Domain Abuse | Welche TLDs werden am häufigsten zweckentfremdet?
Betrug und Kriminalität sind inzwischen fest mit dem Internet verankert und äußern sich in verschiedenen Formen von gefälschten Geschäften, Phishing und Spam. Wir untersuchen, welche TLDs aktuell am häufigsten Opfer von Domain Abuse sind.
Published by
Katrin Ohlmer
Date
Jede TLD-Registry geht anders mit missbräuchlichen Umgang ihrer Infrastruktur um. Ein Grund mehr, weshalb Kriminelle dazu neigen, bestimmte Top-Level-Domains (TLDs) zu bevorzugen, während sie um andere einen großen Bogen machen. Viele Betreiber verpflichten sich vertraglich dazu, gegen missbräuchliche Aktivitäten vorzugehen. Einige haben freiwillige Absichtserklärungen abgegeben, während andere kaum oder gar nichts unternehmen. Wir beleuchten, wie sich diese Faktoren auf Domain Abuse auswirken, indem wir einzelne TLDs analysieren. Außerdem untersuchen wir, ob bestimmte TLDs ein erhebliches Ausmaß an Phishing oder Spam aufweisen.
gTLDs ohne vertragliche Verpflichtungen
TLDs können in drei Kategorien unterteilt werden: generische TLDs (gTLDs), länderspezifische TLDs (ccTLDs) und new gTLDs. gTLDs werden in der Regel von privaten Unternehmen und gemeinnützigen Organisationen betrieben. So betreibt beispielsweise das börsennotierte US-Unternehmen Verisign die TLD .com und .net, das börsennotierte US-Unternehmen Neustar die TLD .biz, das US-Unternehmen Identity Digital die TLD .info und die gemeinnützige Organisation Public Interest Registry die TLD .org.
Viele TLD-Registrys sind gegenüber den Regulierungsbehörden oder der ICANN nicht vertraglich verpflichtet, gegen Domain Abuse vorzugehen. Nur einige wenige haben Verträge mit der ICANN unterzeichnet. Die darin enthaltenen Klauseln beschreiben die Bemühungen und Absichtserklärungen zum Umgang mit Domain Abuse. Verisign, die Registry von .com, hat beispielsweise den folgenden Bestimmungen im Vertrag mit der ICANN zugestimmt:
Verisign und ICANN vereinbaren in gutem Glauben, an den folgenden Maßnahmen zu arbeiten, um bei der Bekämpfung von Sicherheitsbedrohungen zu helfen.
Innerhalb eines angemessenen Zeitraums nach der Genehmigung und Veröffentlichung der verbesserten Vertragsbestimmungen, die als Ergebnis der Arbeit gemäß Abschnitt 1A oben entwickelt und in den Basisvertrag für die new gTLD aufgenommen wurden, wird Verisign diese rechtsgültig verkündeten Bestimmungen in einer für die TLD .com angemessenen Form in den Vertrag der .com-Registry aufnehmen.
Die Registry von .com, der Endung mit den meisten registrierten Domains, verspricht der ICANN, dass sie alles unternehmen wird, um Sicherheitsrisiken zu bekämpfen. Verisign bindet sich auch an die Abmachung, neue Verpflichtungen und Anpassungen des ICANN-Vertrags aufzunehmen, behält sich aber das Recht vor, zu entscheiden, ob diese „angemessen“ oder „ausreichend“ sind – was eher vage formuliert ist. Der Vertrag enthält keine konkreten Verpflichtungen für Verisign, gegen Spam und andere Arten von Fraud vorzugehen. Auch keine Strafmaßnahmen, falls keine angemessenen Maßnahmen ergriffen werden.
