Will ein Hacker einen Internetnutzer verleiten, Anmeldedaten oder gar Kreditkartendaten einzugeben, muss er dem Nutzer eine unverdächtige Webseite vortäuschen. Internetnutzer sind aber intelligenter geworden und wissen mittlerweile, dass Domain-Namen wie www.deutschebank.men oder Apple.Shop.click eigentlich nur Betrugs-Adressen sein können.
Domain registrieren
Der Sicherheitsspezialist Daniel Svartman von Imperva zeigte allerdings kürzlich , dass Phisher oft sehr einfach an eine völlig unverdächtige Adresse gelangen können: Durch die Registrierung des Subdomain-Namens als Domain. Dadurch ist sogar ein Angriff auf einen Dienst wie Auth0 möglich, der solche Angriffe eigentlich verhindern soll. Svartmen registrierte dazu unter seinem Namen einfach die europäische Domain eu.auth0.com und au.auth0.com als neuen Webauftritt und erstellte unter diesen Adressen eine Webseite. Möglich ist dies, da Auth0 diese beiden Adressen zwar bereits verwendet, allerdings nur als die Subdomains von auth0.com, die beiden Adressen Eu.auth0.com und Au.auth0.com sin dadurch nicht eigens registriert.
Seine Webseite leitete er dann zur Originalseite auth0.com weiter, fing aber per Javascript alle vom Besucher eingegebenen Daten wie Anmeldedaten ab. Ein Spammer könnte etwa per E-Mail Opfer zu Seite eu.auth0.com leiten und Daten abfangen, ohne sein Opfer durch verdächtige Webadressen zu alarmieren.
Die simple Angriffsmethode blieb aber nicht ohne Kritik durch Auth0: Nach Veröffentlichung dieser Phishing-Methode wollte die Firma diesen Angriff nicht als erfolgreiche Angriffsmethode auf sein Sicherheitssystem gelten lassen. Es handele sich nämlich nicht um einen erfolgreichen Angriff auf das Anmeldesystem selbst, wofür nebenbei sogar eine Erfolgs-Prämie fällig geworden wäre. Auth0 empfehle außerdem die Nutzung zusätzlicher Sicherheitsoptione wie 2FA und würde aber ab sofort besser auf Registrierungen ihrer Domain-Namen achten.
Domain kapern
Svartman bliebt mit seiner Idee aber nicht allein. Eine ähnliche Idee hatte offenbar auch die israelische Firma CyberInt, wie der Daily Telegraph berichtet . Hier waren amerikanische Konzerne das „Opfer“ einer ähnlichen Attacke auf abgelaufene oder schlecht abgesicherte Sudomains. Laut Tests der Firma wären etwa ein Viertel der 500 größten US-Firmen anfällig gegen einen solchen Angriff. Laut Bericht gelang es Cyberint beispielsweise, eine alte Subdomain von Apple auf ihren Namen zu registrieren. Diese diente ursprünglich der Registrierung von Reparatur-Terminen, war aber nicht von Apple verlängert worden. Bei Amazon fand die auf Unternehmens-Sicherheit spezialisierte Firma eine ungeschützte Seite für das Erstellen von Bilddateien, bei Microsoft eine falsch konfigurierte Cloud Services-Seite.
Laut Cyberint wäre es über dieses „domain jacking“ relativ einfach möglich gewesen, Phishing-E-Mails an Unternehmensangehörige und Kunden zu senden und über eine täuschen echte Webseite dann Anmeldedaten abzufangen.
Unsere Meinung : Angriffe per Domain-Registrierung sind nicht neu und eher selten. Wie Cyberint zeigt, scheinen aber einige IT-Konzerne hier etwas nachlässig geworden zu sein. Offensichtlich sollten einige Firmen aber mehr auf Subdomains achten, haben doch auch Spammer und Hacker dazugelernt und sind ohne Zweifel recht kreativ. Nicht ohne Grund empfiehlt Apple immer wieder die Nutzung des Anmelde-Schutzsystems Zwei-Faktor-Authentifizierung, das auch bei abgefangenen Benutzerdaten Online-Konten schützt.
Autor: Stephan Wiesend, Autor
Stephan Wiesend schreibt seit 2001 für IDG Artikel zu den Themen Mac-OS, iOS, Software, Hardware und Praxis. Seit 2003 arbeitet er als freier Autor in München und hat bereits mehrere Bücher zum Thema Apps veröffentlicht.