Phishing gibt es schon lange, und die jüngsten Indexzahlen zeigen, dass Angreifer es mit Begeisterung nutzen.
- Infoblox DNS Threat Index, Q2 Quarterly Report 2015
- Eine kurze Geschichte der generischen Top-Level-Domains
- Länderspezifische TLDs
- Wussten Sie schon? Vierundfünfzig Länder haben beschlossen, ihre ccTLDs für kommerzielle Zwecke zu nutzen. Zum Beispiel kann .co, die ccTLD für Kolumbien, anstelle von .com verwendet werden. Sie ist aufgrund der wachsenden .com-Domäne sehr beliebt und bietet Unternehmen alternative Möglichkeiten zur Bildung von Website-Namen. Haben Sie die URL http://o.co gesehen? Das ist Overstock.com, das Ihnen eine alternative Möglichkeit bietet, das Unternehmen über Ihren Browser zu erreichen. Sie haben vielleicht youtu.be gesehen. Das ist eine legitime URL, die von Google unter der belgischen ccTLD .be registriert wurde. Ein Großteil der Unterhaltungsindustrie verwendet die ccTLD .TV von Tavalu. Das ist eine gute Möglichkeit für den Inselstaat, Geld zu verdienen. Wenn Sie versuchen festzustellen, ob eine Website legitim ist, sollten Sie bedenken, dass viele ccTLDs auch für kommerzielle Zwecke verwendet werden. Was wie eine verdächtige Website aussieht, könnte in Wirklichkeit rechtmäßig sein. ccTLDs können jedoch auch zur Bildung von Namen für Phishing-Sites verwendet werden, also im Zweifelsfall nicht klicken!
- Wie werden Links/URLs gebildet
- Beispiel Links/URLs
- Wussten Sie schon? Sie besuchen eine Website und sehen „www1“ oder „www2“ (oder eine andere Zahl) in der URL. Was hat das zu bedeuten? Manche Websites sind sehr beliebt und haben daher mehrere Server, die in einer Lastausgleichskonfiguration arbeiten, um die angeforderten Inhalte bereitzustellen. Einige Unternehmen wählen eine Nummerierung ihrer Server. Wenn Sie also ein www1 oder www2 (oder ein anderes www#) sehen, sehen Sie nur, welcher Server unter mehreren Servern den Inhalt bereitstellt. Im Hinblick auf Phishing ist ein www1, www2 usw. an sich kein Indikator für eine Phishing-Site.
- Schlussfolgerung
Infoblox DNS Threat Index, Q2 Quarterly Report 2015
Netzwerk-Endbenutzer sind als Verteidiger an vorderster Front ein wichtiger Bestandteil des Informationssicherheitsprogramms eines Unternehmens. In den letzten Jahren haben sich die Sensibilisierungs- und Schulungsthemen für Netzwerkbenutzer auch auf Phishing ausgeweitet, und zwar sowohl wegen der wuchernden Verbreitung als auch wegen der immer ausgefeilteren Methoden, mit denen die Phisher ihre Opfer anlocken. Wenn unsere Berater die Risiken innerhalb eines Unternehmens bewerten und mit ihnen über ihre Bemühungen zur Sensibilisierung und Schulung in Sachen Phishing sprechen, sehen wir oft Hinweise wie „Klicken Sie nicht auf verdächtige Links“ und „Bewegen Sie den Mauszeiger über Links in einer E-Mail, um zu prüfen, ob sie legitim ist“. Wie kann man jedoch beurteilen, ob ein Link und der zugehörige Uniform Resource Locator (URL) zu einer legitimen Website führt oder nicht?
Um Links und URLs beurteilen zu können, sollte man sich mit generischen Top-Level-Domains (gTLDs), länderspezifischen TLDs (ccTLDs) und anderen Arten von Internet-Domains auskennen. Zu diesem Zweck bietet dieser Artikel einige allgemeine Informationen über das Lesen und Interpretieren von Links/URLs.
Eine kurze Geschichte der generischen Top-Level-Domains
Wir sind alle daran gewöhnt, gTLDs zu sehen. Fast täglich verwenden wir gTLDs, einschließlich der uns am vertrautesten, wie .com, .gov und .edu. Sie sind ein wesentlicher Bestandteil der Struktur des Internets. Sie werden auch von Phishern gut verstanden, die URLs für betrügerische Zwecke manipulieren. Um Links in E-Mails und URLs in Browsern am besten beurteilen zu können, ist es gut zu wissen, wie sich die verschiedenen Domänen entwickelt haben und wie sie funktionieren.