Die special TLDs .gov, .mil und .edu, für die keine öffentlichen Registrierungen möglich sind, sind von vertraglichen Regelungen ausgenommen. So wird beispielsweise .mil direkt vom US-Verteidigungsministerium betrieben.
ccTLDs haben keinen Vertrag mit der ICANN
Einige ccTLDs werden von privaten Unternehmen und Organisationen betrieben. So betreibt z. B. die Frankfurter Genossenschaft DENIC eG die deutsche Endung .de; die österreichische Registry nic.at GmbH ist für .at zuständig. Einige sind auch in staatlichem Besitz, wie die norwegische Endung .no, die von Norid verwaltet wird. Oder die finnische Endung .fi, die der finnischen Behörde für Verkehr und Kommunikation (Traficom) gehört. Andere länderspezifische Endungen sind nach wie vor eng mit dem Betrieb von Universitäten verbunden, wie die chilenische Endung .cl, die von der Universität von Chile verwaltet wird oder die litauische Endung .lt, die von der Technischen Universität Kaunas betrieben wird.
Die ccTLD-Registrys haben keinen Vertrag mit der ICANN und sind daher auch nicht vertraglich verpflichtet, gegen Domain Abuse vorzugehen. Der Grund dafür ist, dass die Zusammenarbeit bei der Umsetzung von Maßnahmen zunächst rein informell war. Seit dem Jahr 2000 arbeitet die ICANN jedoch mit Administrator:innen der ccTLDs an der Ausarbeitung der Beziehungen. Dabei handelt es sich um formelle Vereinbarungen, den so genannten „Exchange of Letters„, in denen sich die Registrys gegenüber ICANN verpflichten, die jeweiligen ccTLDs bestmöglich zu betreiben.
Die europäische ccTLD .eu bildet eine Ausnahme. Das Registry EURid hat sich verpflichtet, eine Kontaktstelle für Fälle von Domain Abuse einzurichten, allerdings ohne Verpflichtungen hinsichtlich der Bearbeitung von Meldungen.
New gTLDs haben eine einheitliche Vereinbarung mit der ICANN
New gTLDs, die seit 2014 von der ICANN zugelassen wurden, werden überwiegend von privaten Unternehmen und gemeinnützigen Organisationen betrieben. Sie haben einen Vertrag mit der ICANN, der Betreiber dazu verpflichtet, gegen Domain Abuse vorzugehen.
Zu diesem Zweck nutzen die Registrys Systeme zur Überwachung und Verwaltung von Domain Abuse. Diese beaufsichtigen permanent, ob die unter der jeweiligen TLD registrierten Domains für kriminelle Zwecke genutzt werden. Dazu nutzen sie Daten von spezialisierten Anbietern wie beispielsweise Abusix oder Phishtank. Die Systeme erkennen Domain Abuse und unterstützen die Registrys dabei, die betroffenen Provider zeitnah über solche Fälle zu informieren. Die Provider selbst bearbeiten vermeintlichen Fraud in den eigenen Systemen, zum Teil in Zusammenarbeit mit Kund:innen.
Erkennung von Spam, Malware und Phishing nach TLD-Kategorien
Wir haben die Anzahl der Fälle von Domain Abuse in verschiedenen TLD-Kategorien analysiert. Dazu haben wir einen Tag ausgewählt (14. März 2023), an dem mit zwei Tools – Abusix und Phishtank – untersucht wurde, wie sich Fraud auf einzelne TLD-Kategorien verteilt. Während Abusix Mail Intelligence die Kategorien Spam, Malware und Phishing verfolgt, konzentriert sich Phishtank ausschließlich auf die Kategorie “Phishing.
Die Daten werfen Licht auf eine Reihe von Fragen: Sind bestimmte Arten von Domain Abuse bei einigen TLDs häufiger anzutreffen? Sind ccTLDs häufiger Opfer von Phishing und gTLDs häufiger von Spam betroffen? Um die Analyse zu vervollständigen, haben wir diesbezüglich untersucht, ob die Häufigkeit von Domain Abuse je nach Art der TLD variiert.
Top 10 Abusix | Top 10 Phishtank |
.com | .com |
.link | .app |
.net | .co |
.cn | .tio |
.top | .io |
.tk | .net |
.ru | .dev |
.org | .ru |
.club | .org |
.xyz | .site |
Die Zahlen zeigen, dass Domain Abuse zwischen den einzelnen TLD-Kategorien fast gleichmäßig verteilt ist. Unter den Top 10 der Domains mit den meisten Fällen befinden sich jeweils drei gTLDs und ccTLDs sowie jeweils vier new gTLDs.
