Der US-amerikanische Computersicherheitsdienst Cofense vermeldet einen massiven Anstieg der Nutzung von spanischen .es-Domains für Phishing.
Nach den Recherchen der Sicherheitsexperten sei eine 19-fache Zunahme bösartiger Kampagnen festzustellen, die von .es-Domains aus gestartet werden. 99 Prozent der Angriffe konzentrieren sich dabei auf das Phishing von Anmeldeinformationen; das restliche Prozent betrifft die Verbreitung von Remote Access Trojanern (RATs) wie ConnectWise RAT, Dark Crystal und XWorm. Häufig vorkommende eMails drehen sich um Arbeitsplatzangelegenheiten, beispielsweise um Anfragen der Personalabteilung oder zum Erhalt von Dokumenten. Die Nachrichten sind zudem sprachlich oft gut formuliert und bestehen nicht aus Einzeilern. Cofense wollte keine Vermutungen darüber anstellen, warum es die Cyberkriminellen ausgerechnet auf .es-Domains abgesehen haben. Confese teilt mit:
If one threat actor or threat actor group were taking advantage of .es TLD domains then it is likely that the brands spoofed in .es TLD campaigns would indicate certain preferences by the threat actors that would be different from general campaigns delivered by a wide variety of threat actors with varying motives, targets, and campaign quality. This was not observed, making it likely that abuse of .es TLD domains is becoming a common technique among a large group of threat actors rather than a few more specialized groups.