Je jünger eine Domain, desto höher ist ihr Schadpotential: zu diesem Ergebnis kommt ein Report des US-amerikanischen Sicherheitsunternehmens DNSFilter. Für effektives Domain-Monitoring bildet sich damit ein weiterer Ansatzpunkt.
Gegründet im Oktober 2015, hat sich DNSFilter mit Sitz in Washington (DC) dem Ziel verschrieben, mit Unterstützung durch 140 Mitarbeiter Online-Bedrohungen effektiver und benutzerfreundlicher zu blockieren als die Konkurrenz. Wie das gelingen soll, verrät das Unternehmen unter anderem in seinem Sicherheitsbericht, der quartalsweise erscheint. In der aktuellen Ausgabe, die nach Preisgabe einiger persönlicher Informationen heruntergeladen werden kann, hat man den globalen Datenverkehr im Domain Name System des 1. Quartals 2025 analysiert und dabei einige Trends unter Cyberkriminellen ausgemacht. Der wichtigste davon ist, dass Betrüger stark auf neu registrierte Domains setzen, um ahnungslose Nutzer dazu zu verleiten, auf Phishing-Links zu klicken. Neu registrierte Domains bieten ihnen erhebliche Vorteile; sie sind noch nicht auf Sperrlisten erschienen, was böswilligen Akteuren zeitlichen Vorsprung gibt. Phishing- oder Malware-Angriffe können binnen Minuten nach dem Start einer Website erfolgen, und etwa ein Drittel der Phishing-Sites verschwindet nach den Recherchen von DNSFilter bereits Stunden nach der ersten Entdeckung. Es sei nahezu unmöglich, bösartige Aktivitäten in so kurzer Zeit zu erkennen, zu bewerten und zu blockieren.
Besonders beliebt sind Fast-Flux-Angriffe, wahlweise als Single-Flux- oder Double-Flux-Technik. Cyberkriminelle ändern dabei DNS-Einträge so schnell, dass es IT-Sicherheitsteams erschwert wird, die Quelle bösartiger Aktivitäten zu identifizieren und zu blockieren. Im Fall eines Single-Flux-Angriffs wird eine Domain mit mehreren IP-Adressen verknüpft, die in DNS-Antworten häufig rotieren. Double-Flux nutzt ebenfalls IP-Adressrotation und fügt schnell wechselnde DNS-Nameserver hinzu; das dient als zusätzlicher Schutzschild, der die Ausschaltung der Angreifer zusätzlich erschwert. DNSFilter vergleicht dieses Phänomen mit der Eröffnung eines Pop-Up-Stores, der Gelder von Kunden einnimmt und ihn dann wieder schließt, noch bevor die Polizei eintrifft. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat festgestellt, dass viele Netzwerke eine Lücke in der Abwehr solcher Fast-Flux-Angriffen aufweisen. Eine der Abwehrempfehlungen lautet auf Verwendung von DNS- und IP-Blocklisten sowie Firewall-Regeln oder nicht routingfähigen DNS-Antworten, um den Zugriff auf Fast-Flux-Domains und IP-Adressen zu blockieren.
Wenn neu registrierte Domains häufig für Phishing- und Malware-Kampagnen verwendet werden, ergibt sich aber auch ein Ansatzpunkt für Gegenmaßnahmen. Das Datum der Registrierung einer Domain gehört – zumindest im Fall von Domains mit generischer Endung – zu den wenigen Daten, die über das WHOIS (noch) öffentlich zugänglich sind und ausgelesen werden kann. Das erlaubt ein strategisches Filtern und Blockieren solcher neu registrierter Domains in Abhängigkeit von ihrem Alter. Effektives Domain-Monitoring kann also auch insoweit helfen, Bedrohungen frühzeitig zu erkennen und nicht wachsen zu lassen, denn es überwacht und berichtet kontinuierlich rund um die Uhr über bestehende und neue Domain-Registrierungen. Darauf aufbauend, lässt sich eine effektive Strategie zur Verhinderung von Markenmissbrauch entwickeln. Domain-Monitoring bildet damit einen wichtigen Baustein für den Schutz vor dem Missbrauch einer Marke durch Domain-Grabbing, Cybersquatting, Phishing-Seiten, Spam, der Manipulation von Suchergebnissen durch Search Engine Optimization (SEO) oder verkaufte Plagiate über gefälschte Online-Shops.