Was ist Domain-Hijacking?

Was ist Domain-Hijacking?

Beim Domain-Hijacking übernimmt (oder kapert) ein Angreifer die Kontrolle über einen Domain-Namen, in der Regel mithilfe von Social Engineering. Ein Domain-Name ist die eindeutige, einprägsame Adresse, die verwendet wird, um Nutzer mit Websites zu verbinden, und ist die Grundlage, auf der die öffentliche Internetidentität eines Unternehmens aufgebaut ist.

Wenn ein Angreifer eine Domain erfolgreich kapert, verliert der rechtmäßige Besitzer die Kontrolle über all seine mit der Domain verbundenen Dienste. Dazu gehören Website-Inhalte, Unternehmens-E-Mails, VoIP-Callcenter, Cloud-Speicherdienste und andere mit der Domain verbundene Apps. Damit wird das Hijacking von Domain-Namen zu einer der größten Online-Bedrohungen für die Marke, die Einnahmen und den Ruf.

Wie funktionieren Domains?

Domain-Namen erleichtern den Zugriff auf Websites, ohne dass Sie sich alphanumerische IP-Adressen merken müssen. Domain-Namen werden dank des Domain Name System (DNS), dem Telefonbuch des Internets, den IP-Adressen zugeordnet.

Domains werden über Domain-Name-Registraren eingerichtet. Wenn es um die Beschaffung einer Domain geht, gibt es zwei Hauptakteure: Registrare und Registries. Stellen Sie sich die Registries (wie VeriSign) als Großhändler und die Registrare als die Einzelhändler vor. Registries besitzen die Datenbank aller registrierten Domains innerhalb einer TLD. Sie delegieren die Reservierung verfügbarer Domain-Namen an Registrare. Die Registrare – von denen es Tausende gibt – „verkaufen“ (oder besser gesagt leasen) Domain-Namen für einen bestimmten Zeitraum an Endnutzer.

Domain-Namen werden normalerweise in zwei oder drei Teile unterteilt, die jeweils durch einen Punkt getrennt sind. Beim Lesen von rechts nach links wechseln die Bezeichner in Domainnamen von den allgemeinsten zu den spezifischsten:

• Der Abschnitt rechts vom letzten Punkt in einem Domain-Namen ist die Top-Level-Domain (TLD). Beispiele für TLDs sind „.com“, „.net“, „.co“, „.uk“ und „.in.“
• Links von der TLD befindet sich die Second-level Domain (2LD). Wenn sich links von der 2LD etwas befindet, wird dies als Third-level Domain (3LD) bezeichnet.

Um unbefugte Änderungen von Domain-Namen zu verhindern, können Domain-Inhaber über ihren Registrar „Client“-Sperren (Registrar-Sperren) beantragen. Registries wenden „Server“-Sperren an, die auch als Registry-Sperren bezeichnet werden. Wenn sich ein Angreifer jedoch den richtigen Zugriff auf das Konto verschafft, kann er die Domain-Sperren aufheben und nicht autorisierte Registraränderungen vornehmen.

Wie kann es zum Domain-Hijacking kommen?

Eine Domain kann auf viele Arten gekapert werden. Zum Beispiel:

• Social Engineering und Phishing: Im Großen und Ganzen ist Social Engineering jeder Angriff, der Menschen so manipuliert, dass sie sensible Informationen preisgeben. Beispielsweise sendet ein Angreifer dem anvisierten Opfer eine legitim aussehende Phishing E-Mail, die angeblich vom Registrar stammt. Der Empfänger klickt auf einen der Links in der E-Mail und denkt, dass er auf die Website des Registrars führt. In Wirklichkeit verweist er ihn jedoch auf eine gefälschte Domain, mit der die Anmeldedaten für den Registrar gestohlen werden sollen.
• Ausnutzung ruhender oder auslaufender Domains: Die meisten Domain-Namen können nur für bis zu zehn Jahre am Stück registriert werden. Es liegt in der Verantwortung des Registrars, seine Kunden über den bevorstehenden Ablauf ihrer Domains zu informieren. Wenn der Endnutzer seine Domain jedoch nicht ordnungsgemäß erneuert (oder die Domain nicht ordnungsgemäß stilllegt), kann ein Angreifer die Domain kaufen und ausnutzen.
• IT-Sicherheitsvorfälle bei Registraren: Angreifer können auch Sicherheitslücken von Registraren ausnutzen. Als Squarespace gerade dabei war, etwa zehn Millionen Domain-Namen von Google Domains zu migrieren, nutzten Angreifer eine Schwachstelle aus, mit denen sie Konten übernehmen und DNS-Einträge ändern konnten (insbesondere die bestimmter Krypto- und Blockchain-Unternehmen). Dann leiteten die Angreifer Besucher auf Phishing-Seiten um, die versuchten, Token und andere digitale Währungen zu stehlen.
• Kompromittierte API-Schlüssel: API-Schlüssel und andere Authentifizierungs-Token sind so konzipiert, dass Anwendungen über eine API auf Online-Konten – wie z. B. bestimmte Domain-Dienste – zugreifen können. Wenn diese Keys offengelegt oder versehentlich geleakt werden, könnten sie Zugriff auf das Registrarkonto eines Unternehmens ermöglichen.

Welche Auswirkungen hat Domain-Hijacking?

