Als Look-Alike-Domains werden Domains bezeichnet, die auf den ersten Blick zwar wie eine bestimmte Domain aussehen, den Benutzer jedoch auf eine andere als die gewünschte Webseite weiterleiten. Dieses Vorgehen wird in der Fachsprache auch als Domain Spoofing bezeichnet. Hinter einer Look-Alike-Domain steht häufig der Versuch, den Benutzern, beispielsweise in E-Mails, Suchmaschinen oder Social Media, eine vermeintlich bekannte Domain vorzutäuschen, um sie so zu einem Klick zu bewegen. In vielen Fällen – vor allem im E-Commerce-Bereich – gehen die Inhaber von Look-Alike-Domains sogar so weit, den Besuchern auf einer “falschen” Webseite nahezu identische Inhalte zum Vorbild zu präsentieren. Auf diese Weise sollen von unwissenden Online-Shoppern sensible Daten, wie Benutzernamen, Passwörter oder Zahlungsdaten, erbeutet werden.
In der Praxis konnten bereits verschiedene Herangehensweisen zur Erstellung von Look-Alike-Domains beobachtet werden, darunter:
- Die Erweiterung der originalen Domain um zusätzliche Zeichen, zum Beispiel “internetxx.com” statt “internetx.com”.
- Die Verwendung ähnlich aussehender Zeichen, wie “1” statt “l”.
- Die Nutzung von Homophonen, also Wörtern, die gleich klingen, aber eine unterschiedliche Bedeutung haben, etwa “night” und “knight”.
- Der Gebrauch internationalisierter Domain-Namen (IDN), die den Einsatz von Unicode-Zeichen ermöglichen.
Kaum vom Original zu unterscheiden: Internationalisierte Look-Alike-Domains
Gerade die letztgenannte Variante, internationalisierte Look-Alike-Domains, können für den Benutzer trügerisch sein. So stimmt der kyrillische Buchstabe “e” beispielsweise bei vielen Schriftarten optisch mit den lateinischen Buchstaben “e” überein. Und auch wenn die Darstellung bestimmter Zeichen in der Browserleiste, einer Webseite oder einer E-Mail geringfügig abweicht: Wer prüft eine Domain schon derart genau?
Lediglich durch Betrachten der internationalisierten Domain im Punycode-Format, also der Übersetzung der Unicode-Zeichenkette in ASCII-Zeichen, lässt sich feststellen, ob es sich um eine Look-Alike-Domain handelt oder nicht.
Look-Alike-Domains auf dem Vormarsch
Im September 2018 veröffentlichte das Cybersecurity-Unternehmen Venafi eine Studie zum Thema Look-Alike-Domain, bei der die jeweils 20 größten Online-Händler der fünf Schlüsselmärkte Australien, Deutschland, Frankreich, Großbritannien und USA auf Look-Alike-Domains untersucht wurden.
Neben der oftmals originalgetreuen Nachahmung einer Webseite, wurde darin ein weiterer Punkt genannt, mit dessen Hilfe Look-Alike-Domains noch vertrauenswürdiger wirken sollen: SSL- bzw. TLS-Zertifikate. Es konnte festgestellt werden, dass für die bestehenden Look-Alike-Domains in den fünf Schlüsselmärkten deutlich mehr Zertifikate im Einsatz sind als für die tatsächlichen Webseiten der Online-Händler. In Zahlen ausgedrückt: 40.651 Zertifikate für Look-Alike-Domains versus 18.759 Zertifikate für originale Domains – ein Unterschied von 217 %. Bei den 20 untersuchten Online-Händlern aus Deutschland war der Prozentsatz mit 371 % so groß wie in keinem der anderen vier Länder.
Seriöse Unternehmen überzeugen hier mit der Verwendung sogenannter Extended-Validation-SSL-Zertifikate (EV-Zertifikate), die im Gegensatz zu den kostenlosen Domain-Validation-SSL-Zertifikaten (DV-Zertifikate) auch die Inhaberschaft einer Webseite genauestens überprüfen.