Im Jahr 1984 wurden mit dem Request for Comments (RFC) 920 die ursprünglichen „Allzweckdomänen“ – .com, .gov, .mil, .edu und .org – definiert. Eine weitere Domäne, .net, kam Anfang 1985 hinzu und wird ebenfalls zu den „ursprünglichen“ Domänen gezählt. 1988 kam .int (international) hinzu, um dem Wunsch der Nordatlantikvertrags-Organisation nach einer Domain nachzukommen. Im Laufe der Jahre kamen weitere Domains hinzu, wie .biz und .info (2001). Bis Anfang 2011 waren 22 gTLDs eingerichtet worden. Im Juni 2011 stimmte die Internet Corporation for Assigned Names and Numbers (ICANN) dafür, viele der Beschränkungen für gTLD-Bewerbungen und deren Umsetzung aufzuheben, so dass nun fast jede gTLD verwendet werden kann. Nach den neuen Regeln waren bis Mai 2015 über 600 gTLDs, darunter neue gTLDs wie .auto, .computer, .network, .social, .pizza, .organic, registriert und für die Nutzung im Internet freigegeben worden. Einigen Sicherheitsexperten zufolge ist diese Entwicklung bei den gTLDs ein Geschenk für Phisher, da sie ihnen die Möglichkeit gibt, eine Vielzahl neuer Phishing-Websites zu erstellen. Eine vollständige Liste der erweiterten gTLDs finden Sie in der Root-Zone-Datenbank der Internet Assigned Numbers Authority (IANA) (https://www.iana.org/domains/root/db).
Länderspezifische TLDs
Länderspezifische TLDs sind auch Teil vieler URLs, und daher kann man erwarten, sie gelegentlich in Links zu sehen. Länder haben ccTLDs, um zu unterscheiden, in welchem Land eine Website registriert ist oder aus welchem Land sie stammt. Die ccTLD für die Vereinigten Staaten, .us, wird zum Beispiel häufig von staatlichen und lokalen Behörden verwendet. Andere ccTLD-Beispiele sind Australien, .au, Japan, .jp, und das Vereinigte Königreich, .uk. Beim Lesen eines Links oder einer URL ist zu beachten, dass sich die Position der ccTLD innerhalb der URL verschieben kann (am Ende einer URL, z. B. http://www.gov.uk, oder am Anfang einer URL, z. B. https ://uk.news.yahoo.com).
Wussten Sie schon?
Vierundfünfzig Länder haben beschlossen, ihre ccTLDs für kommerzielle Zwecke zu nutzen. Zum Beispiel kann .co, die ccTLD für Kolumbien, anstelle von .com verwendet werden. Sie ist aufgrund der wachsenden .com-Domäne sehr beliebt und bietet Unternehmen alternative Möglichkeiten zur Bildung von Website-Namen.
Haben Sie die URL http://o.co gesehen? Das ist Overstock.com, das Ihnen eine alternative Möglichkeit bietet, das Unternehmen über Ihren Browser zu erreichen.
Sie haben vielleicht youtu.be gesehen. Das ist eine legitime URL, die von Google unter der belgischen ccTLD .be registriert wurde.
Ein Großteil der Unterhaltungsindustrie verwendet die ccTLD .TV von Tavalu. Das ist eine gute Möglichkeit für den Inselstaat, Geld zu verdienen.
Wenn Sie versuchen festzustellen, ob eine Website legitim ist, sollten Sie bedenken, dass viele ccTLDs auch für kommerzielle Zwecke verwendet werden. Was wie eine verdächtige Website aussieht, könnte in Wirklichkeit rechtmäßig sein. ccTLDs können jedoch auch zur Bildung von Namen für Phishing-Sites verwendet werden, also im Zweifelsfall nicht klicken!
Vierundfünfzig Länder haben beschlossen, ihre ccTLDs für kommerzielle Zwecke zu nutzen. Zum Beispiel kann .co, die ccTLD für Kolumbien, anstelle von .com verwendet werden. Sie ist aufgrund der wachsenden .com-Domäne sehr beliebt und bietet Unternehmen alternative Möglichkeiten zur Bildung von Website-Namen.
