Типосквоттинг - это разновидность атаки социальной инженерии, в которой домены с ошибками используются для различных злонамеренных целей.
Определение типосквоттинга
Атака с типосквоттингом, также известная как перехват URL-адреса, мошеннический сайт или поддельный URL-адрес, представляет собой тип социальной инженерии, при котором злоумышленники выдают себя за законные домены в злонамеренных целях, таких как мошенничество или распространение вредоносного ПО. Они регистрируют доменные имена, похожие на законные домены целевых доверенных лиц, в надежде обмануть жертв, чтобы они поверили, что они взаимодействуют с реальной организацией.
Как работает типосквоттинг
Злоумышленники могут выдавать себя за домены, используя:
Регистрация домена выполняется быстро и легко, и злоумышленники могут одновременно зарегистрировать несколько вариантов легитимного целевого домена. Тайпосквотированные домены могут использоваться как часть атаки или меньшая часть более крупной кампании для следующих целей:
Вымогательство: Продайте домен с опечаткой обратно владельцу бренда.
Рекламное мошенничество: монетизируйте домен с помощью рекламы посетителей с неправильным написанием, перенаправляйте пользователей к конкурентам или перенаправляйте трафик обратно на сам бренд через партнерскую ссылку и зарабатывая комиссию за каждый клик.
Кража информации: сбор учетных данных и конфиденциальной информации через фишинговую электронную почту или скопированные страницы входа на сайты, либо сбор ошибочно адресованных сообщений электронной почты.
Доставка вредоносного ПО: установите вредоносное ПО или предложите загрузку вредоносного ПО.
Активизм: изображайте целевого владельца домена в негативном свете, использование типосквоттинга, которое особенно характерно для политических сфер.
«В конце концов, мотивация почти всегда финансовая, - говорит Тим Хелминг, евангелист по безопасности в DomainTools, - хотя геополитические мотивы тоже нельзя сбрасывать со счетов. Конечным результатом обычно является кража денег, интеллектуальной собственности или других ценных данных, которые могут быть проданы или сохранены за выкуп. В некоторых случаях домены с типосквотированием могут использоваться на различных этапах кампании атаки для достижения геополитических целей, таких как вторжение в сеть или кража данных».
Насколько распространен типосквоттинг?
Типосквоттинг - явление не новое, а сильная цифровая экономика означает, что интерес к этому типу атак редко ослабевает. Хелминг говорит, что его компания ежедневно сталкивается с сотнями попыток сквоттинга домена. «За последние 24 часа я наблюдал, как 11 доменов подменяли iCloud, и некоторые из них включали термин« поддержка », который явно указывает на сбор учетных данных», - говорит он. «ICloud - это всего лишь один термин. Умножьте это на сотни или тысячи известных компаний, и вы увидите, насколько обширна эта деятельность. Поскольку это может затронуть фирмы любого размера, вы действительно смотрите на сотни тысяч потенциальных жертв мимикрии».
В 2020 году было зафиксировано множество попыток подделки доменов, связанных с пандемией COVID-19. DomainTools сообщает, что с декабря 2019 года было зарегистрировано более 150 000 новых доменов с высоким риском COVID-19. «Самым ценным пространством в Интернете является .com, что означает, что это также самое ценное пространство для проведения typosquatting», - говорит Хаворт из Номинета. «Наиболее привлекательными сферами деятельности для типосквоттеров являются финансовые учреждения или организации, продающие лекарства. Популярными для таргетинга также являются быстро распространяющиеся потребительские товары, поэтому людям следует быть особенно осторожными при входе на сайты такого типа или получении писем со ссылками на них».
Точно так же президентские выборы в США в этом году стали хорошей мишенью для сквоттинга. В одном отчете Digital Shadows обнаружила более 500 сквотированных доменов, относящихся к кандидатам в президенты. Тот факт, что 66 были размещены на одном IP-адресе и, возможно, управлялись одним и тем же человеком, показывает, насколько легко запускать такие атаки. Шесть доменов в отчете перенаправлены на расширения Google Chrome для «конвертера файлов» или «безопасного просмотра», которые в случае загрузки и установки могут быть использованы для нарушения конфиденциальности избирателей и потенциально развертывания вредоносного ПО.
