Nichts ist einfacher, als einen .ch-Domain-Namen zu registrieren. Das machen sich auch Cyberkriminelle zu Nutzen. Was SWITCH und Behörden dagegen unternehmen, zeigt ein Blick hinter die Kulissen.
Die offene Registrierungspolicy macht Domain-Namen unter .ch und .li der breiten Masse einfach zugänglich. Das ist vom Gesetzgeber so gewollt, führt allerdings auch dazu, dass Kriminelle ganz einfach Domain-Namen registrieren können, um mit Webseiten Missbrauch zu betreiben.
Das Phänomen der Fake Webshops ist bereits seit Jahren bekannt und wird laufend durch verschiedene Behörden in Zusammenarbeit mit SWITCH bekämpft. Bereits 2017 machte SWITCH erstmals auf das Problem aufmerksam.
Seitdem hat sich einiges geändert, sowohl seitens der Erkennungs- und Bekämpfungsmechanismen, als auch seitens der Cyberkriminellen, die immer raffiniertere Methoden entwickeln, damit ihre Fake Webshops unerkannt bleiben.
Screenshot eines Fake Webshops, aufgenommen am 28. September 2020.
Eines haben Fake Webshops gemeinsam: Cyberkriminelle geben bei der Registrierung der Domain-Namen falsche Informationen über den Halter an. Wie gut die aktuellen Methoden zum Aufspüren dieser falschen Halterangaben funktionieren und was in Zukunft besser gemacht werden kann, wird im Folgenden mithilfe eines ausgewählten Datensatzes etwas genauer analysiert.
Entwicklung des Prozesses
Als wir bei SWITCH begonnen haben, uns näher mit der Thematik zu befassen, beruhte der Prozess zur Erkennung falscher Halterangaben auf einer manuellen Datenbankabfrage. Wir suchten nach Registrierungsmustern, die einem Analysten zuvor verdächtig vorgekommen waren. Dies konnte beispielsweise die Kombination aus einem auffälligen Halternamen und einem bestimmten Registrierungsmerkmal sein. Das Suchergebnis bestand aus einer Liste, die oftmals tausende verdächtige Domain-Namen enthielt. Anschliessend wurde diese Liste von einer anerkannten Behörde genauer untersucht. SWITCH hat schliesslich die von der Behörde bestätigten Domain-Namen wegen Missbrauchs gelöscht.
SWITCH ist nur in bestimmten Fällen ohne Anweisung einer Behörde selber befugt, Domain-Namen zu blockieren oder zu löschen. Diese Fälle sind auf Malware und Phishing beschränkt.
Regelbasiertes Scoringsystem
Im Laufe der Zeit nahm die Anzahl der mit diesem Verfahren entdeckten Domain-Namen aber stetig ab, weshalb es nötig wurde, die Methode zu verfeinern und zu automatisieren. Aus Erfahrungswerten, der Zusammenarbeit mit den Behörden und dem regen Austausch mit anderen europäischen Registrys ist ein regelbasiertes Scoringsystem entstanden. Es beurteilt jede neue Domain-Registrierung nach bestimmten Kriterien und vergibt eine Punktezahl zwischen 0 und 10. Sobald sich diese Punktezahl über einem definierten Wert befindet, wird die Registrierung als verdächtig eingestuft und der Kantonspolizei Zürich gemeldet. Dort werden diese mit «QueenGuard», einem eigens dafür entwickelten Tool, im Detail analysiert und bei Bedarf über die in der VID geregelten Prozesse an SWITCH zurückmeldet.
Das Regelset wird laufend überarbeitet und immer wieder den Umständen entsprechend angepasst. Es umfasst aktuell neun Regeln. Beispielsweise wird überprüft, ob die Domain der E-Mail-Adresse des Halters Teil einer Liste verdächtiger E-Mail-Domains ist. Gleichermassen werden Halterland und Registrar-ID mit verschiedenen Listen abgeglichen, die Länder und Registrar-IDs enthalten, die in der Vergangenheit einen höheren Missbrauchsanteil aufwiesen. Zudem wird die Halteradresse mit zwei verschiedenen Services abgeglichen, um deren Korrektheit zu überprüfen. Diese und andere Kriterien werden letztlich gewichtet und ergeben summiert die oben erwähnte Punktezahl. Wie eingangs schon erläutert, entwickeln die Kriminellen ihre Methoden laufend weiter und umgehen somit einige etablierte Regeln. Beispielsweise muss für eine Registrierung nur eine gestohlene, gültige Adresse verwendet werden, wodurch das Überprüfen der Halteradresse obsolet wird.