Haben Sie die URL http://o.co gesehen? Das ist Overstock.com, das Ihnen eine alternative Möglichkeit bietet, das Unternehmen über Ihren Browser zu erreichen.
Sie haben vielleicht youtu.be gesehen. Das ist eine legitime URL, die von Google unter der belgischen ccTLD .be registriert wurde.
Ein Großteil der Unterhaltungsindustrie verwendet die ccTLD .TV von Tavalu. Das ist eine gute Möglichkeit für den Inselstaat, Geld zu verdienen.
Wenn Sie versuchen festzustellen, ob eine Website legitim ist, sollten Sie bedenken, dass viele ccTLDs auch für kommerzielle Zwecke verwendet werden. Was wie eine verdächtige Website aussieht, könnte in Wirklichkeit rechtmäßig sein. ccTLDs können jedoch auch zur Bildung von Namen für Phishing-Sites verwendet werden, also im Zweifelsfall nicht klicken!
Wie werden Links/URLs gebildet
Was ist also der Schlüssel zum Lesen von URLs in Links? Die grundlegende Antwort ist, dass innerhalb eines Links das Wichtige zwischen dem doppelten Schrägstrich „//“ und dem ersten einfachen Schrägstrich liegt, hauptsächlich in dem unten hervorgehobenen Bereich. Um die URL zu interpretieren, gehen Sie zum ersten einfachen Schrägstrich und dann von dort aus zurück. Nach dem ersten Schrägstrich werden Dinge wie Verzeichnisse, Unterverzeichnisse, Dateinamen und Dateitypen aufgeführt.
Anmerkung: Das obige Gerüst ist die grundlegende Aufschlüsselung einer URL. Anstelle von http:// oder https:// können Sie auch ftp://, gopher:// oder news:// sehen. Dabei handelt es sich um verschiedene Arten von Übertragungsprotokollen. Darüber hinaus ist www, obwohl es in vielen URLs vorkommt, kein erforderlicher Bestandteil. Vor der gTLD und dem sekundären Domänen-/Servernamen werden möglicherweise weitere Felder angezeigt. Nach dem ersten Schrägstrich können Sie Felder mit Datumsangaben oder anderen Informationen zur Identifizierung einer Ressource sehen.
Beispiel Links/URLs
Nachdem wir nun mit einigen Hintergrundinformationen ausgestattet sind, wollen wir uns einige Beispiele ansehen.
-
Wir sind daran gewöhnt, kommerzielle Websites zu sehen und zu benutzen, wie zum Beispiel: http://www.amazon.com
Dies ist eine bekannte Seite, und die URL enthält keine verdächtigen Änderungen.
Einstufung: LEGIT! -
URLs können auf fast jede Art und Weise gebildet werden. Dies macht es für Website-Besitzer einfach, einzigartige Website-Namen zu erstellen. Das macht es auch Phishern leicht, dasselbe zu tun, d. h. sie können Website-Namen erstellen, die legitimen Website-Namen sehr ähnlich sind. Sehen Sie sich beispielsweise an, was ein einfacher Punkt aus einem Site-Namen machen kann: http://www.ama.zon.com/gp/cart/view.html/ref=nav_cart
Wenn eine Person auf den obigen Link klicken würde, würde sie statt auf amazon.com auf die Website zon.com weitergeleitet, bei der es sich um eine von Phishern registrierte Website handeln könnte.
Beurteilung: SUSPECT! -
Wie wäre es mit diesem Link? http://This Diese E-Mail-Adresse ist vor Spambots geschützt! Sie müssen JavaScript aktivieren, damit Sie es sehen können./catalog
In diesem Fall würde eine Person zur IP-Adresse 66.161.153.155 geleitet werden, nicht zu amazon.com. Wenn Sie einen Link/URL mit einem „@“-Zeichen sehen, seien Sie besonders vorsichtig. Phisher verwenden diese URL-Manipulationstaktik routinemäßig.
