Phishing-Angriffe zählen zu den größten Bedrohungen im digitalen Raum. Laut einer Studie von Deloitte haben über 90 % aller Cyberangriffe ihren Ursprung im Phishing.1 Dabei spielen manipulierte Domains, sogenannte Cybersquatting-Domains, eine entscheidende Rolle. In diesem Artikel zeigen wir, wie Sie solche Domains aufdecken und so Phishing-Risiken minimieren können.
Was ist Cybersquatting?
Cybersquatting bezeichnet das Registrieren von Domains, die den bestehenden, legitimen Domainnamen stark ähneln. Ein typisches Beispiel:
einecybersquattingdomain.com
einecybersquattingdommain.com
In diesem Fall wurde ein zweites „m“ hinzugefügt, was leicht übersehen werden kann.
Häufig werden Buchstaben hinzugefügt, entfernt oder durch ähnliche Zeichen ersetzt, wie z. B. ein „o“ durch eine „0“ oder ein „I“ durch ein „1“. Diese Täuschungen sind schwer zu erkennen und können Benutzer leicht in die Irre führen. Solche Domains werden oft verwendet, um die Nutzer auf gefälschte Webseiten zu locken, die vertrauliche Informationen wie Passwörter oder Kreditkartendaten abgreifen.
Warum ist händisches Suchen ineffektiv?
Die manuelle Suche nach Cybersquatting-Domains ist zeitintensiv und oft unpraktikabel. Je länger eine Domain ist, desto mehr potenzielle Tippfehler gibt es. Die Anzahl der Kombinationen steigt exponentiell mit der Domainlänge. Selbst bei einer kurzen Domain wie „shop.com“ können hunderte Varianten entstehen.
Darüber hinaus sind Cyberkriminelle oft sehr kreativ. Neben Tippfehlern fügen sie kontextbezogene Begriffe hinzu oder nutzen verschiedene Domainendungen, um glaubwürdiger zu wirken. Ohne automatisierte Hilfsmittel können solche Gefahren nicht umfassend und zuverlässig erkannt werden.
Kostenlose Open-Source-Lösung für ein komplexes Problem
Das Python-basierte Tool dnstwist ist eine leistungsstarke Open-Source-Lösung, die nahezu alle potenziellen Typo-Domains generieren und auf Registrierung prüfen kann. Es ermöglicht zudem die Analyse, ob diese Domains für schädliche Zwecke wie Phishing verwendet werden könnten.
Schlüsselfunktionen von dnstwist
- Generierung von Typo-Domains: dnstwist erstellt automatisch Variationen Ihrer Domain, z. B. durch hinzugefügte Buchstaben, ausgelassene Zeichen oder vertauschte Buchstaben.
- Prüfung der Registrierung: Das Tool zeigt, welche dieser Domains tatsächlich registriert sind.
- E-Mail-Gefahr identifizieren: Es prüft, ob die Domains Mail-Server konfiguriert haben, die für Phishing-E-Mails genutzt werden könnten.
- Wortlisten verwenden: Sie können eigene Wörterlisten einbinden, um spezifische Erweiterungen wie „-login“ oder „-secure“ zu testen.
Installation
Die Installation von dnstwist ist kostenlos, erfordert jedoch grundlegende technische Kenntnisse und Erfahrung im Umgang mit dem Terminal. Für weniger technisch versierte Nutzer bieten wir am Ende des Artikels eine einfachere Alternative.
1. Schritt: Python installieren
dnstwist setzt eine geeignete Python-Version voraus. Installieren Sie diese, falls sie noch nicht auf Ihrem Rechner vorhanden ist.
2. Schritt: dnstwist installieren
Die Installation hängt von der bevorzugten Methode und dem Betriebssystem ab.
Mit Python PIP:
$ pip install dnstwist[full]
Mit Git:
$ git clone https://github.com/elceef/dnstwist.git
$ cd dnstwist
$ pip install .
