Die gemeinnützige Anti-Phishing Working Group (APWG) berichtet regelmäßig über Phishing-Entwicklungen im Netz. Gerade hat sie ihren Bericht für das erste Halbjahr 2012 veröffentlicht.
Für Marken- und Domaininhaber enthält der Bericht zwei wesentliche Aussagen: Die Reaktionszeiten bis zur Sperrung einer Phishing Seite sind so gut wie noch nie und haben sich halbiert; bei einer steigenden Anzahl von Phishing Angriffen. Zweitens legen Phisher vermehrt Subdomains an und konzentrieren sich auf das Hacken bestehender Internetpräsenzen.
[…] have tended to shift phishing toward compromised sites and vulnerable services.
Es werden immer weniger neue Domains für Phishing registriert. Nur 12% aller in Phishing Attacken involvierten Domains sind nur für diesen Zweck registriert worden. Während für diesen Zweck die letzten beiden Halbjahre noch 12.895 bzw. 14.650 Domains registriert wurden, sind es diesen Halbjahr nur noch 7.712. Die Zahlen belegen, daß es für Phisher immer weniger interessant ist, neue Domains für Phishing zu registrieren. Die Marke im Domainnamen zu führen mag dem Phisher auf den ersten Blick mehr Traffic bescheren, tatsächlich ist die Strategie wenig erfolgreich. Viele Markeninhaber lassen Domainnamen genau auf diese Rechtsverletzungen hin überwachen und werden so schnell auf Phishingaktivitäten aufmerksam. Nur 1.350 von 64.204 Phishing-Domains enthielten eine relevante Marke oder Vertipper. Letztes Jahr waren es noch 2.232. Damit enthalten lediglich 2% der in Phishing involvierten Domains eine Marke.
Placing brand names or variations thereof in the domain name itself is not a favored tactic, since brand owners are proactively scanning Internet zone files for such names. As we have observed in the past, the domain name itself usually does not matter to phishers, and a domain name of any meaning, or no meaning at all, in any TLD, will usually do. Instead, phishers almost always place brand names in subdomains or subdirectories.
Phisher konzentrieren sich vermehrt auf bekannte Ziele wie zB kostenlose E-Mail Anbieter (Gmail, Hotmail und Yahoo!). Mit den erlangten Zugangsdaten können diese dann erneut sehr leicht SPAM verschicken.
Betrachtet man die Domainendungen (TLDs), die für Phishing bevorzugt werden, ergibt sich folgendes Bild.
Über 50% der für Phishing neu registrierten Domains sind übrigens unter der Länderendung .tk zu finden. Die Verwendung von IDNs (Internationalisierte Domain Namen, in Deutschland auch Umlautdomains genannt) beim Phishing spielt nach wie vor kaum eine Rolle.
