Schritt 3: Die Ausbeutung des Nutzervertrauens. Ob ein Mensch oder ein autonomer KI-Agent – das Opfer folgt dem von der KI generierten Link und tappt direkt in die Falle . Bis eine herkömmliche Security-Lösung die Domain als bösartig einstuft, ist der Schaden meist bereits eingetreten
.
Dies markiert einen bedeutenden Wandel gegenüber dem klassischen Cybersquatting. Während sich traditionelles Cybersquatting auf menschliche Tippfehler oder täuschend ähnliche Domains stützt (z. B. „netflix-payments[.]com“) , ersetzt Phantom Squatting den menschlichen Fehler durch eine KI-Halluzination – die Schwachstelle des Modells selbst wird zur Angriffsfläche
.
Palo Alto Networks hat bisher keine konkreten Markennamen oder Domains öffentlich genannt, die in Phantom-Squatting-Kampagnen erfasst wurden . Dennoch gibt es dokumentierte Muster, die die Bedrohung verdeutlichen:
Imitation des Kundensupports. Phantom Squatting kann genutzt werden, um Phishing-Links zu erstellen, die legitime Marken- oder Support-URLs nachahmen, die von einem KI-System generiert wurden . Der Trick: Nutzer vertrauen einem Link eher, wenn er von einem KI-Assistenten zu kommen scheint
.
KI-Phishing und Chatbot-Squatting. Palo Alto Networks berichtet von einem Boom traditioneller Malware- und Phishing-Techniken, die das Interesse an KI und ChatGPT ausnutzen . Zwischen November 2022 und April 2023 verzeichnete Unit 42 einen Anstieg der monatlichen Registrierungen von ChatGPT-bezogenen Domains um 910% und bis zu 118 tägliche Erkennungen bösartiger ChatGPT-URLs
. Ziel der Angreifer ist es, ChatGPT-Nutzer auf scheinbar verwandte Seiten zu locken, um sie zu infizieren
.
Verwandte Technik: „Slopsquatting.“ Eine parallele Variante, die Slopsquatting genannt wird, zielt auf KI-halluzinierte Software-Paketnamen statt auf Domain-Namen ab . Dabei identifizieren Angreifer erfundene Paketnamen, die LLMs häufig für Programmieraufgaben empfehlen, registrieren diese Namen in öffentlichen Repositories wie npm, PyPI oder RubyGems und versehen sie mit Schadcode
. Wenn ein Entwickler einen KI-Assistenten um eine Lösung bittet, schlägt dieser selbstbewusst das Phantom-Paket vor, und der Entwickler installiert es im Vertrauen auf die autoritäre Stimme der KI
. Eine Studie über 16 Modelle ergab, dass etwa 19,7 % der von KI-Tools empfohlenen Pakete vollständig erfunden waren – über 205.000 halluzinierte Paketnamen
.
Palo Alto Networks skizziert mehrere Verteidigungsschichten, um das Risiko von Phantom Squatting zu minimieren:
1. Proaktive Domain-Überwachung. Organisationen sollten verdächtige Squatting-Domains überwachen. LLM-basierte Systeme können auch defensiv eingesetzt werden: Die Forschung zu DomainLynx zeigte, dass ein zusammengesetztes KI-System eine Genauigkeit von 94,7 % bei einem Datensatz von 1.649 Squatting-Domains erreichte und in einem einmonatigen Test aus 2,09 Millionen neuen Domains 34.359 Squatting-Domains erkannte .
2. Filterung neu registrierter Domains (NRD). Die Advanced DNS Security von Palo Alto Networks enthält einen Signatur für neu registrierte Domains (UTID 109020001) . Neu registrierte Domains sind solche, die kürzlich von einem TLD-Betreiber hinzugefügt wurden oder deren Besitzer sich innerhalb der letzten 32 Tage geändert hat – viele werden für schädliche Aktivitäten wie die Steuerung von Command-and-Control-Servern oder die Verteilung von Malware genutzt
.
3. Schutzmaßnahmen auf DNS-Ebene. DNS-Sicherheitskontrollen können den Verkehr zu riskanten Domains überprüfen oder blockieren, einschließlich NRDs, die häufig für Phishing und Social Engineering missbraucht werden . Die Advanced URL Filtering (AURL), unterstützt durch Precision AI und Echtzeit-, Inline-Deep-Learning-Detektoren, kann nie zuvor gesehene Phishing-Domains identifizieren und blockieren, sobald sie auftauchen
.
4. Benutzerschulung und Überprüfung von KI-Ausgaben. Benutzer sollten KI-generierte URLs mit Vorsicht behandeln und sicherheitskritische Ausgaben durch menschliche Überprüfung, vertrauenswürdige Datenbanken, APIs oder kuratierte Wissensdatenbanken verifizieren . Das Abgleichen von Modellantworten mit autoritativen Quellen ist für jeden sicherheitskritischen Anwendungsfall unerlässlich
.
5. Sicherheitsvorkehrungen für KI-Agenten. Autonome Agenten und KI-gestützte Workflows sollten generierte URLs, Paketnamen und andere externe Ressourcen gegen vertrauenswürdige Quellen validieren, bevor sie abgerufen, installiert oder darauf reagiert wird . Dies ist besonders wichtig für Code-Assistenten, bei denen die Slopsquatting-Variante ein direktes Risiko für die Entwicklungspipeline darstellt
.
Phantom Squatting ist eine praktische, neu aufkommende Bedrohung, die eine bekannte KI-Schwachstelle – die Halluzination – gegen die Nutzer wendet, die den KI-generierten Ausgaben vertrauen . Der Angriff nutzt genau die Eigenschaft aus, die LLMs so nützlich macht: ihre Fähigkeit, mit voller Überzeugung plausible Inhalte zu generieren, selbst wenn die zugrundeliegende Referenz nicht existiert. Zur Verteidigung benötigen Unternehmen einen mehrschichtigen Ansatz, der proaktive Domain-Überwachung, strenge DNS- und NRD-Filterung, Benutzerschulung sowie Sicherheitsvorkehrungen für KI-Agenten umfasst, die KI-generierte URLs solange als nicht vertrauenswürdig behandeln, bis sie unabhängig verifiziert wurden
.