Headerbild Phishing Open Source
Sicherheit

Tutorial: Phishing vorbeugen mit Open-Source-Tools

Phishing-Angriffe zählen zu den größten Bedrohungen im digitalen Raum. Laut einer Studie von Deloitte haben über 90 % aller Cyberangriffe ihren Ursprung im Phishing.1 Dabei spielen manipulierte Domains, sogenannte Cybersquatting-Domains, eine entscheidende Rolle. In diesem Artikel zeigen wir, wie Sie solche Domains aufdecken und so Phishing-Risiken minimieren können.

Was ist Cybersquatting?

Cybersquatting bezeichnet das Registrieren von Domains, die den bestehenden, legitimen Domainnamen stark ähneln. Ein typisches Beispiel:

Original

einecybersquattingdomain.com

Fake

einecybersquattingdommain.com

In diesem Fall wurde ein zweites „m“ hinzugefügt, was leicht übersehen werden kann.

Häufig werden Buchstaben hinzugefügt, entfernt oder durch ähnliche Zeichen ersetzt, wie z. B. ein „o“ durch eine „0“ oder ein „I“ durch ein „1“. Diese Täuschungen sind schwer zu erkennen und können Benutzer leicht in die Irre führen. Solche Domains werden oft verwendet, um die Nutzer auf gefälschte Webseiten zu locken, die vertrauliche Informationen wie Passwörter oder Kreditkartendaten abgreifen.

Warum ist händisches Suchen ineffektiv?

Die manuelle Suche nach Cybersquatting-Domains ist zeitintensiv und oft unpraktikabel. Je länger eine Domain ist, desto mehr potenzielle Tippfehler gibt es. Die Anzahl der Kombinationen steigt exponentiell mit der Domainlänge. Selbst bei einer kurzen Domain wie „shop.com“ können hunderte Varianten entstehen.

Darüber hinaus sind Cyberkriminelle oft sehr kreativ. Neben Tippfehlern fügen sie kontextbezogene Begriffe hinzu oder nutzen verschiedene Domainendungen, um glaubwürdiger zu wirken. Ohne automatisierte Hilfsmittel können solche Gefahren nicht umfassend und zuverlässig erkannt werden.

Kostenlose Open-Source-Lösung für ein komplexes Problem

Das Python-basierte Tool dnstwist ist eine leistungsstarke Open-Source-Lösung, die nahezu alle potenziellen Typo-Domains generieren und auf Registrierung prüfen kann. Es ermöglicht zudem die Analyse, ob diese Domains für schädliche Zwecke wie Phishing verwendet werden könnten.

Schlüsselfunktionen von dnstwist

  • Generierung von Typo-Domains: dnstwist erstellt automatisch Variationen Ihrer Domain, z. B. durch hinzugefügte Buchstaben, ausgelassene Zeichen oder vertauschte Buchstaben.
  • Prüfung der Registrierung: Das Tool zeigt, welche dieser Domains tatsächlich registriert sind.
  • E-Mail-Gefahr identifizieren: Es prüft, ob die Domains Mail-Server konfiguriert haben, die für Phishing-E-Mails genutzt werden könnten.
  • Wortlisten verwenden: Sie können eigene Wörterlisten einbinden, um spezifische Erweiterungen wie „-login“ oder „-secure“ zu testen.

Installation

Die Installation von dnstwist ist kostenlos, erfordert jedoch grundlegende technische Kenntnisse und Erfahrung im Umgang mit dem Terminal. Für weniger technisch versierte Nutzer bieten wir am Ende des Artikels eine einfachere Alternative.

1. Schritt: Python installieren

dnstwist setzt eine geeignete Python-Version voraus. Installieren Sie diese, falls sie noch nicht auf Ihrem Rechner vorhanden ist.

2. Schritt: dnstwist installieren

Die Installation hängt von der bevorzugten Methode und dem Betriebssystem ab.

Mit Python PIP:

$ pip install dnstwist[full]

Mit Git:

$ git clone https://github.com/elceef/dnstwist.git
$ cd dnstwist
$ pip install .

