Die Anzahl der zu betrügerischen Zwecken genutzten Domains ist deutlich angestiegen. Das meldet das kalifornische Cybersecurity-Unternehmen Proofpoint in seinem aktuellen »Domain Fraud Report« – bleibt aber viele Nachweise schuldig.
Das gesamte Kalenderjahr 2018 über hat Proofpoint nach eigenen Angaben die neu registrierten Domains untersucht. Das waren im Durchschnitt 189.032 Domains täglich, denen 159.124 gelöschte Domains täglich gegenüberstanden; aus welcher Quelle dieses Datenmaterial stammt, bleibt unklar. Ohne es ausdrücklich zu erwähnen, stellt Proofpoint sowohl auf gTLDs als auch ccTLDs ab, hat aber signifikante Unterschiede ausgemacht. So dominiert wenig überraschend .com die Liste der Neuregistrierungen; dahinter folgt mit .top aber schon eine nTLD, vor .net, .loan, .cn und .org. Das schnellste Wachstum hat Proofpoint unter .world ausgemacht, vor .services, .asia, .rocks, .fun und .live. Bei deren Entwicklung hat Proofpoint festgestellt, dass vor allem zwei Faktoren für stark ansteigende Neuregistrierungen sorgen: die Ersteinführung einer TLD, durch die vor allem Unternehmen und Spekulanten auf den Plan gerufen werden, und Gebührennachlässe von Registraren. Als Beispiel für letztere nennt die Studie .ooo, deren Preis kurzfristig von US$ 24,– auf US$ 2,– gesenkt wurde. Bei .loan stieg dagegen die Zahl der Löschungen, nachdem der Preis von unter US$ 1,– auf mehr als US$ 10,- angehoben wurde.
Auf Grundlage dieser allgemeinen Eckdaten widmet sich die Studie von Proofpoint betrügerischen Domains. Darunter fallen alle Arten von Missbrauch, wie Typosquatting, Phishing oder Irreführung von Verbrauchern. Unter ihnen hat Proofpoint einen Anstieg von elf Prozent ausgemacht. Leider bleibt offen, wie genau man zu diesem Wert kommt. Als einen von mehreren Faktoren in der Bewertung nennt Proofpoint den verwaltenden Domain-Registrar, an der Spitze »Chengdu west dimension digital« aus China. Aber auch die US-Amerikaner von NameSilo LLC sollen für Betrüger aller Art attraktiv sein, was laut Proofpoint vor allem daran liegt, dass man Zahlungen in der Kryptowährung Bitcoin akzeptiert und den Kunden einen kostenfreien Privacy-Service anbietet. Bei IDN-Attacken wird hingegen bevorzugt auf das russische Unternehmen Registrar of Domain Names REG.RU LLC zurückgegriffen, was nicht weiter verwundern dürfte – die meisten internationalisierten Domain-Namen gibt es mit Zeichen aus dem kyrillischen Sprachraum. Zum Verwechseln ähnliche Domain-Namen (»lookalike domains«) fand Proofpoint schließlich bevorzugt im Portfolio der GoDaddy.com LLC.
Ausgerechnet die europäische Datenschutzgrundverordnung (DSGVO) könnte laut Proofpoint eine der wesentlichen Ursachen sein, warum ccTLDs für Betrüger attraktiver geworden sind. Daher fänden sich mit .fr, .co.uk und .it gleich drei in Europa beheimatete Länderendungen unter dem zehn »Top TLDs for Fraudulent Domains«. So wirklich überzeugend klingt das nicht, zumal die DSGVO erst seit Ende Mai 2018 Anwendung findet, also in 5 der untersuchten 12 Monate keinen Ausschlag gegeben haben kann. Auch im Übrigen macht die häufig fehlende Angaben von Quellen eine Bewertung der Ergebnisse schwierig; die bloße Erkenntnis, dass mit einer steigenden Anzahl von Domains auch die Missbrauchsfälle zunehmen, ist ebenso banal wie erwartbar.