Lookalike-Domains sind eine gefährliche Bedrohung. Sie imitieren echte Websites, um sensible Daten zu stehlen. Da sie sowohl für Mitarbeiter als auch für Kunden ein hohes Sicherheitsrisiko darstellen, sollten Banken hier besonders vorbereitet sein.
Lookalike-Bedrohungen stellen für Banken eine doppelte Gefahr dar.
Partner des Bank Blogs
Stellen Sie sich vor, Sie erhalten eine E-Mail von Ihrer Bank, die Sie auffordert, Ihre Kontoinformationen zu überprüfen. Alles sieht legitim aus, aber ein winziger Unterschied im Domainnamen führt Sie auf eine nachgemachte Website. Diese Lookalike-Domains sind eine beliebte Methode von Cyberkriminellen, um Benutzer auf gefälschte Websites zu locken, wo sie wertvolle Daten stehlen können. Diese Taktiken sind unglaublich effektiv: Laut Barracuda waren 2023 Spear-Phishing-Kampagnen für 66 Prozent aller Breaches verantwortlich.
Die Lookalike Domains weisen dabei meist nur minimale Änderungen auf, wie den Wechsel der Top-Level-Domain (z.B. von .com zu .net) oder das Hinzufügen zusätzlicher Zeichen (z.B. login-abc.com). Natürlich verwenden Angreifer auch Homographen oder Homoglyphen, bei denen ähnliche Zeichen ersetzt werden (z.B. ein kleines „l“ durch ein großes „I“ oder ein „O“ durch eine Null).
Die Auswirkungen von Lookalikes auf Finanzinstitute
Banken sind bevorzugte Ziele von Lookalike-Angriffen, da die Verbraucher besonders empfänglich für Kampagnen sind, die sich auf ihre persönlichen Finanzen beziehen. Die Daten sind nicht nur hochsensibel und kritisch – Cyberkriminelle nutzen hier vor allem das Vertrauensverhältnis zwischen Banken und ihren Kunden aus, um diese dazu zu verleiten, sensible Informationen preiszugeben. Die Folgen für Banken sind gravierend: Auch wenn sie nicht direkt für die betrügerischen Aktivitäten verantwortlich sind, erleiden sie einen erheblichen Reputationsschaden und haften möglicherweise für entstandene Schäden. Darüber hinaus zielen Angreifer mit Lookalike-Domains auch auf Bankmitarbeiter ab, um über diese Zugriff auf sensible Systeme zu bekommen. Beide Gefährdungsebenen bedürfen des Schutzes.
Bei Infoblox beobachten wir immer wieder hartnäckige Versuche von Angreifern, innovative Lookalike-Domains einzusetzen. Dies führt teilweise dazu, dass einige Finanzdienstleistungen dauerhaft auf unserer Watchlist stehen.
Die Rolle des DNS bei der Bekämpfung von Lookalikes
Der Kampf gegen Lookalike-Domains ist ein mehrstufiger Prozess. Zunächst müssen Banken sicherstellen, dass ihre Domains vor Angriffen wie DNS-Hijacking (z.B. durch sogenannte Dangling Domains oder Lame Delegations) geschützt sind. Große Banken sind in der Regel gut darin, aber da sich im Tagesgeschäft ständig viel ändert, muss dies sorgfältig verwaltet werden. Nicht alle Sicherheitsteams konzentrieren sich darauf und gehen davon aus, dass die Netzwerk-Teams dies im Griff haben. Recherchen von Infoblox Threat Intel zeigen, dass über 500.000 Domains von der Lame Delegation (Sitting Ducks) Schwachstelle betroffen sind.
Im nächsten Schritt müssen Lookalikes identifiziert werden, die Verbraucher und Mitarbeiter täuschen könnten. Es ist unrealistisch zu erwarten, dass Nutzer betrügerische Domains immer erkennen können. Durch die proaktive Analyse neu registrierter DNS-Domains weltweit ist Infoblox beispielsweise in der Lage, diese mit legitimen Domains abzugleichen und Unternehmen zu warnen, dass unter ihrem Namen möglicherweise Betrugsversuche stattfinden könnten.
