COVID-19 als Köder und Vorbild: Cyberkriminelle bauen exponentiell wachsende Spamming- und Phishing-Infrastruktur auf

Die Erkrankung COVID-19 hat in den letzten zwei Monaten eine unübersehbare Spur im Domain-Namensraum hinterlassen. Die großen Zertifikatsinstanzen haben einen signifikanten Anstieg von SSL-Zertifikaten registriert – und zwar für Domänennamen, die „Corona“ oder „Covid“ enthalten. 

Um einen Eindruck davon zu bekommen, wie groß diese Veränderung ist, haben die SophosLabs die Logdaten der vergangenen sechs Monate unter die Lupe genommen. Im Visier: neue Zertifikate, die für Hostnamen mit „Corona“ oder „Covid-19“ erteilt wurden. Für eine Referenz-Ausgangslage bevor der Ausbruch Einzug in die globalen Nachrichten nahm, schauten sich die Analysten den gleichen Zeitrahmen des Jahres davor – September 2018 bis März 2019 – an.

Bis Januar 288 zumeist harmlose Domains mit Bezug zu Corona oder Covid

Vor Januar bezogen sich die meisten Zertifikate, die „Corona“ enthielten, auf eine Örtlichkeit, eine Dienstleistung oder einen legitimen Markennamen. Das sind im Durchschnitt 288 aktivierte Zertifikate pro Monat. Referenzen zu „Covid“ konnte SophosLabs in keinem einzigen Zertifikat bis Anfang 2020 ausmachen. Einen Sonderfall gibt es, aber der ist völlig harmlos: die Domain covid.com des in Arizona beheimateten Shops für Kabel und Adapter namens COVID.

Im Frühjahr signifikanter Anstieg der Corona-/ Covid-Zertifikate

Die Pandemie veränderte alles. Mit Beginn Januar 2020 war ein exponentieller Anstieg an neuen Zertifikaten mit diesen Begrifflichkeiten auf 588 zu verzeichnen, der Referenznormwert wurde dabei nahezu verdoppelt. Im Februar gab es bereits 868 Zertifikate und in den beiden ersten Märzwochen explodierten die Anmeldungen auf 6.086 neue Zertifikate. Über 65 Prozent dieser neuen Domains wurden kostenfrei via Let’s Encrypt registriert, eine Vorgehensweise, die nahe legt, dass ein Großteil dieser Zertifikate zu zweifelhaften Zwecken genutzt werden könnte.

Domains mit konkretem COVID-19-Bezug: 42.578 neuregistriert in Februar und März

Die Zahl der durch die SophosLabs beobachteten neu registrierten Domains mit Bezug auf die COVID-19-Pandemie ist sogar noch größer. Am bisherigen Peak-Day, dem 20. März, wurden 3.011 neue Domains registriert, die „Corona“ oder „Covid“ enthalten, und zwar in den großen Top-Level-Domains .com, .us, .org und .info. Zwischen dem 8. Februar und dem 24. März sind es insgesamt 42.578 neu registrierte Domainnamen, die „Covid“ oder „Corona“ aufweisen.

Während einige dieser Domains möglicherweise für harmlose oder sogar gemeinnützige Zwecke registriert wurden, werden viele zunächst einfach „geparkt“, während andere als Platzhalter für zukünftige Inhalte fungieren und meist noch leere Webseiten anzeigen.

SophosLabs hat bislang über 60 zweifelsfrei schadhafte Domains entdeckt, einige davon sind mittlerweile schon wieder untergetaucht. „Die verbleibenden Domains, wie z.B.corona-virus-map.net oder corona-map-data.com sind aktiv mit Malware-Downloads verlinkt und damit eindeutig Cyberkriminellen zuzuweisen“, so Michael Veit, IT-Security-Experte bei Sophos. „Zudem ist diese Liste sicherlich nur die Spitze des Eisberges. Der Informationsbedarf rund um die Pandemie wird von den Hackern schamlos ausgenutzt, wie bereits unsere Untersuchung zu verschiedenen Phishing-Attacken gezeigt hat.“

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Arno Lücht
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
Ulrike Masztalerz
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
Ariane Wendt
Telefon: +1 (724) 536839
E-Mail: sophos@tc-communications.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel