. Unternehmen und Privatnutzer können dagegen nur schwer beurteilen, ob eine neue TLD sicher oder zweifelhaft ist.

Um mehr Klarheit zu schaffen, hat eine aktuelle Studie die Webseitenaufrufe von mehr als 15.000 Unternehmen und 75 Millionen Privatnutzern weltweit untersucht. Auf Basis dieser Daten ist eine Rangliste der fragwürdigsten TLDs entstanden.

Die Top Ten der TLDs mit zweifelhaften Sites im Internet

Rang

Top-Level Domain

Anteil zweifelhafter Sites

1

.zip

100,00 %

2

.review

100,00 %

3

.country

99,97 %

4

.kim

99,74 %

5

.cricket

99,57 %

6

.science

99,35 %

7

.work

98,20 %

8

.party

98,07 %

9

.gq (Äquatorialguinea)

97,68 %

10

.link

96,98 %

Warum Zip?

Interessant an der Domain.zip ist, dass es eigentlich derzeit nur eine einzige zugehörige Live-Website gibt: nic.zip. Diese leitet auf eine Informationsseite von Google zur Domain-Registrierung weiter. Trotzdem erscheinen zahlreiche .zip URLs in den untersuchten Traffic-Logs. Bei den meisten handelt es sich um Dateinamen - und nicht um URLs. Seit es die entsprechende TLD gibt, werden sie jedoch in den verschiedenen Browsern wie Links angezeigt und entsprechend behandelt.

Dies bestätigen viele Sicherheitsteams von Unternehmen, die ebenfalls Bedrohungen untersuchen und Indikatoren für gefährliches Verhalten ermitteln. Deren Berichte enthalten verschiedene .zip URLs, die mit Schadprogrammen assoziiert sind, unter anderem Malware-Familien wie Cryptowall, MiniDionis oder CozyBear.

Beispiele für gefährliche Aktivitäten

Die zweifelhaften TLDs bilden eine hervorragende Basis für kriminelle Aktivitäten. Die meisten werden für Spam- und Scam-Angriffe sowie die Verteilung von unerwünschter Software genutzt. Andere dienen zur Suchmaschinenoptimierung oder Verbesserung der Platzierung bei Suchanfragen. Dazu kommen so genannte "Junk-Sites", die auch als verdächtig eingestuft werden müssen.

Viele Seiten im Internet existieren weniger als 24 Stunden lang und sind meistens in Spam-Mails verlinkt. Sie werden häufig gewechselt, um den Updates von Sicherheitsprogrammen zuvorzukommen. Die Flut an neuen Domains sorgt inzwischen für einen unbegrenzten Nachschub an frei verfügbaren "Eintagsfliegen".

Eine aktuelle Malware-Kampagne zeigt, wie die Domain .kim für kriminelle Zwecke genutzt wird:
Auf Websites wie buu.kim und newido.kim wurden kürzlich Seiten mit verschleiertem Javascript-Code entdeckt. Der Inhalt auf diesen Seiten besteht größtenteils aus Bilddateien, die auf der Malware-verseuchten Website fourapp.info gehostet werden. Wer solche Seiten ohne Schutz durch Sicherheitssoftware aufruft, muss mit Drive-by-Downloads von Malware rechnen.

Mitte Juni 2015 wurde eine neue Variante des Fake-Video-Angriffs entdeckt: Die meistbesuchte .country-Website wurde für einen Scam mit einem angeblich "schockierenden" Video als Köder benutzt.

Eine zunehmend beliebte Masche von Scam-Betrügern ist es, Besucher auf eine Seite zu locken, die so ähnlich aussieht wie YouTube, sonst aber in keiner Weise mit YouTube in Verbindung steht.
Unter einem Video, das sich scheinbar nicht abspielen lässt, tauschen sich im Kommentarfeld andere vermeintlich "echte" Nutzer darüber aus, wie das Video zum Laufen gebracht werden kann. Dort heißt es, man müsse das Video zunächst "liken" oder "teilen" beziehungsweise an einer Online-Umfrage teilnehmen, bevor man es abspielen kann. Wer diese Tipps befolgt, nimmt entweder an einer Scam-Umfrage teil oder löst eine Spam-Attacke auf die eigenen Facebook-Freunde aus.

Tipps für Unternehmen und Privatnutzer

Ob Unternehmen oder Privatnutzer: Wer online unterwegs ist, sollte sich der Risiken beim Surfen auf gefährlichen TLDs bewusst sein. Aber auch "sichere" TLDs sind nicht davor gefeit, von Cyberkriminellen missbraucht zu werden. Starke Sicherheitsmaßnahmen und eine umfassende Security-Policy sind also nach wie vor unverzichtbar. Zudem sollten folgende einfache Tipps als Grundschutz beachtet werden:

  • Unternehmen sollten die riskantesten TLDs generell blockieren.

  • Nutzer sollten mit höchster Vorsicht auf Links in Suchergebnissen, E-Mails oder sozialen Netzwerken klicken, vor allem wenn sie zu Webseiten mit diesen TLDs führen.

  • Um zu verifizieren, wohin genau ein Link führt, sollten Nutzer mit der Maus den Link berühren, ohne ihn anzuklicken. Im daraufhin erscheinenden Textfeld wird die Zieladresse samt TLD sichtbar.

  • Auf mobilen Endgeräten lässt sich ein Link verifizieren, indem der Nutzer ihn berührt und anschließend kurz hält, anstatt ihn nur anzutippen.

Link zur Studie von Blue Coat (bw)

Zur Startseite