Beurteilung: SUSPECT! -
Was, wenn Sie diese URL in einem Link sehen? http://209.131.36.158/amazon.com/index.jsp
Diese URL hat eine ähnliche Funktion wie die URL in Nr. 3 oben. Eine Person würde zur IP-Adresse geleitet werden, nicht zu amazon.com, die nach dem ersten Schrägstrich aufgeführt ist.
Assessment: SUSPECT! -
Was ist, wenn Sie eine URL ähnlich der unten stehenden sehen, oder wenn Sie beim Laden einer Webseite etwas Ähnliches in der URL-Leiste sehen? http://www.google.com/url?q=http://www.badsite.com
Dieses Beispiel zeigt eine URL, die eine Person von einer Website (in diesem Fall google.com) auf eine andere Website, badsite.com, verweist (beachten Sie die „=http://“-Nomenklatur, die dies ermöglicht). Verweise sind an sich nichts Schlechtes, aber ein Verweis kann zu einer Phishing-Site führen. In diesem Fall scheint badsite.com nicht legitim zu sein.
Assessment: SUSPECT!
Wussten Sie schon?
Sie besuchen eine Website und sehen „www1“ oder „www2“ (oder eine andere Zahl) in der URL. Was hat das zu bedeuten? Manche Websites sind sehr beliebt und haben daher mehrere Server, die in einer Lastausgleichskonfiguration arbeiten, um die angeforderten Inhalte bereitzustellen. Einige Unternehmen wählen eine Nummerierung ihrer Server. Wenn Sie also ein www1 oder www2 (oder ein anderes www#) sehen, sehen Sie nur, welcher Server unter mehreren Servern den Inhalt bereitstellt. Im Hinblick auf Phishing ist ein www1, www2 usw. an sich kein Indikator für eine Phishing-Site.
Sie besuchen eine Website und sehen „www1“ oder „www2“ (oder eine andere Zahl) in der URL. Was hat das zu bedeuten? Manche Websites sind sehr beliebt und haben daher mehrere Server, die in einer Lastausgleichskonfiguration arbeiten, um die angeforderten Inhalte bereitzustellen. Einige Unternehmen wählen eine Nummerierung ihrer Server. Wenn Sie also ein www1 oder www2 (oder ein anderes www#) sehen, sehen Sie nur, welcher Server unter mehreren Servern den Inhalt bereitstellt. Im Hinblick auf Phishing ist ein www1, www2 usw. an sich kein Indikator für eine Phishing-Site.
Um den Nutzern zu helfen, die Top-Level- und Sekundärdomains innerhalb einer URL schnell zu bestimmen, haben einige Unternehmen und Organisationen begonnen, „Domain-Highlights“ zu verwenden. Wenn ein Benutzer eine Website besucht, wird ein Teil der URL nach einigen Sekunden abgeblendet, während die Top-Level- und Sekundärdomänen dunkel bleiben. Beispiel:
Es ist immer gut, auf Anzeichen einer seriösen, sicheren Website zu achten: geschlossenes Vorhängeschloss, https:// und grün hervorgehobener Firmenname innerhalb der URL (wie im obigen PayPal-Beispiel). Wenn das Zertifikat einer Website abgelaufen oder anderweitig ungültig ist, warnen einige Browser, wie Internet Explorer und Firefox, oder Sicherheitsdienste die Benutzer. Eine Person könnte sich fragen, ob es sicher ist, trotz der Warnung fortzufahren. Verwenden Sie in diesem Fall andere verfügbare Indikatoren (überprüfen Sie die URL erneut), um festzustellen, ob die Website rechtmäßig ist. Im Zweifelsfall sollten Sie nicht fortfahren.
Schlussfolgerung
Phishing ist nach wie vor ein weltweites Problem, das durch Benutzer, die sich der Phishing-Taktiken nicht bewusst sind, durch immer ausgefeiltere Phishing-Methoden und jetzt auch durch eine wachsende Zahl generischer Domänen oberster Stufe noch verschärft wird. Obwohl Links in E-Mails nicht die einzige Methode sind, die von Phishern verwendet wird, ist sie sehr verbreitet. Um die von Phishing ausgehenden Risiken zu verringern, muss man wissen, wie Links und die zugehörigen URLs zu interpretieren sind.
Wenn Sie mehr über Social Engineering, Sensibilisierung und Schulung sowie Risikobewertungsdienste erfahren möchten, nehmen Sie noch heute Kontakt mit uns auf.