Auf den Punkt: Altersbasierte Reputationsbewertungen in Mail-Filtern wurden zur kritischen Schwachstelle, weil Angreifer legitime, jahrelang saubere Domains aufkaufen und für Phishing umnutzen.
Phishing-Betreiber kaufen gezielt alte, seriöse Domains auf und missbrauchen deren hohe Reputation bei Mail-Filtern. Zertifikats-Transparenzlogs offenbaren das Muster, das etablierte Sicherheitslösungen übersehen.
Die Takeover-Mechanik ist auffällig: Phishing-as-a-Service-Betreiber erwerben abgelaufene Registrierungen oder übernehmen aktive Domains durch Credential-Theft bei Registraren. Der Drop-Catching-Markt (DropCatch, SnapNames, GoDaddy Auctions) macht das möglich – eine saubere Domain mit zehn Jahren Historie kostet 50 bis 500 US-Dollar. Das Geschäftsmodell zahlt sich aus: Microsoft Defender for Office 365, Proofpoint, Mimecast und Cisco Talos gewichten Domänen-Alter stark in ihren Klassifizierungsmodellen. Eine frisch registrierte .com wird sofort bestraft; eine Domain mit Jahren stabiler Nutzung, konsistenten Zertifikat-Ausstellungen und sauberer DNS-Historie gilt als Low-Risk.
Ein dokumentierter Fall zeigt das Muster konkret: digitalscrapbookingfreebies.com. Von 2016 bis Juli 2025 las sich die Zertifikat-Historie wie ein normales Small-Business-Blog – cPanel-Zertifikate alle 60 bis 90 Tage, Let’s Encrypt R3 für Apex und www alle 90 Tage. Im April 2025 erscheinen GoDaddy-Zertifikate nach acht Jahren unveränderter cPanel-plus-Let’s-Encrypt-Historie. Das erste harte Signal für einen Registrar-Wechsel. Juli 2025: letztes Zertifikat mit legitimer Signatur. Dann Stille – sechs Monate ohne Renewals. Dezember 2025: neue Let’s Encrypt R13-Zertifikate für Subdomains, die das ursprüngliche Blog nie hatte (beds, footboard, haushafin, locklear). Januar 2026: nativems-mfl09093004.digitalscrapbookingfreebies.com für eine Sneaky2FA-Phishing-Kampagne gegen UK- und US-Behörden, Energiefirmen und US-Healthcare-KMUs.
Die Infrastruktur hinter solchen Domains bleibt kriminell, die Reputationsbewertung jedoch hoch. Eine aktuelle Sneaky2FA-Deployment betrieb 117 Server in Kansas City über zwei Jahre hinweg – die Mail-Filter erkannten die Herkunft nicht. Das Problem liegt in der Blindstelle des Reputationsklassifizierers: Das Modell stammt aus einer Zeit, als neue Domains dominierte Phishing-Infrastruktur bedeutete und alte Domains legitimale kleine Unternehmen anzeigten. Heute übersehen Filter die Signale im Zertifikats-Transparenzlog – die monatelange Stille, den plötzlichen Wechsel der Zertifizierungsstelle, die neuen Subdomains ohne Bezug zur Originalmarke.
Quelle: www.csoonline.com · Erschienen 11. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.