Für Debian/Ubuntu/Kali Linux:
$ sudo apt install dnstwist
Für Fedora Linux:
$ sudo dnf install dnstwist
Für macOS:
$ brew install dnstwist
Mit Docker:
$ docker run -it elceef/dnstwist
3. Schritt: Testen
Führen Sie folgenden Befehl aus, um sicherzustellen, dass dnstwist funktioniert:
$ dnstwist united-domains.com
Nutzung
Nur registrierte Domains anzeigen
Mit der Option -r können Sie nur registrierte Domains anzeigen lassen:
$ dnstwist -r united-domains.com
Phishing-E-Mail-Gefahr prüfen
Um zu prüfen, ob eine Domain schädliche E-Mails verschicken könnte, nutzen Sie die Option -m:
$ dnstwist -r -m united-domains.com
Domains mit angehängten Wörtern finden
Erstellen Sie eine Wörterliste (.dict-Datei) mit Begriffen wie „-login“, „-shop“ oder „-secure“. Fügen Sie diese mit der Option -d hinzu:
$ dnstwist -r -d ~/Documents/Dictionaries/wörter.dict united-domains.com
Limitationen
Trotz seiner Nützlichkeit hat dnstwist einige Einschränkungen:
Technische Anforderungen
Nutzer benötigen Grundkenntnisse in Python und der Kommandozeile, um das Tool korrekt zu installieren und zu verwenden. Dies kann für weniger technisch versierte Personen eine Hürde darstellen.
Begrenzte Analyse
Das Tool erkennt nicht alle möglichen Gefahren. Cyberkriminelle nutzen oft komplexere Taktiken, die über einfache Typo-Domains hinausgehen. Beispielsweise können irreguläre Wörter angehängt werden, oder unzählige Domainendungen.
Manuelle Konfiguration
Jede Domain und jede Endung muss separat geprüft werden. Das bedeutet, dass Nutzer für jede relevante Domainendung (zB. .com, .de, .org) separate Befehle ausführen müssen. Bei vielen zu überwachenden Domains summiert sich dieser Aufwand.
Performance-Einschränkungen
Je größer die verwendeten Wörterlisten oder je umfangreicher die Analysen, desto mehr Rechenleistung und Zeit werden benötigt. Bei großen Scans können die Ergebnisse daher verzögert eintreffen.
Fehlende Automatisierung
Obwohl dnstwist viele Möglichkeiten bietet, erfordert es einen hohen manuellen Aufwand, um regelmäßige Scans durchzuführen oder Ergebnisse zu analysieren. Dies stellt besonders Unternehmen mit begrenzten Ressourcen vor eine Herausforderung.
Eine einfache Alternative: Automated Monitoring
Für Unternehmen, die eine benutzerfreundliche und automatisierte Lösung suchen, bietet das Automated Monitoring erhebliche Vorteile:
- Umfassende Abdeckung: Automatische Prüfung aller Domainendungen und Wörterlisten.
- Zeitersparnis: Keine manuelle Konfiguration oder Überwachung erforderlich.
- Proaktiver Schutz: Das Monitoring kann auch Webseiten auf Markennamen im HTML-Code prüfen, unabhängig von der Domain.
- Regelmäßige Scans: Wählen Sie tägliche, wöchentliche oder monatliche Intervalle, um ständig auf dem neuesten Stand zu bleiben.
Jetzt Domain kostenlos scannen und erste Analyse erhalten!
Domain scannen
Etwas Gefährliches gefunden, was nun?Wir können Ihnen helfen, falls Sie durch den Scan eine Phishing-Seite, einen Fake Shop oder Ähnliches finden. In solch einem Fall können Sie ganz einfach hier Kontakt mit uns aufnehmen.
Fazit
Mit Tools wie dnstwist und automatisiertem Monitoring können Unternehmen Cybersquatting-Domains effektiv erkennen und das Risiko von Phishing-Angriffen minimieren. Proaktive Maßnahmen schützen nicht nur Ihre Marke, sondern auch Ihre Kunden vor potenziellen Gefahren.