Schädliche Domains müssen nicht nur entdeckt, sondern auch entfernt werden. Dedizierte Take-Down-Services helfen, schädliche Domains schnell und effizient zu löschen, indem sie mit Registrierstellen auf der ganzen Welt zusammenarbeiten und die notwendigen Informationen bereitstellen.
Der Schutz der eigenen Mitarbeiter vor Lookalike-Domains ist mithilfe des DNS noch einfacher. Durch die kontinuierliche Überwachung des DNS-Verkehrs kann die Kommunikation mit potenziell schädlichen Domains direkt erkannt und unterbunden werden. Dies geschieht nicht nur auf Basis einer reaktiven Blacklist, sondern mithilfe von dynamischem Profiling, das mögliche Lookalikes erkennt, bevor eine Domain überhaupt erstmals für Angriffe genutzt wird.
Idealerweise sollten Unternehmen über einen End-to-End-Prozess für all diese Vorgänge verfügen. Dies ist jedoch nicht immer der Fall und oft arbeiten mehrere Teams daran, was zu Problemen oder Verzögerungen führen kann.
5 Best Practices für Banken und Finanzinstitute
Um ihre Sicherheitslage zu verbessern und sich vor Lookalikes zu schützen, sollten Banken und Finanzinstitute folgende fünf Best Practices beachten:
1. Implementierung von Multi-Faktor-Authentifizierung (MFA)
MFA implementiert eine zusätzliche Sicherheitsebene. Dies kann unbefugten Zugriff verhindern, selbst wenn Anmeldedaten kompromittiert wurden. Unternehmen sollten hierbei jedoch besonders auf Kriminelle achten, die Single-Sign-On-Portale imitieren. Denn diese nutzen die Beliebtheit der Multi-Faktor-Authentifizierung aus, indem sie gefälschte Single-Sign-On-Portale erstellen, auf denen Opfer ihre Anmeldedaten eingeben, wie beim Angriff auf das französische Sozialversicherungssystem gesehen.
2. Schulung von Mitarbeitern und Kunden
Regelmäßige Sensibilisierungsprogramme können helfen, Phishing-Versuche zu erkennen. Auch wenn es für Nutzer und Verbraucher aufgrund der Raffinesse der Angreifer schwieriger geworden ist, Lookalikes zu erkennen, bleibt dies eine bewährte Strategie.
3. Etablierung von Best Practices für eine sichere DNS-Konfiguration
Um die Sicherheitslücken zu schließen, die MFA und Nutzerschulungen nicht abdecken, sollten Unternehmen einen Lookalike-Domain-Überwachungsdienst implementieren. Dieser hilft, Angriffsversuche zu erkennen, bevor die Domains in Phishing-Kampagnen verwendet werden.
4. Überwachung des DNS-Verkehrs
Durch die kontinuierliche Überwachung des DNS-Verkehrs können Organisationen verdächtige Domains frühzeitig erkennen und blockieren. Diese Echtzeit-Transparenz und Kontrolle über den DNS-Verkehr bietet eine robuste und skalierbare Möglichkeit, Nutzer vor Spear-Phishing-Angriffen zu schützen, die Lookalikes ausnutzen.
5. Verwendung von Bedrohungsinformationen
Die Nutzung von Bedrohungsinformationen aus vertrauenswürdigen Quellen hilft Unternehmen dabei, über die neuesten Bedrohungen und Schwachstellen informiert zu bleiben. Infoblox Threat Intel analysiert DNS-Verkehr und Registrierungen auf der ganzen Welt und hat dadurch beispielswese Bedrohungsakteure wie Loopy Lizard identifiziert, die darauf spezialisiert sind, Lookalike-Domains im Namen anderer Krimineller zu erstellen.
Reduzierung des Risikos von Lookalike-Attacken
Durch die Umsetzung dieser Best Practices und den Einsatz fortschrittlicher DNS-Sicherheitslösungen können Banken und Finanzinstitute das Risiko von Lookalike-Domain-Angriffen erheblich reduzieren und die sensiblen Informationen ihrer Kunden nachhaltig schützen.