Datenanalyse
Die folgenden Zahlen und Grafiken basieren auf dem Zeitraum zwischen dem 22.3.2020 und dem 22.6.2020. In dieser Zeit wurden insgesamt 90’842 .ch-Domain-Namen registriert, wovon 5’862 (6.5%) einen Score von 2 oder höher erreichten. Die relativ niedrige Schwelle von 2 verursachte zwar viel Aufwand seitens der Kantonspolizei bei der Analyse der Domain-Namen. Sie wurde aber gewählt, um mögliche neue Muster in den Daten nicht zu übersehen, die bei einer höheren Schwelle womöglich durchs Raster gefallen wären. Von den 5’862 Domain-Namen sind uns letztlich 450 als missbräuchlich gemeldet worden. 411 haben wir schliesslich gelöscht.
Anzahl Domain-Namen, die im Zeitraum zwischen dem 22.3.2020 und dem 22.6.2020 registriert wurden und einen Score von 2 oder höher aufwiesen.
Anteil Domain-Namen desselben Zeitraums, die nach behördlicher Prüfung gelöscht wurden.
Die beiden Grafiken zeigen, wie die Anzahl Registrierungen mit höher werdendem Score sinkt und der Anteil gelöschter Domain-Namen mit wachsendem Score steigt. Allerdings fällt auf, dass auch bei einem recht hohen Score von 5 – 6 nur ein kleiner Anteil von 4.8% tatsächlich gelöscht wird. Erst bei 6 – 7 (92.1 %) und 7 – 8 (100 %) ist ein deutlicher Anstieg zu erkennen. Die anschliessende Grafik zeigt, welcher Anteil der Domain-Namen letztlich gelöscht wird, für die ein bestimmtes Kriterium zutrifft. Zwei Kriterien stechen hier deutlich hervor.
Anteil gelöschter Domain-Namen desselben Zeitraums, die ein bestimmtes Suchkriterium aufwiesen.
Ausblick
Dieser Artikel vermittelt nur ein oberflächliches Bild der Analysemethoden. Eine Verbesserung der Missbrauchserkennung auf Basis falscher Registrierungsangaben erfordert laufend tiefergehende Untersuchungen. Auch stellt sich die Frage, wie lange dieser Ansatz noch funktionieren wird. Kriminelle werden immer besser im Nachahmen legitimer Domain-Registrierungen. Dennoch gibt es Kriterien, die dafürsprechen, dass eine Erkennung, wenn auch mit mehr Aufwand, möglich bleibt. Da es sich oft um Massenregistrierungen handelt, ist eine gewisse Automatisierung auf Seiten der Kriminellen nötig. Diese enthalten gezwungenermassen gewisse erkennbare Muster. Ob die Erkennung solcher Registrierungen weiterhin mit einem einfachen Regelset möglich sein wird, bleibt offen.
Erste Versuche in Richtung Machine Learning haben wir schon unternommen. Dabei wird mithilfe eines etikettierten Datensets ein Model trainiert, das eben genau jene Muster abzubilden versucht, die möglicherweise etwas komplexer sind, als eine einfache Regel. Natürlich erfordert dies trotzdem ein gutes Featureset, das manuell erarbeitet werden muss. Hierfür könnte man auf den bestehenden Regeln aufbauen, diese aber beispielsweise um Features erweitern, die eine Zeitkomponente der Registrierung enthalten. SIDN, die niederländische Registry, hat diesbezüglich schon einiges an Erfahrung gemacht. Mit ihnen, aber auch mit anderen europäischen Registrys, herrscht reger Austausch zu dieser Thematik, wodurch wir gegenseitig vom Wissen anderer profitieren können und somit schneller zu einem Ergebnis kommen. Das Ziel, das Schweizer Internet gänzlich von Missbrauch zu befreien, ist illusorisch und auch schwer mit der hohen Verfügbarkeit der .ch-Domain-Namen zu vereinbaren. Dennoch arbeitet SWITCH kontinuierlich daran, Missbrauch proaktiv zu bekämpfen.
Über den Autor:
Nach seinem Master-Abschluss in Informatik an der KULeuven kam Jakob Dhondt 2017 zu SWITCH. Bei SWITCH-CERT ist er als Sicherheitsexperte mit dem Schwerpunkt DNS tätig.
Über die Kolumne #Security:
Die Kolumne von Switch über Sicherheit erscheint 6 Mal jährlich. Die Autoren äussern unabhängig ihre Meinung, die sich nicht mit der Redaktionsmeinung von inside-it.ch decken muss.