Cyberkriminelle starten erste Betrugsmaschen + Die neue Kryptowährung „Libra“ von Facebook hat sowohl Lob und Kritik einstecken müssen und eine Reihe an Diskussionen hervorgerufen – auch im kriminellen Umfeld. Bereits kurz nach der Ankündigung fanden sich mehr als 110 registrierte Fake-Domains im Netz, die vom Hype um Libra und dem dazugehörigen Digital Wallet „Calibra“ profitieren wollen.
Insgesamt entdeckten die Sicherheitsanalysten von Digital Shadows kurz nach der Bekanntgabe am 18. Juni mehr als 110 Domain-Permutationen, die mit den Markenamen hausieren gingen (siehe Abbildung 1 und 2). Die überwiegende Mehrheit dieser gefälschten Domains ist als harmlos einzuschätzen. Sie befinden sich sozusagen in der „Warteposition“ und enthalten keine Inhalte. Die Absicht vieler dieser Domainbesetzer: Sie wollen sich den Domain-Namen sichern, um ihn später mit Gewinn an die Unternehmen zurück zu verkaufen. Relevante Domains präventiv aufzukaufen, damit sie nicht in die falschen Hände geraten, ist so längst zur Best Practice geworden. Das gilt insbesondere für Top-Level-Domain (TLDs), bei denen die Wahrscheinlichkeit groß ist, dass sie langfristig Reputationsschäden verursachen.
WHOIS-Protokoll
Selbst wenn Unternehmen nicht vorhaben, auf den betroffenen Domains eigene Inhalte zu hosten, sollten sie zumindest die Kontrolle darüber besitzen. So können Domains so eingerichtet werden, dass sie Anwender automatisch auf die legitime Seite weiterleiten und keine „leeren“ Webseiten entstehen. Unternehmen verlassen sich dabei in der Regel auf das WHOIS-Protokoll, mit dem sich alle Daten zu registrierten Domains sowie deren Eigentümern abfragen lassen. Zudem können die Registrierungsdatensätze durchsucht werden, um die legitimen Domain-Datensätze mit einem potenziellen Typosquat zu vergleichen. Voraussetzung dafür ist das Unternehmen ihre Registrierungsdaten auch veröffentlichen. Maskierte WHOIS-Daten sind hier wenig hilfreich, wobei sich die Situation mit Inkrafttreten von DSGVO in der EU verschärft hat. Für Kunden und Verbraucher ist es damit schwierig, zu überprüfen, ob eine Domain legitim ist oder nicht – ein Umstand den sich Cyberkriminelle zu Nutze machen.
Die Libra/Calibra-Domains, die seit Juni im Netz auftauchen und schädliche Inhalte enthalten, lassen sich weitgehend in zwei Kategorien unterscheiden:
1. Webseiten, die bewusst die legitimen Webseiten von Facebook nachahmen
2. Webseiten, die den Markennamen Libra und Calibra für Betrugsmaschen missbrauchen
Klassische Domain-Nachahmung
Im Falle von Facebook und Libra finden mehrere Domains, die auf den ersten (und manchmal auch zweiten) Blick einer exakten Kopie der offiziellen Seiten gleichen. Ziel der kriminellen Betreiber ist es, Besucher von der Echtheit ihrer Seite zu überzeugen und so an persönliche Informationen und Finanzdaten zu gelangen. Um hier Glaubwürdigkeit herzustellen, reicht ein leicht geänderter Domain-Name nicht aus. Über kurz oder lang würde es auffallen, dass die angeblich offizielle Libra Website die TDL “a .fish“ oder „.style“ verwendet. Hier kommt der Punycode ins Spiel. Das Standard-Verfahren wird genutzt um Unicode- in ASCII-kompatible Zeichenketten umzuwandeln (also a – z, 0 bis 9, etc.). Damit sollen internationalisierte Domainnamen eindeutig und umkehrbar zugeordnet werden können.
