Bitsquatting

So funktioniert es

Computerspeicher kippt gelegentlich ein Bit, durch Hardwarefehler oder kosmische Strahlung. Gehört dieses Bit zu einem gerade aufgelösten Domainnamen, fragt das Gerät womöglich einen Namen ab, der sich um ein Zeichen vom echten unterscheidet. Angreifer registrieren diese bit-gekippten Varianten und fangen den verirrten Traffic ab, um dann Malware oder Phishing auszuliefern.

Pro Domain sind die Mengen gering, doch im Internetmaßstab erzeugt eine beliebte Domain einen stetigen Strom fehlgeleiteter Anfragen.

Bezug zur Brand-Impersonation

Bitsquatting ist ein exotischer, technischer Verwandter des Typosquattings, und die genutzten Domains sind weiterhin Lookalikes, die das Monitoring auflisten und überwachen kann.

So hilft nebty

nebty kann Bit-Flip-Varianten Ihrer Domain ins Monitoring aufnehmen, sodass selbst diese Long-Tail-Lookalikes sichtbar und für einen Takedown auf Abruf verfügbar sind.

Wie aus einem Hardwarefehler ein Angriff wird

Bitsquatting nutzt etwas, woran die meisten nie denken: Speicher ist nicht perfekt zuverlässig. Hitze, Alter und Hintergrundstrahlung kippen gelegentlich ein einzelnes Bit im RAM, und sitzt dieses Bit in einem Domainnamen, den ein Gerät gleich auflöst, geht die Anfrage an einen Namen, der ein Zeichen vom echten entfernt ist. Ein Angreifer, der diese um ein Bit abweichenden Varianten einer beliebten Domain registriert, sammelt den verirrten Traffic, den die Fehler ihm zuschicken, und liefert dann Werbung, Malware oder eine Phishing-Seite. Eine einzelne Domain sieht nur ein Rinnsal, doch ein stark frequentierter Name erzeugt einen messbaren Strom. Es ist eine Nischentechnik, aber die registrierten Varianten sind weiterhin Lookalikes, sodass dasselbe Monitoring, das Tippfehler verfolgt, den Bit-Flip-Satz für eine hinreichend wichtige Domain aufzählen und überwachen kann.