CSOC-Event der Woche KW42: Vorbeugung von Phishing-Attacken

KW42: CSOC-Event der Woche – CSOC Domain Monitoring zur Vorbeugung von Phishing-Attacken

Durchschnittliche CSOC-Gesamtevents pro Tag:    63.169
Detektionshäufigkeit:      4

Eventbeschreibung: Erkennung neu registrierter Domains / Kritikalität = hoch (8 / 10)

Das Event dieser Woche tritt auf, sobald das im CSOC eingesetzte Domain Monitoring die Registrierung einer neuen Domain erkennt. Es wird von einer eigens entwickelten Lösung zur Erkennung neu registrierter Domains ausgelöst.
Der Auftritt eines Unternehmens oder eines Produkts im Internet, etwa in Form einer Webseite oder einer E-Mail Adresse, die eindeutig dem eigenen Unternehmen zugeordnet werden kann, erfordert zunächst eine Domain. Die Domain bietet Internetnutzern in dem Sinne eine Gedächtnishilfe bzw. dient dem schnellen Aufrufen einer Präsenz.

Um folglich tägliche News abzurufen oder andere Aktivitäten durchzuführen muss anstatt einer IP-Adresse lediglich die Domain des bevorzugten Berichterstatters aufgerufen werden ( zum Beispiel www.csoc.de). Ein Weg, den wir ggf. heute mehrmals pro Stunde durchführen. Noch einfacher ist der Weg über Favoriten im Browser.
Angreifer können sich diesen Aspekt zu Nutze machen. Als Beispiel könnte ein Angreifer die Domains csoc.com oder cs0c.de registrieren. Der Unterschied fällt kaum auf. Im Vergleich zu der offiziellen CSOC-Domain - www.csoc.de - würden die neu erkannten, potentiell schädlichen Domains www.csoc.com und www.cs0c.de im Internetbrowser wie folgt erscheinen:

Vorschau URL CSOC Cyber Security Operations Center Köln Bonn

(Offizielle CSOC-Domain)

Vorschau falsche Domain URL CSOC Cyber Security Operations Center Köln Bonn

(Der Buchstabe „o“ in CSOC wurde durch die Zahl „0“ ersetzt)

Vorschau falsche Domain 2 URL CSOC Cyber Security Operations Center Köln Bonn

(csoc wurde unter einer anderen Top-Level-Domain registriert: .com anstelle von .de)

Domains, wie sie für Webauftritte und E-Mails verwendet werden, können generell für Phishing-Versuche missbraucht werden. Da die durch das CSOC neu erkannten Domains durch Analysten proaktiv auf schädliche Inhalte hin geprüft werden, kann das Risiko des Missbrauchs der eigenen Domäne bereits deutlich gesenkt werden. Bestenfalls sind jedoch auch die Anwender geschult zu erkennen, wie z.B. die korrekte Domain des vermeintlichen E-Mail-Absenders aussehen sollte.