Sobald eine Domain erfolgreich kompromittiert wurde, können Angreifer eine Vielzahl von Web-Vorgängen stören. Sie können zum Beispiel:

• Den Inhalt der ursprünglichen Website ändern
• Besucher auf eine andere, böswillige Website umleiten
• Online-Zahlungen auf von Angreifern kontrollierte Konten umleiten
• Spam- und Phishing E-Mails vom Mailserver der Domain senden
• Sensible E-Mails, die an die Posteingänge des Unternehmens gesendet werden, lesen
• API-Aufrufe ändern, um die mobilen Apps und andere digitale Dienste eines Unternehmens zu stören

Es ist zwar einfach, Domains zwischen Registraren zu übertragen, aber es ist sehr schwierig, eine gestohlene Domain wiederherzustellen. Das kann Wochen oder sogar Monate dauern. Manchmal sind sogar rechtliche Schritte erforderlich. Teilweise liegt die Schwierigkeit darin, dass die entsprechenden Unterlagen oft in Systemen (wie z. B. Firmen-E-Mail-Posteingängen) gespeichert sind, und der ursprüngliche Eigentümer der Domain keinen Zugriff mehr darauf hat. Es könnte sein, dass die Domain innerhalb weniger Tage wiederhergestellt wird, oder aber, dass der ursprüngliche (rechtmäßige) Eigentümer seine gestohlene Domain nie wieder zurückbekommt.

Unabhängig vom Ergebnis kann eine gekaperte Domain letztlich schwerwiegende finanzielle, rufschädigende und sogar regulatorische Folgen haben.

Unterschied zwischen Domain-Hijacking und Domain-Spoofing

Beim Domain-Hijacking stiehlt der Angreifer den rechtmäßig registrierten Domain-Namen. Beim Domain-Spoofing erstellen Cyberkriminelle eine gefälschte Website oder E-Mail-Domain, um Nutzer zu täuschen – wie ein Betrüger, der sich mit gefälschten Ausweisen das Vertrauen einer Person erschleicht. Angreifer müssen kein Registrarkonto übernehmen, um eine Domain zu „spoofen“.

Unterschied zwischen Domain-Hijacking und DNS-Hijacking

Domain-Hijacking – dabei wird die Domain selbst kompromittiert – unterscheidet sich vom DNS-Hijacking (auch bekannt als DNS-Poisoning). Beim DNS-Hijacking zielt ein Angreifer auf den DNS-Eintrag der Website auf dem Nameserver.

Nameserver-Einträge teilen dem Internet im Grunde mit, wo die IP-Adresse einer Domain zu finden ist. Wenn die Nameserver-Einträge nicht ordnungsgemäß konfiguriert (d. h. „vergiftet“) werden, können Angreifer Abfragen auf einen anderen Domain-Nameserver umleiten. Anstatt die richtige Website oder Anwendung zu laden, könnte der Nutzer-Traffic zu einem Ziel umgeleitet werden, das eine Nachbildung der ursprünglichen Website ist, aber Schadsoftware verbreitet.

Wie Domain-Hijacking verhindert werden kann

Der einfachste Weg für Unternehmen, sich vor Domain-Hijacking zu schützen, ist die Wahl eines seriösen Domain-Name-Registrars, der starke Sicherheitsmaßnahmen bietet. Achten Sie auf Funktionen wie:

• Zwei-Faktor-Authentifizierung (2FA): Bei 2FA müssen alle Inhaber eines Registranten-Kontos ihre Identität auf zwei unterschiedliche Arten nachweisen, bevor ihnen Zugriff gewährt wird.
• Datenschutz für die Domain-Registrierung: Domain-Datenschutzdienste können die Kontaktdaten von Domain-Registranten aus öffentlichen Aufzeichnungen entfernen.
• Registrar-Sperre: Viele Registrare für den allgemeinen Markt unterstützen die Registrar-Sperre, die verhindert, dass die Registry Informationen ändert, es sei denn, der Registrant hebt die Sperre ausdrücklich auf.
• Registry-Sperre: Die Registry-Sperry ist eine höhere Sicherheitsstufe, die mehrere unabhängige Offline-Verifizierungsquellen und -schritte erfordert.
• Kulanzfristen für die Verlängerung: Eine Nachfirst hilft Kunden, die das Ablaufdatum verpasst haben. Davon können Nutzer betroffen sein, die die automatische Verlängerung gewählt haben, deren gespeicherte Kreditkarte jedoch abgelaufen ist. Die Wahl eines Registrars mit einer Nachlauffrist ist wichtig, um Angreifern entgegenzuwirken, die aktiv versuchen, auslaufende Domains auszunutzen.

So hilft Cloudflare beim Schutz vor Domain-Hijacking

Der Domain-Name-Registrar-Dienst von Cloudflare – Cloudflare Registrar – bietet Kunden mit Enterprise-Tarif individuellen Domain-Schutz, um Domain-Hijacking zu verhindern. Mit individuellem Domain-Schutz werden alle Änderungen an den Inhabern von Domains oder Nameservern manuell überprüft und ausgeführt. Durch das strenge Änderungsprotokoll müssen alle Änderungen direkt von Unternehmen genehmigt werden.

Cloudflare Registrar enthält außerdem integriertes, universelles DNSSEC für alle Domains, um Domains gegen ein breites Spektrum von DNS-basierten Angriffen zu schützen.