Für Debian/Ubuntu/Kali Linux:

$ sudo apt install dnstwist

Für Fedora Linux:

$ sudo dnf install dnstwist

Für macOS:

$ brew install dnstwist

Mit Docker:

$ docker run -it elceef/dnstwist

3. Schritt: Testen

Führen Sie folgenden Befehl aus, um sicherzustellen, dass dnstwist funktioniert:

$ dnstwist united-domains.com

Nutzung

Nur registrierte Domains anzeigen

Mit der Option -r können Sie nur registrierte Domains anzeigen lassen:

$ dnstwist -r united-domains.com

Phishing-E-Mail-Gefahr prüfen

Um zu prüfen, ob eine Domain schädliche E-Mails verschicken könnte, nutzen Sie die Option -m:

$ dnstwist -r -m united-domains.com

Domains mit angehängten Wörtern finden

Erstellen Sie eine Wörterliste (.dict-Datei) mit Begriffen wie „-login“, „-shop“ oder „-secure“. Fügen Sie diese mit der Option -d hinzu:

$ dnstwist -r -d ~/Documents/Dictionaries/wörter.dict united-domains.com

Limitationen

Trotz seiner Nützlichkeit hat dnstwist einige Einschränkungen:

Technische Anforderungen

Nutzer benötigen Grundkenntnisse in Python und der Kommandozeile, um das Tool korrekt zu installieren und zu verwenden. Dies kann für weniger technisch versierte Personen eine Hürde darstellen.

Begrenzte Analyse

Das Tool erkennt nicht alle möglichen Gefahren. Cyberkriminelle nutzen oft komplexere Taktiken, die über einfache Typo-Domains hinausgehen. Beispielsweise können irreguläre Wörter angehängt werden, oder unzählige Domainendungen. 

Manuelle Konfiguration

Jede Domain und jede Endung muss separat geprüft werden. Das bedeutet, dass Nutzer für jede relevante Domainendung (zB. .com, .de, .org) separate Befehle ausführen müssen. Bei vielen zu überwachenden Domains summiert sich dieser Aufwand.

Performance-Einschränkungen

Je größer die verwendeten Wörterlisten oder je umfangreicher die Analysen, desto mehr Rechenleistung und Zeit werden benötigt. Bei großen Scans können die Ergebnisse daher verzögert eintreffen.

Fehlende Automatisierung

Obwohl dnstwist viele Möglichkeiten bietet, erfordert es einen hohen manuellen Aufwand, um regelmäßige Scans durchzuführen oder Ergebnisse zu analysieren. Dies stellt besonders Unternehmen mit begrenzten Ressourcen vor eine Herausforderung.

 

Eine einfache Alternative: Automated Monitoring

Für Unternehmen, die eine benutzerfreundliche und automatisierte Lösung suchen, bietet das Automated Monitoring erhebliche Vorteile:

  • Umfassende Abdeckung: Automatische Prüfung aller Domainendungen und Wörterlisten.
  • Zeitersparnis: Keine manuelle Konfiguration oder Überwachung erforderlich.
  • Proaktiver Schutz: Das Monitoring kann auch Webseiten auf Markennamen im HTML-Code prüfen, unabhängig von der Domain.
  • Regelmäßige Scans: Wählen Sie tägliche, wöchentliche oder monatliche Intervalle, um ständig auf dem neuesten Stand zu bleiben.

Jetzt Domain kostenlos scannen und erste Analyse erhalten!
Domain scannen

Etwas Gefährliches gefunden, was nun?Wir können Ihnen helfen, falls Sie durch den Scan eine Phishing-Seite, einen Fake Shop oder Ähnliches finden. In solch einem Fall können Sie ganz einfach hier Kontakt mit uns aufnehmen.

Fazit

Mit Tools wie dnstwist und automatisiertem Monitoring können Unternehmen Cybersquatting-Domains effektiv erkennen und das Risiko von Phishing-Angriffen minimieren. Proaktive Maßnahmen schützen nicht nur Ihre Marke, sondern auch Ihre Kunden vor potenziellen Gefahren.

  1. https://www2.deloitte.com/my/en/pages/risk/articles/91-percent-of-all-cyber-attacks-begin-with-a-phishing-email-to-an-unexpected-victim ↩︎

Lesen Sie als Nächstes
Symbolbild: Data Breach und Cyber Attack in roten Lettern stechen aus einem in blau gehaltenen Code hervor

FBI-Cybercrime-Report: starke Bedrohung durch Phishing

Die Beschwerdestelle für Internetkriminalität des US-amerikanischen Federal Bureau of Investigation (FBI) hat ihren Jahresbericht für 2022 veröffentlicht (FBI  – Annual ...
Headerbild Automated Monitoring Leitfaden
Online Brand Protection

Automated Monitoring: Der Schlüssel zum Schutz Ihrer digitalen Identität

In der digitalen Welt lauern Gefahren, die Ihr Unternehmen in Sekundenschnelle treffen können. Stellen Sie sich vor, Sie könnten diese ...