Комбосквоттинг: убедительные дополнения
Популярной техникой последних лет стали комбинационные атаки (комбосквоттинг, combosquatting). Чтобы сымитировать письмо или сайт нужной организации, создают домен, сочетающий ее имя и подходящее вспомогательное слово, например Microsoft-login.com или SkypeSupport.com. Тема письма и окончание имени домена должны подходить друг другу — например, предупреждение о несанкционированном входе в почтовый аккаунт может вести на сайт outlook-alert.
Ситуация усугубляется тем, что у некоторых организацией действительно есть домены с подобными вспомогательными частями: например, login.microsoftonline.com — легитимный сайт Microsoft.
Согласно исследованию Akamai, самыми популярными «хвостами» для комбинационных атак являются: support, com, login, help, secure, www, account, app, verify, service. Стоит отдельно отметить в этом списке www и com. Они часто встречаются в названиях веб-сайтов, и можно не заметить отсутствие точки там, где она должна быть: wwwmicrosoft.com, microsoftcom.au.
Замена домена верхнего уровня
Иногда злоумышленникам удается зарегистрировать двойника в другом домене верхнего уровня, например microsoft.co вместо microsoft.com или office.pro вместо office.com. Имя подделываемой компании в этом случае не содержит никаких изменений. Такая техника называется TLDsquatting.
Эта замена может быть очень эффективна. Недавно стало известно о том, что более 10 лет различные контрагенты и партнеры Минобороны США ошибочно направляли письма на домен .ML, принадлежащий государству Мали, вместо домена .MIL, принадлежащего Минобороны. Представитель голландской компании-регистратора только за 2023 год собрал более 117 тысяч писем, ошибочно направленных в Мали вместо Минобороны.
Тайпсквоттинг: домены с опечаткой
Самый простой и самый ранний способ производства сайтов-двойников — эксплуатация различных опечаток, которые легко сделать при наборе и трудно заметить, читая имя домена. Вариаций тут может быть довольно много: добавление или удаление удвоений (ofice.com вместо office.com), добавление или удаление пунктуации (cloud-flare или c.loudflare вместо cloudflare), замена похожих или созвучных букв (savebank вместо safebank) и так далее.
Тайпсквоттинг (typosquatting, буквально «самозахват опечаток») изначально был оружием спамеров и рекламных мошенников, но сегодня все эти уловки используются совместно с подделкой содержимого сайтов и создают убедительную цепочку для целевого фишинга и компрометации бизнес-переписки (BEC).
Как защититься от доменов-двойников и lookalike-атак
Сложнее всего заметить неладное при использовании атакующими омоглифов, при этом они почти никогда не используются в легитимных целях. Поэтому от подобных атак стараются защитить создатели браузеров и отчасти доменные регистраторы. В некоторых доменных зонах запрещено регистрировать имена, в которых сочетаются символы разных алфавитов. Но во многих других доменах верхнего уровня такой защиты нет, поэтому надеяться приходится только на защитные инструменты компьютера. Правда, многие браузеры особым образом выводят доменные имена, в которых смешаны буквы разных алфавитов. В таких случаях они отображают адрес сайта в режиме punycode, и он выглядит примерно так: xn--micrsoft-qbh.xn--cm-fmc (это отображение сайта microsoft.com с двумя русскими О).
Защита от тайпсквоттинга и комбосквоттинга в первую очередь основана на внимательности. Чтобы развить ее, мы советуем каждому сотруднику пройти специальный базовый ИБ-тренинг, в котором можно научиться замечать основные трюки в фишинге.
К сожалению, арсенал злоумышленников очень широк, и одними атаками lookalike дело не ограничивается. Против аккуратно проведенных атак, специально разработанных под конкретную организацию, простой внимательности недостаточно. Например, в этом году атакующие создали фальшивый сайт, полностью имитирующий служебный портал reddit для сотрудников, и успешно скомпрометировали компанию. Поэтому ИБ-команда должна позаботиться не только о тренингах для сотрудников, но и важных инструментах защиты, таких как:
Специализированная защита почтовых серверов от спама и целевого фишинга. Например, Kaspersky Security для почтовых серверов выявляет вредоносные письма с использованием машинного обучения и ежеминутно обновляемых баз с информацией о спаме. Также система способна «детонировать» подозрительные письма в «песочнице» или выдерживать их в карантине.
Защита всех устройств сотрудников, включая смартфоны и личные компьютеры, используемые по работе. Это в целом повышает уровень защищенности, но особенно важно для перехвата вредоносных ссылок и файлов, присланных в обход почты, например через соцсети.