Хелминг говорит, что практика сквоттинга доменов за последние годы очень мало изменилась. Переход на HTTPS добавил некоторую нагрузку на участников, использующих домены с типографским сквотированием, но сертификаты самообслуживания означают, что это не требует больших усилий. Введение общих доменов верхнего уровня обеспечивает большее пространство имен для сквоттинга, хотя они выглядят необычно для многих пользователей и могут снизить вероятность успеха.
Как остановить приступы типосквоттинга
С типосквоттингом трудно бороться, потому что вы полагаетесь на людей, которые обнаруживают ошибочные домены. Директорам по информационной безопасности следует убедиться, что сотрудники осведомлены и осведомлены о проблеме типосквоттинга, а также знают, на что следует обращать внимание, а также потенциальные способы подделки ключевых доменов - как их собственных, так и доменов организаций в цепочке поставок компании - и почему.
Реестры доменов и регистраторы не имеют «ограждений» для предотвращения злонамеренных регистраций похожих доменов или доменов с опечатками, поэтому регистрация проста и недорога, говорит Хемлинг. «Можно зарегистрировать имена, которые визуально выглядят почти неотличимыми от настоящих имен - даже при очень внимательном рассмотрении».
Некоторые поставщики предлагают услуги по поиску потенциально подделанных доменов. Всемирная организация интеллектуальной собственности (ВОИС) имеет единую политику разрешения споров в отношении доменных имен (UDRP), которая позволяет владельцам товарных знаков подавать жалобы на опечатки и требовать права собственности на домен. Хелминг объясняет, что UDRP не доходит до субъектов, которые зарегистрировались, но позволяет регистраторам доменов захватить контроль над незаконными доменами.
Удаление поддельных доменов часто требует судебных исков и правоохранительных органов. В 2018 году Microsoft добилась судебного постановления о закрытии доменов, которые, как предполагается, принадлежат российской группе Fancy Bear (также известной как APT28) и предназначены для выдачи себя за политические группы. В этом году Министерство юстиции США заявило, что закрыло сотни мошеннических доменов, связанных с пандемией.
«Преступники никогда не будут реагировать на судебные иски», - говорит Хелминг. «Атрибуция может быть очень сложной задачей, и эти актеры знают, как замести следы. Иногда судебные иски (или их угрозы) могут быть более эффективными против инфраструктурных компаний, которые размещают гнусные домены».
Компании также могут зарегистрировать аналогичные домены для своих собственных, чтобы упреждающе предотвратить сквоттинг-атаки и перенаправить пользователей на правильный URL-адрес. «Это обычно называется защитной регистрацией и является законной формой типосквоттинга», - объясняет Хауорт. «Например, Microsoft владеет более чем дюжиной доменов с различными названиями их торговых марок, чтобы предотвратить такие атаки».
Typosquatting библиотеки с открытым исходным кодом
Новый тип опечаток - это использование цепочек поставок программного обеспечения в библиотеках с открытым исходным кодом. Злоумышленники создают вредоносные пакеты, которые очень похожи на пакеты законных пакетов, а затем загружают их, например, в репозиторий загрузок NPM. «Типосквоттинг - довольно редкая ситуация, но последствия могут быть значительными, что делает создание вредоносных компонентов с открытым исходным кодом жизнеспособным шаблоном атаки», - говорит Тим Макки, главный стратег по безопасности в Исследовательском центре кибербезопасности Synopsys.
Например, если есть компонент с открытым исходным кодом с именем «set-env», который используется для установки операционной среды для приложения, созданного для конкретной платформы, злоумышленник может создать клон этого проекта с именем «setenv», который включает их вредоносный код. «Злоумышленник нацелен на незнание среды разработки внутри команды и создает компонент, который на поверхности решает действительную проблему», - говорит Макки. «Затем они встраивают вредоносный аспект в код и оба способствуют существованию своего компонента. и положитесь на разработчиков, которые откроют для них свой компонент».
