Typosquatting – auch bekannt als „Domain-Doppelgänger-Angriff“ – ist eine altbewährte Methode von Cyberkriminellen, die nach wie vor Tausende von Opfern fordert. Obwohl die Taktik einfach wirkt, ist die Erkennung solcher Angriffe äußerst schwierig, was sie zu einem wichtigen Thema im Bereich der Cybersicherheit und des Markenschutzes macht.

Was ist Domain-Typosquatting?

Beim Domain-Typosquatting registrieren Angreifer Domainnamen, die legitimen Domains zum Verwechseln ähnlich sehen – oft durch kleine Tippfehler oder visuelle Tricks:

Beispiele:

• Tippfehler: micros0ft.com (Null statt „o“)

• Punkt ausgelassen: loginmicrosoft.com statt login.microsoft.com

• Visuelle Ähnlichkeit: mIcrosoft.com (großes „I“ statt kleines „l“)

• Unicode-Homoglyphen: Verwendung kyrillischer Buchstaben wie а statt lateinischem „a“

Solche Domains werden genutzt für:

• Phishing-Angriffe

• Diebstahl von Zugangsdaten

• Malware-Verteilung

• Interne Spoofing-E-Mails

• Markenimitation

Wie verbreitet sind Typosquatting-Angriffe?

Aktuelle Studien zeigen, dass Typosquatting weiter auf dem Vormarsch ist:

• Palo Alto Networks & GoDaddy  entdeckten über 13.800 typosquattende Domains, die bekannte Marken nachahmten – viele davon in aktiven Phishing-Kampagnen.
  Quelle: Unit 42 von Palo Alto

• Laut dem CSC Domain Security Report 2023 sind 70 % der Fortune-500-Unternehmen Ziel von Domain-Doppelgängern – oft ohne SSL-Zertifikat, wodurch sie schwer zu erkennen sind.
  Quelle: CSC Domain Security Report

• Proofpoint  stellte fest, dass Typosquatting bei über 25 % aller Credential-Phishing-Kampagnen gegen SaaS-Plattformen eine Rolle spielt.
  Quelle: Proofpoint Threat Report

Warum ist das Monitoring so schwierig?

Trotz der Gefahr ist die Überwachung von Typosquatting extrem aufwendig. Die Gründe:

1. Enorme Datenmenge

Täglich werden zehntausende Domains neu registriert. Viele davon sind bösartig und nur für kurze Zeit online.

2. Kurze Lebensdauer

Angreifer deaktivieren ihre Domains nach wenigen Stunden – lange vor einer möglichen Entdeckung oder Sperrung.

3. Umgehungstechniken

Dazu gehören:

• Geofencing

• Fingerprinting via JavaScript

• Nutzung von URL-Shortenern oder Redirect-Ketten

• Einsatz kompromittierter legitimer Seiten

4. Geringe Sichtbarkeit

Nur ein Bruchteil der Phishing-Infrastruktur wird erfasst:

Selbst mit hoher Investition ist eine Abdeckung von über 50 % kaum realistisch.

Wann lohnt sich das Monitoring?

Domain-Typosquatting-Monitoring lohnt sich besonders, wenn:

• Ihre Marke häufig imitiert wird (Banken, SaaS, E-Commerce)

• Sie in regulierten Branchen tätig sind (Finanzen, Gesundheitswesen, Versicherungen)

• Sie eine öffentliche Login-Seite betreiben

• Sie große Mengen an E-Mails versenden (z. B. Rechnungen oder Marketing)

Für KMU oder Unternehmen ohne Endkundenfokus ist der ROI meist zu gering.

Alternativen und Verteidigungsstrategien

Wenn Monitoring allein nicht ausreicht – was dann?

1. Passive Threat Intelligence (z. B. E-Mail-Einreichungen)

Verwerten Sie eingereichte Phishing-Mails, um bösartige Domains zu erkennen.

Nutzen Sie:

• WHOIS-Daten

• IP-Reputation

• HTML-/Screenshot-Vergleiche mit echten Login-Seiten

• Schlüsselwortanalyse (z. B. „login“, „webmail“, „reset“)

Vorteil: Reale Angriffe, hohe Präzision
Nachteil: Reaktiv, abhängig von Einreichungen

2. Aktives Domain-Monitoring & SSL-Überwachung

Verfolgen Sie:

• Neue Domain-Registrierungen (z. B. via DomainTools oder SecurityTrails)

• Zertifikatsausstellungen (z. B. mit CT-Log-Trackern)

• Neue Websites mit Login-Funktion, per Crawler und Template-Erkennung

Vorteil: Früherkennung vor Angriff
Nachteil: Hoher Aufwand, viele Fehlalarme

3. Schulungen & Markenschutz

Auch ohne Hightech:

• Mitarbeiterschulung zu gefälschten Domains

• SPF, DKIM, DMARC korrekt konfigurieren

• Kritische Domainvarianten vorregistrieren

• Belohnungssysteme für gemeldete Phishing-Versuche etablieren

Fazit: Ein ausgewogener Ansatz zählt

Domain-Typosquatting-Monitoring ist kein Allheilmittel – aber ein wertvoller Bestandteil eines mehrschichtigen Sicherheitskonzepts. Für Unternehmen mit hohem Risiko ist die Investition sinnvoll. Für andere lohnt sich eher ein Fokus auf E-Mail-Sicherheit, Awareness und passive Erkennung.