Contact
QR code for the current URL

Story Box-ID: 999363

Sophos Technology GmbH Gustav-Stresemann-Ring 1 65189 Wiesbaden, Germany http://www.sophos.de
Contact Mr Thilo Christ +49 8081 954617

COVID-19 als Köder und Vorbild: Cyberkriminelle bauen exponentiell wachsende Spamming- und Phishing-Infrastruktur auf

(PresseBox) (Wiesbaden, )
Die Erkrankung COVID-19 hat in den letzten zwei Monaten eine unübersehbare Spur im Domain-Namensraum hinterlassen. Die großen Zertifikatsinstanzen haben einen signifikanten Anstieg von SSL-Zertifikaten registriert - und zwar für Domänennamen, die „Corona“ oder „Covid“ enthalten. 

Um einen Eindruck davon zu bekommen, wie groß diese Veränderung ist, haben die SophosLabs die Logdaten der vergangenen sechs Monate unter die Lupe genommen. Im Visier: neue Zertifikate, die für Hostnamen mit „Corona“ oder „Covid-19“ erteilt wurden. Für eine Referenz-Ausgangslage bevor der Ausbruch Einzug in die globalen Nachrichten nahm, schauten sich die Analysten den gleichen Zeitrahmen des Jahres davor – September 2018 bis März 2019 – an.

Bis Januar 288 zumeist harmlose Domains mit Bezug zu Corona oder Covid

Vor Januar bezogen sich die meisten Zertifikate, die „Corona“ enthielten, auf eine Örtlichkeit, eine Dienstleistung oder einen legitimen Markennamen. Das sind im Durchschnitt 288 aktivierte Zertifikate pro Monat. Referenzen zu „Covid“ konnte SophosLabs in keinem einzigen Zertifikat bis Anfang 2020 ausmachen. Einen Sonderfall gibt es, aber der ist völlig harmlos: die Domain covid.com des in Arizona beheimateten Shops für Kabel und Adapter namens COVID.

Im Frühjahr signifikanter Anstieg der Corona-/ Covid-Zertifikate

Die Pandemie veränderte alles. Mit Beginn Januar 2020 war ein exponentieller Anstieg an neuen Zertifikaten mit diesen Begrifflichkeiten auf 588 zu verzeichnen, der Referenznormwert wurde dabei nahezu verdoppelt. Im Februar gab es bereits 868 Zertifikate und in den beiden ersten Märzwochen explodierten die Anmeldungen auf 6.086 neue Zertifikate. Über 65 Prozent dieser neuen Domains wurden kostenfrei via Let’s Encrypt registriert, eine Vorgehensweise, die nahe legt, dass ein Großteil dieser Zertifikate zu zweifelhaften Zwecken genutzt werden könnte.

Domains mit konkretem COVID-19-Bezug: 42.578 neuregistriert in Februar und März

Die Zahl der durch die SophosLabs beobachteten neu registrierten Domains mit Bezug auf die COVID-19-Pandemie ist sogar noch größer. Am bisherigen Peak-Day, dem 20. März, wurden 3.011 neue Domains registriert, die „Corona“ oder „Covid“ enthalten, und zwar in den großen Top-Level-Domains .com, .us, .org und .info. Zwischen dem 8. Februar und dem 24. März sind es insgesamt 42.578 neu registrierte Domainnamen, die „Covid“ oder „Corona“ aufweisen.

Während einige dieser Domains möglicherweise für harmlose oder sogar gemeinnützige Zwecke registriert wurden, werden viele zunächst einfach „geparkt“, während andere als Platzhalter für zukünftige Inhalte fungieren und meist noch leere Webseiten anzeigen.

SophosLabs hat bislang über 60 zweifelsfrei schadhafte Domains entdeckt, einige davon sind mittlerweile schon wieder untergetaucht. „Die verbleibenden Domains, wie z.B.corona-virus-map.net oder corona-map-data.com sind aktiv mit Malware-Downloads verlinkt und damit eindeutig Cyberkriminellen zuzuweisen“, so Michael Veit, IT-Security-Experte bei Sophos. „Zudem ist diese Liste sicherlich nur die Spitze des Eisberges. Der Informationsbedarf rund um die Pandemie wird von den Hackern schamlos ausgenutzt, wie bereits unsere Untersuchung zu verschiedenen Phishing-Attacken gezeigt hat.“
The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.