Если два проекта в остальном выглядят одинаково, кто-то может легко запутаться, а атака нацелена на неправильную конфигурацию программного обеспечения. Трудно определить, когда может быть использован поврежденный компонент, тем более что вредоносный компонент может быть выпущен злоумышленниками в основные репозитории управления пакетами.
«Злоумышленники исследуют наиболее часто используемые программные пакеты, - говорит Акс Шарма, старший исследователь безопасности в Sonatype. «Затем они создают вредоносные приложения и публикуют их в репозитории программного обеспечения с открытым исходным кодом под именем, идентичным имени популярного пакета. Квалифицированные злоумышленники могут использовать дополнительные тактики уклонения, такие как обфускация своего вредоносного кода, сокрытие его в минифицированных файлах JS и даже заставить свое вредоносное приложение-подражатель извлекать законный пакет, имя которого они опечатывают в качестве зависимости, чтобы остаться незамеченным».
Недавним примером был ряд вредоносных пакетов JavaScript, загруженных на портал NPM, которые открывали оболочки на компьютерах разработчиков, импортировавших пакеты в свои проекты. Макки объясняет, что plutov-slack-client предназначался для предоставления интерфейса Slack JavaScript для приложений Node.js, но на самом деле открыл внешнее соединение, потенциально позволяя злоумышленнику проникнуть на сервер, на котором запущено приложение. «Хотя plutov-slack-client был доступен всего несколько недель, он был загружен сотни раз, а это означает, что злоумышленники потенциально имели доступ к данным сотен жертв».
Хотя намерение может быть разным, по словам Макки, злоумышленники могут использовать этот тип атаки, например, для выполнения кода для снятия кредитных карт, рассылки спама или выполнения фишинговых кампаний. В сентябре были обнаружены вредоносные пакеты, которые загружали сведения о пользователях на страницу GitHub, и в последние месяцы NPM опубликовал ряд рекомендаций по вредоносным пакетам, включая пакет Discord, в который входил троян, собирающий данные. Другой пример за последний год включал более 700 типов RubyGems, которые использовали имена, имитирующие названия часто используемых Gems.
Шарма из Sonatype предупреждает, что успешные атаки приводят к загрязнению экосистемы с открытым исходным кодом, что может нанести значительный ущерб. По его словам, успешная атака может привести к распространению вредоносного ПО злоумышленника на многие жертвы, «поскольку воздействие будет выходить далеко за рамки только разработчиков, которые загружают пакет typosquatting в свои сборки. Любой заказчик, который затем устанавливает пакеты разработчика, инкапсулирующие скопированный подражатель, теперь также пострадает ».
Защита от таких атак может быть сложной, особенно для проектов с открытым исходным кодом, которые управляются небольшими командами или индивидуальными разработчиками, которым не хватает ресурсов для отслеживания потенциально проблемных доменов или действий против них. «Поскольку большая часть программного обеспечения с открытым исходным кодом создается независимыми разработчиками, пытающимися решить технические проблемы, - говорит Макки, - у них обычно нет ни навыков, ни времени для управления брендом, создаваемым их проектом, пока он не станет достаточно популярным, чтобы гарантировать включение в него. крупный фундамент ».
«Хотя сообщество разработчиков ПО с открытым исходным кодом и специалисты по сопровождению репозиториев управления пакетами действительно принимают меры, когда узнают о вредоносных компонентах, - говорит Макки, - злоумышленники полагаются на окно возможностей, созданное между началом их атаки и общедоступным знанием вредоносного компонента, чтобы максимизировать свою прибыль».
Макки советует компаниям вести полную инвентаризацию того, какие компоненты используются всем программным обеспечением в организации, в отношении которых можно проводить аудит, чтобы гарантировать наличие только утвержденных компонентов. Эта инвентаризация и аудит должны проводиться для подтверждения любых вводимых новых компонентов.
