Cybersicherheit
Phantom Squatting macht aus KI-Halluzinationen eine neue Phishing- und Malware-Oberflaeche

Ein neues Angriffsmuster namens Phantom Squatting zeigt, wie schnell aus einem KI-Qualitaetsproblem ein Enterprise-Sicherheitsproblem wird. Sprachmodelle erfinden gelegentlich Domains, die gar nicht existieren. Angreifer registrieren genau diese erfundenen Adressen inzwischen zuerst und nutzen sie fuer Phishing-Seiten, Malware-Verteilung und Marken-Imitation, bevor Verteidiger ueberhaupt Reputationsdaten aufbauen koennen.
Die operative Bedeutung ist klar: Wenn ein Modell einen Link empfiehlt, behandeln viele Benutzer, Agenten und Entwickler ihn als implizit vertrauenswuerdig. Dadurch wird aus einer halluzinierten URL eine reale Angriffsoberflaeche - ganz ohne Phishing-Mail, Tippfehler oder boesartige Anzeige. Das Modell selbst wird zur ersten Referral-Quelle.
Warum das mehr ist als eine gewoehnliche boesartige Domain
Unit 42 zeigte, dass Modelle dieselben Domainmuster oft konsistent halluzinieren. Genau das gibt Angreifern eine vorhersagbare Zielliste. In der Untersuchung entstanden mehr als zwei Millionen Links aus Hunderttausenden Prompts, ueber dreizehntausend davon waren bereits als boesartig bekannt, und rund eine Viertelmillion erfundener Domains war noch frei registrierbar. Das macht Phantom Squatting eher zu einer planbaren Vorpositionierung als zu zufaelligem Modellrauschen.
- Eine frisch registrierte halluzinierte Domain startet ohne negative Reputation, daher greifen viele Filter anfangs kaum.
- Verschiedene Modelle koennen dasselbe Fake-Ziel fuer dieselbe Marke oder denselben Anwendungsfall erzeugen.
- Entwickler und KI-Agenten oeffnen, crawlen oder uebernehmen modellgelieferte Links immer haeufiger automatisch.
- Dasselbe Vertrauensproblem kann Phishing-Kits, Malware-Verteilung und geklonte Markenauftritte unterstuetzen.
Was Security- und AI-Platform-Teams zuerst aendern sollten
1) Modellgenerierte Links als untrusted Input behandeln
KI-Links sollten genauso behandelt werden wie benutzergelieferte URLs oder fremde Inhalte. Assistenten, interne Bots und Coding-Agenten sollten modellgenerierte Domains nicht ohne Pruefung oeffnen oder herunterladen duerfen. Canonical-Domain-Checks, Allowlists und Browser-Isolation helfen hier deutlich mehr als blinder Komfort.
2) Wahrscheinliche Phantom-Domains vor der Ausnutzung ueberwachen
Weil Halluzinationen konsistent sein koennen, lassen sich dieselben Marken und Workflows gegen die im Unternehmen genutzten Modelle testen, wiederkehrende Fake-Domains kartieren und spaetere Registrierungen beobachten. So wird aus laestigem LLM-Verhalten ein Fruehwarnsignal fuer Brand Abuse, Phishing und Malware-Hosting.
3) Autonomes Vertrauen in Agent-Workflows reduzieren
Agentische Systeme, die browsen, Tickets anreichern, recherchieren oder externen Referenzen folgen, brauchen engere Guardrails. Link-Pruefung, Reputation-Checks, Domain-Alter-Pruefung und Ausfuehrungsgates sollten zwischen einer Modell-Empfehlung und jeder privilegierten Aktion sitzen. Sonst wird aus einer halluzinierten Domain schnell ein automationsgestuetzter Kompromisspfad.
Prioritaeten fuer die Reaktion
| Link-Validierung | Modellgenerierte URLs koennen erfunden und trotzdem ueberzeugend sein | Canonical-Domain-Pruefung oder Allowlist-Abgleich erzwingen, bevor Benutzer oder Agenten KI-Links folgen |
|---|---|---|
| Brand Monitoring | Wiederkehrende Halluzinationen geben Angreifern planbare Ziele | Wichtige Marken und Services gegen zugelassene Modelle testen und Registrierungen beobachten |
| Agent Guardrails | Autonomes Browsing kann Halluzinationen in echte Aktionen uebersetzen | Browser-Isolation, Domain-Alter-Checks und Approval-Gates fuer externe Navigation oder Downloads einfuehren |
| Threat Detection | Neue Domains entgehen oft reputationsbasierten Filtern | Neue Domains mit Markenmissbrauch, Hosting-Anomalien und gemeldeten KI-Links korrelieren |
| User Guidance | Menschen vertrauen KI-Antworten oft zu schnell | Teams anweisen, offizielle Domains vor Login, Zahlung oder Code-Nutzung zu bestaetigen |
Fazit
Phantom Squatting erinnert daran, dass KI-Halluzinationen nicht nur ein Zuverlaessigkeitsproblem sind. Im falschen Workflow werden sie zum Lieferweg fuer Betrug, Credential-Diebstahl und Malware. Teams, die KI-generierte Links als untrusted behandeln, vorhersagbare Phantom-Domains beobachten und Agent-Autonomie begrenzen, sind deutlich besser vorbereitet als Teams, die Modellausgaben nur als harmlosen Entwurf sehen.