Vergleich von gTLDs
Platz | Abusix | Phishtank |
1 | .com | .com |
2 | .net | .net |
3 | .org | .org |
4 | .biz | .info |
5 | .info | .pro |
6 | .pro | .biz |
Ein Vergleich der Daten von Abusix und Phishtank zeigt einen Zusammenhang innerhalb der Rangfolge der gTLD-Kategorien. Die Werte verdeutlichen zudem, dass gTLDs gleichermaßen für Domain Abuse genutzt werden. Lediglich die Plätze vier bis sechs weisen kleine Abweichungen auf.
Vergleich von ccTLDs
Platz | Abusix | Phishtank |
1 | .cn | .co |
2 | .tk | .io |
3 | .ru | .ru |
4 | .in | .me |
5 | .pl | .fr |
6 | .uk | .gd |
Die Ergebnisse beim direkten Vergleich von ccTLDs skizzieren kein identisches Muster. Nur die russische Endung .ru ist in beiden Ranglisten an dritter Stelle zu finden.
Vergleich von new gTLDs
Platz | Abusix | Phishtank |
1 | .link | .app |
2 | .top | .top |
3 | .club | .dev |
4 | .xyz | .site |
5 | .monster | .link |
6 | .shop | .xyz |
Die Liste der new gTLDs liefert stattdessen interessante Ergebnisse. Obwohl drei der Top 6 TLDs übereinstimmen (.top, .link, .xyz), sind sie auf unterschiedlichen Positionen gelistet – daher im Ergebnis als konträr zu betrachten.
Ausnahmen in den Kategorien brandTLDs und geoTLDs
Aufschlussreiche Beobachtungen können in zwei Unterkategorien der new gTLDs gemacht werden, nämlich brandTLDs und geoTLDs. Bei den brandTLDs (auch bekannt als dotBrand) gibt es keine Fälle von Domain Abuse zu verzeichnen. Dafür gibt es auch eine sehr logische Erklärung: Nur Markeninhaber können Domains unter brandTLDs registrieren. Eine missbräuchliche Verwendung durch Dritte ist daher ausgeschlossen.
Auch die Analyse der geoTLDs ergibt ein einheitliches Ergebnis. Wir haben die Domain Abuse-Fälle aller europäischen cityTLDs für das erste Quartal 2023 (1. Januar – 31. März 2023) analysiert. In diesem Zeitraum wurden insgesamt 18 Fälle gemeldet. Von diesen 18 Fällen waren die meisten sogenannte False Positives. Damit sind Warnungen gemeint, die beispielsweise für die IP-Adresse, aber nicht für die Domain gelten – und somit ungültig sind.
In sechs der 18 Bereiche wurde Domain Abuse festgestellt. Demnach handelte es sich bei einem Drittel der Fälle in der Stichprobe tatsächlich um Fraud und bei zwei Dritteln um Falschmeldungen. Von den sechs verifizierten Fällen traten drei unter der cityTLD .london auf, zwei unter ihrem französischen Pendant .paris und einer unter der österreichischen Endung .vienna. Schlussfolgernd sind geoTLDs kaum von Domain Abuse betroffen.
Domain Abuse mit Spam, Phishing und Malware
Im Bereich Domain Abuse kristallisieren sich drei Hauptkategorien als die größten Bedrohungen heraus: Spam, Phishing und Malware. Wir haben das Ausmaß jeder dieser Bedrohungen für verschiedene TLDs analysiert.
Domain Abuse im Zusammenhang mit Spam
Spamhaus wird häufig zur Analyse von Domain Abuse in der Kategorie Spam verwendet. Wir haben Daten für eine Woche, vom 29. März bis zum 4. April 2023, analysiert. Dabei ist zu beachten, dass Spamhaus den Anteil der für Spam zweckentfremdeten Domains an den aktiv genutzten Domains auf der Grundlage des Registrierungs-Volumens der TLD analysiert und bewertet. Geparkte Domains werden nicht berücksichtigt.
Auffällig ist, dass in der Top 10 mit den meisten Spam-Fällen fast ausschließlich gTLDs gelistet sind. Nur zwei nicht-generische TLDs sind vertreten, nämlich die chinesische Endung .cn und die japanische geoTLD .okinawa.