Определение типосквоттинга
Атака с типосквоттингом, также известная как перехват URL-адреса, мошеннический сайт или поддельный URL-адрес, представляет собой тип социальной инженерии, при котором злоумышленники выдают себя за законные домены в злонамеренных целях, таких как мошенничество или распространение вредоносного ПО. Они регистрируют доменные имена, похожие на законные домены целевых доверенных лиц, в надежде обмануть жертв, чтобы они поверили, что они взаимодействуют с реальной организацией.
Как работает типосквоттинг
Злоумышленники могут выдавать себя за домены, используя:
- Распространенная ошибка в написании целевого домена (например, CSOnline.com, а не CSOOnline.com)
- Другой домен верхнего уровня (с использованием .uk, а не .co.uk)
- Объединение связанных слов в домен (CSOOnline-Cybersecurity.com)
- Добавление точек в URL (CSO.Online.com)
- Использование похожих букв, чтобы скрыть ложный домен (ÇSÓOnliné.com)
Регистрация домена выполняется быстро и легко, и злоумышленники могут одновременно зарегистрировать несколько вариантов легитимного целевого домена. Тайпосквотированные домены могут использоваться как часть атаки или меньшая часть более крупной кампании для следующих целей:
Вымогательство: Продайте домен с опечаткой обратно владельцу бренда.
Рекламное мошенничество: монетизируйте домен с помощью рекламы посетителей с неправильным написанием, перенаправляйте пользователей к конкурентам или перенаправляйте трафик обратно на сам бренд через партнерскую ссылку и зарабатывая комиссию за каждый клик.
Кража информации: сбор учетных данных и конфиденциальной информации через фишинговую электронную почту или скопированные страницы входа на сайты, либо сбор ошибочно адресованных сообщений электронной почты.
Доставка вредоносного ПО: установите вредоносное ПО или предложите загрузку вредоносного ПО.
Активизм: изображайте целевого владельца домена в негативном свете, использование типосквоттинга, которое особенно характерно для политических сфер.
«В конце концов, мотивация почти всегда финансовая, - говорит Тим Хелминг, евангелист по безопасности в DomainTools, - хотя геополитические мотивы тоже нельзя сбрасывать со счетов. Конечным результатом обычно является кража денег, интеллектуальной собственности или других ценных данных, которые могут быть проданы или сохранены за выкуп. В некоторых случаях домены с типосквотированием могут использоваться на различных этапах кампании атаки для достижения геополитических целей, таких как вторжение в сеть или кража данных».
Насколько распространен типосквоттинг?
Типосквоттинг - явление не новое, а сильная цифровая экономика означает, что интерес к этому типу атак редко ослабевает. Хелминг говорит, что его компания ежедневно сталкивается с сотнями попыток сквоттинга домена. «За последние 24 часа я наблюдал, как 11 доменов подменяли iCloud, и некоторые из них включали термин« поддержка », который явно указывает на сбор учетных данных», - говорит он. «ICloud - это всего лишь один термин. Умножьте это на сотни или тысячи известных компаний, и вы увидите, насколько обширна эта деятельность. Поскольку это может затронуть фирмы любого размера, вы действительно смотрите на сотни тысяч потенциальных жертв мимикрии».
В 2020 году было зафиксировано множество попыток подделки доменов, связанных с пандемией COVID-19. DomainTools сообщает, что с декабря 2019 года было зарегистрировано более 150 000 новых доменов с высоким риском COVID-19. «Самым ценным пространством в Интернете является .com, что означает, что это также самое ценное пространство для проведения typosquatting», - говорит Хаворт из Номинета. «Наиболее привлекательными сферами деятельности для типосквоттеров являются финансовые учреждения или организации, продающие лекарства. Популярными для таргетинга также являются быстро распространяющиеся потребительские товары, поэтому людям следует быть особенно осторожными при входе на сайты такого типа или получении писем со ссылками на них».
