Tippfehler- und Variantendomains sind im Kommen. Auf jede legitime Händlerdomain kommen zwei Nachahmer, die hoffen, mit Tippfehlern oder Namensvarianten Nutzer anzulocken und um ihre Daten – und manchmal auch ihr Geld – zu prellen.

Die Zahl von Look-Alike-Domains ist sprunghaft angestiegen, wie das Cyber-Sicherheitsunternehmen Venafi  ermittelt hat. Unter den zwanzig größten Online-Händlern gibt es rund viermal so viele gefälschte Domains wie legitime. Die darüber zu erreichenden Shops sind von den Originalen ebenfalls kaum zu unterscheiden. Ziel der Betrüger sind die Kreditkarten- oder sonstigen Zahlungsdaten der Käufer. Und: Die Vorkehrungen, die die Kunden zu ihrem eigenen Schutz verinnerlicht haben, helfen nicht mehr – „Vorhängeschlösser“ sind wohl zu einfach zu bekommen.

„Zum Beispiel haben Cyberangreifer kürzlich eine Look-Alike-Domain für NewEgg eingerichtet, einer Webseite mit über 50 Millionen Besuchern pro Monat. Die gefälschte Domain verwendete ein vertrauenswürdiges TLS-Zertifikat, das von der CA ausgestellt wurde, die alle Best Practices und Basisanforderungen einhält. Diese Phishing-Website wurde über einen Monat lang verwendet, um Konto- und Kreditkartendaten zu stehlen, bevor sie von Sicherheitsforschern geschlossen wurde“,
Jing Xie, Senior Threat Intelligence Analyst bei Venafi

Über Jahre ist Internetnutzern vermittelt worden „Achte auf das Vorhängeschloss, wenn du persönliche Daten übermittelst, dann bist du vor Datendieben sicher.“ Doch so einfach ist es nicht mehr, seitdem Zertifikate kostenlos und vergleichsweise unkompliziert zu bekommen sind: 84 Prozent der von Venafi untersuchten Look-Alike-Domains verwenden kostenlose Zertifikate von Let’s Encrypt. Das gute alte Vorhängeschloss verrät dem Nutzer ja nur, dass die besuchte Website über ein Zertifikat verfügt. Für wen das ausgestellt wurde, findet der Nutzer erst bei genauerem Hinsehen heraus.

Was Händler tun können

Viele Betreiber betrügerischer Websites sitzen in Ländern, in denen die Erfolgsaussichten rechtlicher Schritte in keinem Verhältnis zum erforderlichen Aufwand stehen. Machtlos ist ein Händler, dessen Domains von Look-Alikes unterwandert werden, jedoch auch hier nicht:

1. Mit Hilfe eines Typo-Generators, wie er zum Beispiel unter https://elitedomains.de zu finden ist, kann ein Händler sich eine Vielzahl von fehlerhaften Schreibweisen der eigenen Domain generieren lassen. Durch einfaches Ausprobieren findet er dann schnell heraus, unter welchen dieser Schreibweisen Betrüger ihr Unwesen treiben. Außerdem bekommt er so eine Übersicht über noch nicht registrierte Tippfehler-Domains, von denen er besonders wahrscheinliche (Tipp mit einem oder zwei P, Umlaute etc.) eventuell auch selbst registrieren kann.
2. Über https://safebrowsing.google.com kann ein Händler betrügerische Websites bei Google melden. Kommt man dort zu dem Schluss, der Vorwurf sei berechtigt, erhalten Nutzer (in den meisten Browsern) künftig eine Warnung, wenn sie die Adressen aufrufen, und in den Suchergebnissen tauchen die Adressen auch nicht mehr auf. Damit ist bereits ein großer Teil der Gefahren für die eigenen Kunden gebannt.
3. Auch wenn den Händler keine Schuld trifft, sollte er seine Kunden transparent über Betrugsversuche unter Ausnutzung von Look-Alike-Domains aufklären und seinen Kunden auf seiner Website Handreichungen dazu liefern, woran diese Betrugsversuche erkennen können, und wie sie sich im Fall eines Datendiebstahls verhalten sollten, um den Schaden zu minimieren.

„Social Engineering – wie Phishing – gilt heute als die häufigste Ursache für Netzwerk-Hacks, und eine E-Mail ist in der Regel der Hauptschuldige. Sicherheitsverletzungen stören die Produktivität und gefährden Unternehmen, ihre Datenbestände, ihr geistiges Eigentum, Mitarbeiter und Kunden“,
Stu Sjouwerman, CEO des Schulungsunternehmens KnowBe4