Das Alter einer Domain könnte sich als wichtiger Faktor in der Bekämpfung von Cyberkriminalität erweisen. Zu diesem Ergebnis kommt das kalifornische Cybersicherheitsunternehmen Palo Alto Networks in einer neu veröffentlichten Studie, und setzt dabei die kritische Zeit bei 32 Tagen fest.
Internetkriminalität, also Straftaten, die auf dem Internet basieren oder mit den Techniken des Internets geschehen, sind in ihrer Erscheinungsform vielfältig. Ebenso vielfältig sind aber auch die Methoden, sie zu bekämpfen. Das »Spamhaus Project« führt beispielsweise weltweit verwendete »anti-spam lists«, in denen Top Level Domains mit einem »Badness Index« bewertet werden; aktuell führt .gdn diese Liste an, gefolgt von .fit sowie .ryukyu. Die Cybersicherheitseinheit »Unit 42« des US-Unternehmens Palo Alto Networks wählt dagegen einen anderen Ansatz und konzentriert sich auf die Second Level Domain, genauer gesagt: deren Alter. Zu diesem Zweck hat man im Zeitraum 10. März 2019 bis 29. Mai 2019 so genannte »NRDs«, also »neu registrierte Domains«, unter die Lupe genommen. Untersucht wurden zwischen 150.000 und 300.000 frisch registrierte Domains täglich unterhalb von 1.530 Top Level Domains (gTLDs als auch ccTLDs), wobei im Durchschnitt 200.000 Domains täglich ausgewertet wurden. Interessanter Fakt am Rande: die meisten dieser Domains wurden mittwochs registriert, an den Wochenenden war es dagegen erwartungsgemäß ruhiger.
Die untersuchten Domains stufte die Unit42 sodann in die fünf Kategorien »malicious«, »suspicious«, »not safe for work«, »benign« und »other« ein. Die Studie kam dabei zu dem Ergebnis, dass Domain-Namen, die in den letzten 32 Tagen neu registriert worden waren, geblockt werden sollten. Über 70 Prozent der jüngeren Domains fielen in die Kategorie »malicious«, »suspicious« oder »not safe for work«. Dieser Wert sei zehn Mal höher als bei den »Alexa’s top 10,000 domains«, wo er bei 7,6 Prozent läge; in der gefährlichsten Kategorie »malicious« liege das Verhältnis sogar bei 1,27 Prozent (NRDs) zu 0,07 Prozent (Alexa). Zudem bestätigt die Studie, dass Länderendungen wie .to (Tonga), .ki (Kiribati) und .nf (Norfolkinsel) besonders gern von Cyberkriminellen genutzt werden. »benign«, also gutartig, waren 8,4 Prozent der NRDs, immerhin 2,32 Prozent »not safe for work«. Nach Ablauf der 32 Tage nahm dagegen das Risiko, Opfer von Scams, Phishing oder sonstigen Attacken unter einer neu registrierten Domain zu werden, deutlich ab – die Kriminellenkarawane zog also weiter.
Die Unit 42 empfiehlt daher, den Zugang zu Domain-Namen mit einem Alter von weniger als 32 Tagen zu blockieren. Dies erscheine zwar möglicherweise übertrieben; die Risiken würden die positiven Möglichkeiten in dieser Phase aber deutlich überwiegen. Als Mindestmaß an Sicherheit sollten Alarme eingerichtet werden, um NRDs in dieser Phase im Visier zu behalten. Beim Alter der Domain und der Frist von 32 Tagen stellt die Unit 42 übrigens sowohl auf die Neuregistrierung als auch den Inhaberwechsel ab; wer hofft, mit gebrauchten Domains die Chancen auf einen erfolgreichen Angriff zu erhöhen, wird also enttäuscht.