Eine beliebte Taktik von Cyberkriminellen ist es, Domains mit Zeichen aus dem Griechischen, Kyrillischen und anderen Alphabeten zu registrieren, die mit den Buchstaben im Römischen Alphabet äußerlich nahezu übereinstimmen. Die sogenannten „Homograp Attacks“ sind für vertrauensselige Benutzer kaum unterscheidbar – vor allem nicht auf kleinen Geräten wie Smartphone oder Tablet. So wird der Kleinbuchstaben „a“ durch das kyrillische Zeichen „α” ersetzt während aus dem türkischen punktlose “ı” der Kleinbuchstabe „l“ oder der Großbuchstabe „I“ wird.
Digital Shadows konnte mindestens sechs Beispiele für Domains identifizieren, die entweder direkt die Libra- und Calibra-Webseiten kopieren oder den Markenauftritt (Bilder, Logo, CI) für potenziell schädliche Zwecke verwenden:
• calìbra[.]com (xn--calbra-yva[.]com)
• líbra[.]org (xn--lbra-vpa[.]org)
• calibra[.]ooo
• canlibrawallet[.]com
• libracoins[.]co[.]il
• libra-ico[.]org
In einigen Fällen wurde die gesamte Webseite 1:1 geklont und nur bestimmte Funktionen für kriminelle Absichten manipuliert. Abbildung 03 zeigt ein solches Beispiel, in dem sich die legitime Webseite vom falschen Klon lediglich in einem kleinen Detail unterscheiden: Statt „Get Started“ wurde der Text in „Sale Libra“ umgewandelt. Mit einem Klick auf den Sale-Button werden Besucher auf eine neue Seite weitergeleitet, die anbietet, die Kryptowährung Ether der Ethereum Blockchain in Libra umzutauschen – zu einem phänomenalen Wechselkurs und einem 25% Bonus.
So schützen Sie sich vor Fake-Domains
Seit dem Bitcoin Boom Ende 2017 haben Cyberkriminelle immer wieder auf unterschiedlichen Wegen versucht an das digitale Geld von Anlegern zu kommen. Von Social Media Posts, die dazu auffordern in ein Digital Wallet einzuzahlen, bis hin zu technisch anspruchsvollen Betrugsmaschen, die Botnets für das Mining von Kryptowährungen einsetzen. Es überrascht also nicht, dass nun auch Facebook eine Welle an Fake-Domains trifft. Da die Währung erst 2020 eingeführt werden soll ist mit einem Ende noch lange nicht zu rechnen.
Grundsätzlich lohnt es sich als Internetnutzer einige einfache Regeln zu beachten:
1. Seien Sie wachsam, wenn sie online unterwegs sind. Achten Sie auf Rechtschreibfehler in Domainnamen, merkwürdige TLDs, Redirects und speziellen Zeichen.
2. Beachten Sie die aktuellen Einschränkungen von WHOIS-Daten. Mit Inkrafttreten von DSGVO ist auf WHOIS-Daten nicht bedingungslos und in allen Fällen Verlass, wenn es darum geht die Legitimität einer Website zuverlässig zu prüfen. Vorsicht vor Domains, die andere Registrierstellen angeben, als sie in der Regel von Unternehmen verwendet werden.
3. Seien Sie geizig mit persönlichen Informationen und Finanzdaten. Ehe persönliche Daten herausgegeben werden, lohnt es sich wirklich sicher zu gehen, dass man auf der richtigen Website ist. Fehlermeldungen auf der Website, tote Links und fehlerhafte Features sind gute Hinweise auf Fake-Domains.
4. Scheint ein Angebot zu gut um wahr zu sein, ist es das auch häufig nicht. Cyberkriminelle entwickeln ihre Taktiken immer weiter und suchen stets neue Wege Opfer zu überlisten. Hohe Gewinnversprechungen und die Beteiligungen an wasserdichten Geschäften sind daher immer mit Vorsicht zu genießen.
Autor: Alex Guirakhoo, Strategic Intelligence Analyst, Digital Shadows
Abbildung 01: Domain Permuationen „Libra“ (14. Juni – 26. Juni)
Abbildung 02: Domain Permuationen „Calibra“ (14. Juni – 26. Juni)
Abbildung 03: Legitime Webseite und gefährlicher Klon
Legitime Website: calibra.com
Falsche Webseite: libra-ico.org