Das Internet wird erneut von einer Phishing-Welle erfasst: in millionenfachen eMails werden derzeit Nutzer aus aller Welt unter dem Vorwand auslaufender Verträge oder falscher WHOIS-Informationen aufgefordert, persönliche Daten preiszugeben. Als angebliche Versender tauchen große Domain-Registrare auf.
Wer in diesen Tagen sein elektronisches Postfach leert, findet (neben dem üblichen Spam) häufig angebliche eMails von Domain-Registraren aus den USA. Zumeist sind darin als Absender die großen Registrare Network Solutions (NSI) und Enom genannt. In den vorgeblich von NSI versandten eMails informieren die Phisher den Empfänger über eine ausgelaufene Domain; als ehemaliger Inhaber könne man aber von den Einnahmen profitieren, welche die Domain inzwischen erzielt hat. Hierzu müsse man einen Link anklicken und seine Daten eingeben; sodann erhalte man die Zahlung. In einer anderen Variante, von der hauptsächlich Enom betroffen scheint, informieren die Absender über eine Beschwerde wegen angeblich falscher WHOIS-Daten; welche Domain betroffen ist, verrät die eMail nicht. Um die Domain nicht zu gefährden, müsse man einen Link anklicken und die Kontaktinformationen überprüfen. Wie sowohl NSI, Enom als auch die kanadische Domain-Verwaltung CIRA inzwischen bestätigen, liegt in beiden Fällen gezieltes Phishing vor. Beispiele für die Phishing-Mails finden man hier.
CIRA empfiehlt, auf diese eMails nicht zu antworten. NSI hat sich zudem per eMail an seine Kunden gewandt und vor den Phishing-Mails gewarnt; wer Einstellungen vornehmen wolle, soll direkt die Adresse networksolutions.com in den Browser eintippen. In einer zweiten eMail informierte NSI die Kunden über zusätzliche Schritte, die man ergriffen hat, wie unter anderem das Filtern der Phishing-Mails und einer Analyse der LogIn-Daten; den Kunden empfiehlt man, Benutzername und Passwort zu ändern. Auch Enom hat seine Startseite enom.com inzwischen mit einer Warnung versehen. Sicherheitsexperte Dimitry Samosseiko von SophosLabs vermutet, dass diese Phishing-Welle kein Zufall ist, sondern mit der Deakkreditierung des Registrars EstDomains zusammenhängt. Die Internet-Verwaltung ICANN hatte dem Unternehmen vergangene Woche die Akkreditierung entzogen, nachdem der Geschäftsführer Vladimir Tsastsin unter anderem wegen Kreditkartenbetrugs verurteilt worden war. Damit ist das weitere Schicksal von etwa 281.000 der dort registrierten Domains unsicher – eine Unsicherheit, die Betrüger ausnützen könnten.
Unterdessen hat die Anti-Phishing Working Group (APWG) in Zusammenarbeit mit ICANN und einigen Registraren wie GoDaddy sowie Network Solutions eine Liste mit Empfehlungen zusammengestellt, wie die Registrare die Registrierung und Nutzung von Domains zu Phishing-Zwecken erschweren können. Im Mittelpunkt stehen fünf Empfehlungen: zeitnahe Schließung illegaler Angebote auf Bitten von Behörden, aktive Nutzung von Quellen zur Identifizierung von schädlichen Domains, Zusammenarbeit mit Strafverfolgungsbehörden, Schutz der eigenen Kunden und das Verbot sogenannter „fast flux“ Domains. Bei letzteren werden entweder die IP-Adresse (A record) und/oder die Name Server Adresse (NS record) mehrmals täglich geändert; Phisher versuchen so, ihre Spur zu verschleiern und die Schließung zu erschweren. Allerdings steigt für die Kunden dieser Registrare auch das Risiko, dass ihre Domain „versehentlich“ von einer solchen Sperre erfasst wird; gerade für Unternehmen kann ein daraus resultierender Schaden rasch in die Tausende gehen.