Home > Aktuelles

Eine Studie über Typosquatting – selbst Fehler sind von Bedeutung…

Seit mehr als 15 Jahren ist Typosquatting eine beliebte Art bekannte Domains auszunutzen. Die Katholische Universität Leuven (Belgien), stellt nun, in Zusammenarbeit mit der Stony Brook University New York, erstmals eine inhaltbezogene Langzeitstudie zu diesem Thema vor. Diese besagt eindeutig, dass die Popularität des Typosquattings vor allem daher kommt, dass sich Domaininhaber nicht durch eigene Registrierung solcher „Vertipperdomains“ schützen.
Beim Typosquatting handelt es sich um das Registrieren von Domainnamen, die Varianten mit Schreibfehlern bekannter Domainnamen darstellen. Dabei wird ein Rechtschreibfehler bei der Eingabe einer URL ausgenutzt, um diesen für eigene, meist böswillige Zwecke zu nutzen. Zur Untersuchung wurden die Top 500 der bei Alexa gelisteten Domains mit dem meisten Traffic vom 1. April 2013 an für 7 Monate täglich automatisch auf Typosquattingdomains überprüft. Dabei entstand eine Menge von 900 GB an Daten über 3.389.137 Webseiten und 424.278 WhoIs-Einträge. Dieses Material wurde ausgewertet, um zu überprüfen, ob die Ergebnisse aus bisherigen Studien zum Thema Typosquatting noch gültig sind und ob sich völlig neue Erkenntnisse gewinnen lassen.
Die Studie beschreibt ausführlich, wie die Daten zusammengetragen und ausgewertet wurden. Zur Eingrenzung der möglichen Tippfehlerdomains griff man auf eine „Damerau-Levenshtein-Distanz“ von 1 zurück. Diese besagt, dass eine Tippfehlerdomain jeweils nur einen Rechtschreibfehler beinhaltet. Legt man dabei die sogenannte „fat-finger“-Distanz zugrunde, kommen diese Schreibfehler nur von den direkt angrenzenden Tasten auf der Tastatur (ein „g“ würde somit nur f, t, z, h, b und v als Schreibfehler zulassen). Diese Annahmen zugrunde gelegt fallen mögliche Tippfehler in 5 verschiedene Kategorien:

- Fehlende Punkte: wwwdomain.de
- Weggelassene Buchstaben: www.doman.de
- Vertauschte Buchstaben: www.domian.de
- Ausgetauschte Buchstaben: www.dlmain.de
- Buchstabendoppelungen: www.doomain.de

Neben typischen böswilligen Webinhalten mit Werbung oder pornografischem Inhalt, wurden auch Webseiten entdeckt, die Affiliate-Missbrauch oder Scams betrieben. Unter Affiliate-Missbrauch versteht man das Weiterleiten auf eine offizielle Seite der missbrauchten Domain, um deren Affiliate-Programm auszunutzen, wohingegen Scams sich darauf beziehen, dass unter Vorspiegelung falscher Tatsachen Fragebögen ausgefüllt oder schädliche Software heruntergeladen werden soll.
Durch eine Vielzahl von Tabellen und Diagrammen zeigt die Studie unter anderem, dass sich 68,8% der Alexa Top 500 Domains nicht vor solchen Typosquatting-Domains schützen. Das bedeutet, dass jede Tippfehlerdomain von einer offiziellen Domain ohne defensive Typosquatting-Anmeldungen, die keine Fehlermeldung hervorruft, auf eine böswillige Seite führt. Besonders erschreckend in diesem Zusammenhang ist, dass von den drei Bank-Webseiten der Alexa Top 500 nur bankofamerica.com überhaupt defensive Tippfehlerdomains angemeldet hat. Alle Tippfehler von hdfcbank.com und icicibank.com könnten somit möglicherweise auf böswillige Phishingseiten oder ähnliches führen.
Auch wurde festgestellt, dass regelmäßig Typosquatting-Domains zwischen defensiver und böswilliger Nutzung wechseln. Dieser Wechsel vollzog sich jedoch bis auf eine Ausnahme immer nur einmal pro Domain. Außerdem wurde wiederlegt, dass nur kurze Domainnamen für Typosquatting genutzt werden. Das wurde auf den Fakt zurückgeführt, dass bereits 75% der möglichen Tippfehlerdomains für kurze Domains bereits vergeben sind. Somit müssen die Typosquatter auf längere Domains ausweichen, wenn sie neue Domains nutzen wollen.
Unter den verwendeten Varianten des Missbrauchs vonTyposquatting-Domains waren Werbeseiten mit 50,55% die häufigsten, gefolgt von inhaltsleeren Seiten (11,62%) und Affiliate-Missbrauch (6,89%). Allerdings wechseln die Betreiber der böswilligen Seiten die Missbrauchs-Varianten, die auf ihren Domains genutzt werden, relativ regelmäßig. Hierbei wird angenommen, dass dies zur Variation zur Maximierung des Einkommens geschieht.
Abschließend konnte die Studie noch feststellen, dass 50% aller Typosquatter-Domains auf dieselben vier Domainhoster zurückverfolgt werden können.
Somit gibt die Studie ein interessantes Bild über Typosquatting ab. Vor allem lässt sich erkennen, dass die Domaininhabers Typosquatting noch nicht ausreichend als Verteidigungsmechanismus nutzen, die Typosquatter hingegen stetig ihre Strategien ändern und überarbeiten.

Zurück zur News Liste