Das »Spamhaus Project« hat den US-Registrar Namecheap Inc. zum beliebtesten Anlaufpunkt für Cyberkriminelle gekürt: vor allem bei Botnets und Malware-Produzenten ist Namecheap beliebt. Zudem hat Spamhaus die Liste der am meisten missbrauchten Top Level Domains auf aktuellen Stand gebracht.
Die in London gegründete und mittlerweile auch in Genf ansässige Organisation, die sich bereits seit 1998 der Bekämpfung von Spam verschrieben hat und weltweit verwendete »anti-spam lists« veröffentlicht, widmet sich in ihrem aktuellen Report dem 3. Quartal 2019. Wer vermutet, dass Malware-Autoren und Botnet-Betreiber die Sommermonate für Urlaub genutzt haben, der irrt gewaltig. Wie Spamhaus berichtet, hat die Anzahl der neu entdeckten »command & control servers« (C&Cs) für Botnets im Juli 2019 mit mehr als 1.500 ein neues Allzeithoch erreicht; in den Vormonaten waren es durchschnittlich lediglich etwa 1.000. Zwar war mit »Emotet« einer der gefährlichsten Akteure ab Juni 2019 vorübergehend still, er ist im September 2019 aber wieder zum Leben erwacht.
Ob in diese Aktivitäten auch der US-Domain-Registrar Namecheap eingebunden war, sagt Spamhaus nicht. Allerdings führt man Namecheap als »most abused domain registrar« im 3. Quartal 2019, und zwar bei 1.034 C&Cs mit weitem Abstand vor dem in China ansässigen Unternehmen West263.com, das auf 375 C&Cs kommt, gefolgt von OpenProvider aus den Niederlanden mit 344 C&Cs. Daneben finden sich mit 1API (100 C&Cs) und KeySystems (69 C&Cs) auch zwei deutsche Registrare in den Top 20, allerdings auf den hinteren Plätzen. Was genau diese Registrare besonders attraktiv für C&Cs macht, lässt sich der Pressemeldung von Spamhaus nicht entnehmen. Typischerweise machen extrem niedrige Registrierungsgebühren, wie sie beispielsweise aus Marketing-Aktionen bekannt sind, einen Registrar attraktiv für Cyberkriminelle. Die Blogger von domaingang.com gehen beispielsweise davon aus, dass Gebühren von US$ 1,80 für eine .icu-Domain bei Namecheap magische Anziehung auf Spammer haben. Auch .best-Domains sind dort mit Rabatt-Aktionen derzeit günstig zu haben und daher anfällig für Spam. Dass Namecheap eine Bezahlung mit der Kryptowährung Bitcoin zulässt, tut sein übriges.
Wie Spamhaus weiter berichtet, zählen aktuell aber weder .icu noch .best zu den »most abused top-level domains« im Zeitraum Juli bis September 2019. In dieser Liste sind mit .ru, .pw, .eu, .ga, .tk, .su, .ml, .cf und .me gleich zehn ccTLDs unter den Top 20 vertreten. An der Spitze rangieren mit .com, .net und .info aber klar generische Endungen. Die neu eingeführten Top Level Domains spielen mit .top, .xyz, .icu, .name, .live, .site und .club zwar zahlenmäßig eine Rolle, im Vergleich mit .com, .net und .info sind sie jedoch eher unauffällig. Setzt man die Spamhaus-Werte ins Verhältnis zu den Registrierungszahlen, ergibt sich jedoch ein anderes Bild: dort fallen dann .name, .live und .top unangenehm auf. Auch dort dürften Marketing-Aktionen verbunden mit günstigen Gebühren für einen deutlichen Missbrauchsanstieg gesorgt haben. Das ist jedoch kein Phänomen, das nur für nTLDs gilt; Tokelau etwa vergibt bereits seit Jahren .tk-Domains gratis, und wird deshalb als sicherer Hafen sowohl für Spammer als auch für Phisher gegeisselt.
ICU heißt neben I see you auch Intensive Care Unit – Intensivstation.