Paradebeispiele für Look-Alike-Domains
Es ist nicht weiter verwunderlich, dass vor allem trafficreiche Webseiten gerne ins Visier von Look-Alike-Domains geraten. Zu bekannten Unternehmen, die in der Vergangenheit bereits Ziel von Domain Spoofing wurden, zählen unter anderem:
Medium
Ein prominentes Beispiel findet sich in der Look-Alike-Domain “mediurn.com”. Die originale Domain: “medium.com”, unter der die gleichnamige Online-Publishing-Plattform beheimatet ist. Durch die Zeichenkombination “rn” konnte bei dem ein oder anderen Benutzer der Eindruck entstehen, es handele sich um den Buchstaben “m”. Wer auf die Look-Alike-Domain reinfiel, landete bis vor Kurzem noch auf einer betrügerischen Webseite.
Walmart
Eine ähnliche Vorgehensweise wird auch bei der Look-Alike-Domain “wa1mart.com” erkenntlich. Der Registrant beklagte zwar, zwischen seiner Domain und “walmart.com” bestünde aufgrund der Distanz der beiden Tasten “1” und “l” auf der Tastatur keine Verwechslungsgefahr, die Ähnlichkeit zur Domain des US-Einzelhandelskonzerns Walmart lässt sich jedoch nur schwer abstreiten.
IKEA
Auf der offiziellen Webseite des schwedischen Möbelhauses IKEA (“ikea.com”) tümmeln sich Tag für Tag unzählige Online-Shopper. Das wissen natürlich auch Cyberkriminelle: Mit einer internationalisierten Look-Alike-Domain, die sich dem kyrillischen Alphabet bedient, sollten Benutzer, die eigentlich die IKEA-Homepage aufrufen wollten, hinters Licht geführt werden.
BMW
Auch die Domain “bmw.com” des Münchener Automobilherstellers ist in der Vergangenheit bereits Domain Spoofing zum Opfer gefallen. Einziges Unterscheidungsmerkmal zwischen Original und Fake: das (vermeintliche) "w". Während die echte Domain den lateinischen Buchstaben "w" beinhaltet, griff die Look-Alike-Domain auf ein "w" mit Punkt (romanisierte Version eines Urdu-Zeichens) zurück. Lange Zeit erwartete die Besucher dort eine Umfrage, die dank Einbindung des offiziellen BMW-Logos täuschend echt aussah, aber mit der lediglich Phishing-Zwecke verfolgt wurden.
Die vier genannten Fälle resultierten jeweils in einer UDRP-Beschwerde, da die betreffenden Markeninhaber ihre Rechte verletzt sahen – allesamt erfolgreich.
So schützt du dich vor Look-Alike-Domains
Natürlich sind in den oben genannten Beispielen die Unterschiede zwischen Original und Fake bei genauem Hinsehen relativ leicht auszumachen. Aber wie bereits erwähnt: Nur die Wenigsten prüfen eine Domain bis ins kleinste Detail und gerade bei internationalisierten Domain-Namen ist eine Unterscheidung bei einem schnellen Blick auf die Domain oft nicht möglich. Durch die Verwendung kyrillischer Buchstaben stellt es beispielsweise kein Problem dar, die Domain “apple.com” originalgetreu zu kopieren.
Ratschlag daher: Tippe Domains immer eigenhändig in die Browserleiste ein oder kopiere den betreffenden Link per Rechtsklick und füge ihn in einen Texteditor ein. Sollte Punycode im Einsatz sein, wird der echte Link dank dieser Vorgehensweise sichtbar. Aber auch viele Browser – darunter Chrome, Edge, Internet Explorer oder Safari – zeigen heutzutage Punycode in der Adresszeile an. Firefox bietet den Benutzern zumindest eine entsprechende Option.
Was haben wir also gelernt? Die Gefahr von einer Look-Alike-Domain getäuscht zu werden, ist gar nicht so unwahrscheinlich, wie man vielleicht vermuten würde. Denn nicht immer ist eine Look-Alike-Domain gleich als solche erkennbar. Aber auch die zunehmende Verwendung von TLS- bzw. SSL-Zertifikaten erschwert die Identifikation von Look-Alike-Domains. Um auf Nummer sicher zu gehen, empfiehlt es sich, Web-Adressen selbst einzutippen oder sie vorab auf Punycode zu überprüfen.