Platz | 29. März | 30. März | 31. März | 1. April | 2. April | 3. April | 4. April |
1 | .rest | .rest | .rest | .rest | .rest | .rest | .rest |
2 | .okinawa | .okinawa | .okinawa | .okinawa | .okinawa | .okinawa | .okinawa |
3 | .live | .live | .live | .live | .live | .monster | .monster |
4 | .monster | .monster | .monster | .monster | .monster | .okinawa | .top |
5 | .top | .top | .top | .top | .top | .top | .okinawa |
6 | .boutique | .boutique | .boutique | .boutique | .boutique | .boutique | .boutique |
7 | .beauty | .beauty | .beauty | .beauty | .beauty | .beauty | .beauty |
8 | .haus | .haus | .haus | .haus | .cn | .cn | .degree |
9 | .zone | .zone | .zone | .cn | .haus | .zone | .cn |
10 | .bar | .cn | .cn | .zone | .zone | .autos | .zone |
Fälle von Domain Abuse durch Spam (Quelle: Spamhaus).
Domain Abuse im Zusammenhang mit Phishing und Malware
Netcraft ist eine wertvolle Ressource, um den Zusammenhang zwischen dem Volumen aktiver Domains und Fraud zu ermitteln und geparkte oder inaktive Domains herauszufiltern. Netcraft konzentriert sich auf Phishing und Malware. Wir haben uns die Daten für denselben Zeitraum wie oben, vom 29. März bis zum 4. April 2023, angesehen.
Platz | 29. März | 30. März | 31. März | 1. April | 2. April | 3. April | 4. April |
1 | .gives | .gives | .gives | .gives | .gives | .gives | .gives |
2 | .cyou | .cyou | .cyou | .cyou | .cyou | .cyou | .cyou |
3 | .vg | .vg | .vg | .vg | .vg | .vg | .vg |
4 | .top | .top | .top | .top | .top | .top | .top |
5 | .bond | .bond | .bond | .bond | .bond | .bond | .bond |
6 | .fun | .fun | .fun | .fun | .buzz | .buzz | .buzz |
7 | .buzz | .buzz | .buzz | .buzz | .life | .life | .life |
8 | .life | .life | .life | .life | .fun | .fun | .today |
9 | .edu | .edu | .edu | .edu | .edu | .edu | .edu |
10 | .ug | .ug | .ug | .ug | .ug | .ug | .bd |
Fälle von Domain Abuse durch Phishing und Malware (Quelle: Netcraft).
Zwei TLDs in der Auflistung von Netcraft sind eine nähere Betrachtung wert. Die erste ist .gives, die den ersten Platz einnimmt und von der gleichen Registry betrieben wird, die auch für .org verantwortlich ist – der Public Interest Registry. Die zweite TLD ist .edu, die ausschließlich von US-Universitäten und Schulen registriert werden kann.
Beim Vergleich von Spamhaus, Netcraft, Abusix und Phishtank fällt auf, dass diverse TLDs auf den ersten zehn Plätzen landen. Auch wenn TLDs häufiger in Quellen einer Top 10 vertreten sind, kann die Rangfolge je nach Tool oder Quelle unterschiedlich ausfallen: Während einige Quellen TLDs in ihren Top 10 platzieren, ist dies bei anderen nicht der Fall. Dazu gehören die TLDs .top, .link, .monster und die ccTLD .cn.
Keine TLD-Kategorie ist besonders anfällig für Domain Abuse
Die Analyse zeigt, dass die Verteilung von Domain Abuse über alle TLD-Kategorien hinweg recht einheitlich zu sein scheint, mit Ausnahme von brandTLDs und geoTLDs. Innerhalb der jeweiligen Kategorien gibt es ein bemerkenswertes Muster: gTLDs wie .com und .net weisen über alle Kategorien von Domain Abuse ein sehr ähnliches Ranking auf – mit .com an der Spitze, gefolgt von .net und .org.
Wenn Domain Abuse auftritt, verteilt es sich in der Regel gleichmäßig auf die Kategorien Spam, Phishing und Malware. Bei den ccTLDs und new gTLDs ergibt sich ein weniger klares Bild, da keine TLD bei allen Arten von Fraud eine Spitzenposition einnimmt.
