Auf den Punkt: Typosquatting ist keine Benutzerproblem mehr, sondern eine Supply-Chain-Bedrohung. KI-generierte Lookalike-Domains verstecken sich in Third-Party-Scripts und werden von Standard-Sicherheitsstacks nicht erkannt. Der Trust-Wallet-Angriff zeigt: 8,5 Millionen Dollar waren in 48 Stunden weg – ohne Warnung.
KI-generierte Lookalike-Domains sind nun in Third-Party-Scripts eingebettet, die auf Webseiten laufen. Warum klassische Sicherheitsstacks diese nicht erkennen und welche Maßnahmen wirklich notwendig sind – das zeigt der Trust-Wallet-Angriff mit 8,5 Millionen Dollar Schaden.
Typosquatting hat sich grundlegend verändert. Es geht nicht mehr um tippfehlerhafte URLs, sondern um manipulierte Third-Party-Scripts, die in legitimen Anwendungen ausgeführt werden. Große Language Models erzeugen in Minuten tausende überzeugend wirkende Domain-Varianten. Homograph-Attacken mit lateinischen, kyrillischen und griechischen Zeichen verwischen die Grenzen zwischen echten und gefälschten Domains.
Der Trust-Wallet-Fall zeigt die Realität: Ein Wurm namens Shai-Hulud sammelte monatelang Entwickler-Credentials. Mit gestohlenen GitHub-Tokens und npm-Publishing-Keys konnte eine trojanisierte Version der Trust-Wallet-Erweiterung über offizielle Kanäle verteilt werden – sogar Chromes Verifizierung passierte sie. Die malware extrahierte stilschweigend Seed-Phrasen und übertrug sie an einen als Analyseendpoint getarnten Server des Angreifers. Innerhalb von 48 Stunden wurden 2.500 Wallets geleert. Gesamtschaden: 8,5 Millionen Dollar.
Das Kernproblem: Firewalls, WAFs, EDR und Content Security Policies haben keine Sichtbarkeit in Browser-Ausführung. Sie beobachten nicht, was validierte Scripts nach dem Laden tatsächlich tun. Typische E-Commerce-Seiten laden 40-60 Third-Party-Scripts – jedes ein potenzieller Angriffspunkt.
Die Unterscheidung zwischen Zahlungsdaten und Kryptowährungen ist bedeutungslos. Die Angriffsmethodik bleibt identisch: Ein vertrauenswürdiges, vom Browser geladenes Programm wird modifiziert, um sensible Daten abzufangen – völlig unsichtbar für Server-Logs und klassische Sicherheitsstacks. Diese Kontrollen sind nicht schlecht konfiguriert, sie wurden einfach nicht für Browser-Observability entworfen.