Die Internet-Verwaltung ICANN hat die erste umfassende Auswertung zur Auswirkung der Corona-Pandemie auf die Registrierungszahlen vorgelegt. Der Anteil missbrauchter Domains bewegt sich danach im niedrigen einstelligen Bereich.
Seit Anfang 2020 tobt sich das Corona-Virus quer über den Erdball aus. Für die Welt der Domain-Namen brachte diese Pandemie im ersten Schritt einen sprunghaften Anstieg der Registrierungen mit sich, darunter zahlreiche pandemiebezogene Wörter wie »Covid«, »Covid-19« oder »Corona«. Das zog auch böse Buben an, die versuchten, das gesteigerte öffentliche Interesse und den damit einhergehenden Traffic zu nutzen, um ihn so für die Verbreitung von Malware und für Phishing zu nutzen. 18 Monate später meldet sich nun das Office of the Chief Technology Officer (OCTO) von ICANN mit dem Bericht »Registrations Related to COVID-19: 18 Months of Data« zu Wort und legt erstmals eine systematische Auswertung der Anfangsphase der Pandemie vor. Gegenstand der Untersuchung sind dabei ausschließlich Domains mit generischer Endung, die auf Schlüsselworte hin untersucht wurden. Die sich ergebende Liste wurde mit Daten von den vier Sicherheitsunternehmen Virus Total, AlienVault OTX, Phishtank und Google Safe Browsing abgeglichen. Geparkte Domains fielen aus der Betrachtung heraus, ebenso Domains, die für andere kriminelle Zwecke als Malware und Phishing genutzt werden. Sodann wurden die Daten mit den Maßstäben des von ICANN herausgegebenen »Guide to Registrar Abuse Reporting« untersucht.
Herausgekommen sind im Betrachtungszeitraum Anfang 2020 bis Ende August 2021 insgesamt 323.956 Domains, die mindestens ein Schlüsselwort enthielten. Der weit überwiegende Teil davon wurde im April 2020 registriert, mit bis zu 5.543 an einem Tag; seither flacht zumindest diese Kurve steil ab. 210.939 Domains standen in Bezug mit der Pandemie. Lediglich 12.860 Domain-Namen oder umgerechnet 6,1 Prozent hiervon lösten auf und wiesen negative Merkmale auf, waren also verdächtig; einen Nachweis für missbräuchliche Aktivitäten gab es nur für 3.791 Domains, was umgerechnet 1,8 Prozent entspricht. Als besonders beliebte Begriffe erwiesen sich »covid« mit 24,89 Prozent und »mask« mit 24,77 Prozent. Lediglich in der Anfangsphase dominierten Domains mit dem Begriff »corona«; dafür nahm die Verwendung des Begriffs „vaccine“ Ende 2020 und Anfang 2021 wenig überraschend stark zu. Unter den verdächtigen Domain-Namen dominierten die Begriffe »corona« und »virus«, »vaccine« ist wenig interessant.
ICANN betont, dass der Bericht nicht abschließend zu verstehen ist. Es gibt viele Gründe, warum eine verdächtige oder tatsächlich missbrauchte Domain mit generischer Endung durchs Raster gefallen ist, etwa weil sich die Inhalte nur an bestimmte geographische Regionen richten oder speziell für Mobilgeräte aufbereitet sind. Anlass zur Panik besteht aber nicht:
While the majority of these registrations have not been observed to be harmful in any way, a minority have been identified as malicious.
Die Analyse ist jedoch ebenso wenig abgeschlossen wie die Pandemie, daher dauert das »Domain Name System Security Threat Information Collection and Reporting« (DNSTICR) an – Cyberkriminelle sollen und dürfen sich nicht sicher fühlen.