Warum gibt es bei einigen TLDs mehr Fraud?
Obwohl die Fälle gleichmäßig über die verschiedenen TLD-Kategorien verteilt sind, zeigt unsere Analyse, dass bestimmte TLDs häufiger Opfer von Domain Abuse werden. Das heißt, sie tauchen in den Statistiken häufiger auf als andere. Aber warum? Was beeinflusst die Rate von Domain Abuse?
- Der Preis spielt eine wichtige Rolle bei der Auswahl und Registrierung von Domains für missbräuchliche Zwecke. Es ist nicht verwunderlich, dass Kriminelle oft kostenlose oder preiswerte Domains registrieren, z. B. für Phishing-E-Mails. Domains mit Preisen im dreistelligen Bereich werden fast nie Opfer von Domain Abuse.
- Tritt Domain Abuse auf, ist gemeinsames Handeln gefragt. TLD-Registrys und die betroffenen Anbieter arbeiten Hand in Hand, um das Problem möglichst schnell zu lösen. Funktioniert diese Zusammenarbeit nicht, wird Fraud begünstigt.
- Schnelles Handeln ist deshalb so wichtig, weil Domain Abuse den Betroffenen finanziellen Schaden zufügt und ihren Ruf schädigen kann. Nach unseren Beobachtungen kann sich die Reaktionsfähigkeit der Registry und des Providers auf das Ausmaß von Domain Abuse auswirken. Wenn umgehend Maßnahmen zur Bekämpfung von Domain Abuse ergriffen werden, ist diese TLD weniger häufig das Ziel.
- Sind Kriminelle der Ansicht, es gebe bei einer TLD kein Management für Domain Abuse, weiten sie ihre illegalen Aktivitäten unter dieser TLD vermutlich aus. In einigen Fällen kann Domain Abuse stundenlang unentdeckt bleiben, oder noch schlimmer, überhaupt nicht entdeckt werden.
- Die ICANN Compliance trägt eine größere Verantwortung für new gTLDs, die vertraglich verpflichtet sind, Fraud zu überwachen und zu kontrollieren. Die new gTLD Registrys sind verpflichtet, den vertragsgemäßen Betrieb zu gewährleisten und Berichten von Internetusern über Domain Abuse nachzugehen. Werden solche Maßnahmen nicht oder verspätet ergriffen, hat das Verhalten auch Einfluss auf die Auswahl der TLD.
- Ist die TLD nur für eine begrenzte Zielgruppe von Interesse, wie .bank, .gmbh oder geoTLDs, ist Domain Abuse im Vergleich zu anderen TLD-Kategorien sehr gering. Wir führen diesen Effekt auf den begrenzten Kreis an Kund:innen – und zusätzlich auf den vergleichsweise hohen Preis – zurück.
Wo kann Domain Abuse gemeldet werden?
Es gibt verschiedene Möglichkeiten, auf Domain Abuse zu reagieren. Fraud kann z. B. direkt bei der Registry gemeldet werden. Um dies zu erleichtern, haben fast alle TLD-Betreiber eine spezielle E-Mail-Adresse eingerichtet. Sie prüfen eingehende E-Mails und leiten sie an den Provider weiter, bei dem die Domain registriert wurde. Viele Provider bieten Usern auch die Möglichkeit, sich bei missbräuchlich genutzten Domains an sie zu wenden. Die Kontaktadresse für Meldungen ist meist im Impressum zu finden. Der WHOIS-Eintrag der TLD gibt Auskunft über den für die TLD zuständigen Provider.
Domain Abuse kann durch verschiedene Faktoren beeinflusst werden, z. B. durch die Top-Level-Domain (TLD), den Preis und die Wahl des Providers. Bedenken Sie, dass es keine Patentlösung für jede Situation gibt. Um Sie als Inhaber:in einer Domain vor Domain Abuse zu unterstützen, bieten Registrys wie InterNetX direkte Kommunikationskanäle mit idealer Beratung, die Ihren Bedürfnissen gerecht wird. Zögern Sie daher nicht, unser Domain Service Team zu kontaktieren – wir helfen Ihnen gerne weiter.