Точно так же президентские выборы в США в этом году стали хорошей мишенью для сквоттинга. В одном отчете Digital Shadows обнаружила более 500 сквотированных доменов, относящихся к кандидатам в президенты. Тот факт, что 66 были размещены на одном IP-адресе и, возможно, управлялись одним и тем же человеком, показывает, насколько легко запускать такие атаки. Шесть доменов в отчете перенаправлены на расширения Google Chrome для «конвертера файлов» или «безопасного просмотра», которые в случае загрузки и установки могут быть использованы для нарушения конфиденциальности избирателей и потенциально развертывания вредоносного ПО.
Хелминг говорит, что практика сквоттинга доменов за последние годы очень мало изменилась. Переход на HTTPS добавил некоторую нагрузку на участников, использующих домены с типографским сквотированием, но сертификаты самообслуживания означают, что это не требует больших усилий. Введение общих доменов верхнего уровня обеспечивает большее пространство имен для сквоттинга, хотя они выглядят необычно для многих пользователей и могут снизить вероятность успеха.
Как остановить приступы типосквоттинга
С типосквоттингом трудно бороться, потому что вы полагаетесь на людей, которые обнаруживают ошибочные домены. Директорам по информационной безопасности следует убедиться, что сотрудники осведомлены и осведомлены о проблеме типосквоттинга, а также знают, на что следует обращать внимание, а также потенциальные способы подделки ключевых доменов - как их собственных, так и доменов организаций в цепочке поставок компании - и почему.
Реестры доменов и регистраторы не имеют «ограждений» для предотвращения злонамеренных регистраций похожих доменов или доменов с опечатками, поэтому регистрация проста и недорога, говорит Хемлинг. «Можно зарегистрировать имена, которые визуально выглядят почти неотличимыми от настоящих имен - даже при очень внимательном рассмотрении».
Некоторые поставщики предлагают услуги по поиску потенциально подделанных доменов. Всемирная организация интеллектуальной собственности (ВОИС) имеет единую политику разрешения споров в отношении доменных имен (UDRP), которая позволяет владельцам товарных знаков подавать жалобы на опечатки и требовать права собственности на домен. Хелминг объясняет, что UDRP не доходит до субъектов, которые зарегистрировались, но позволяет регистраторам доменов захватить контроль над незаконными доменами.
Удаление поддельных доменов часто требует судебных исков и правоохранительных органов. В 2018 году Microsoft добилась судебного постановления о закрытии доменов, которые, как предполагается, принадлежат российской группе Fancy Bear (также известной как APT28) и предназначены для выдачи себя за политические группы. В этом году Министерство юстиции США заявило, что закрыло сотни мошеннических доменов, связанных с пандемией.
«Преступники никогда не будут реагировать на судебные иски», - говорит Хелминг. «Атрибуция может быть очень сложной задачей, и эти актеры знают, как замести следы. Иногда судебные иски (или их угрозы) могут быть более эффективными против инфраструктурных компаний, которые размещают гнусные домены».
Компании также могут зарегистрировать аналогичные домены для своих собственных, чтобы упреждающе предотвратить сквоттинг-атаки и перенаправить пользователей на правильный URL-адрес. «Это обычно называется защитной регистрацией и является законной формой типосквоттинга», - объясняет Хауорт. «Например, Microsoft владеет более чем дюжиной доменов с различными названиями их торговых марок, чтобы предотвратить такие атаки».
Typosquatting библиотеки с открытым исходным кодом
Новый тип опечаток - это использование цепочек поставок программного обеспечения в библиотеках с открытым исходным кодом. Злоумышленники создают вредоносные пакеты, которые очень похожи на пакеты законных пакетов, а затем загружают их, например, в репозиторий загрузок NPM. «Типосквоттинг - довольно редкая ситуация, но последствия могут быть значительными, что делает создание вредоносных компонентов с открытым исходным кодом жизнеспособным шаблоном атаки», - говорит Тим Макки, главный стратег по безопасности в Исследовательском центре кибербезопасности Synopsys.
Например, если есть компонент с открытым исходным кодом с именем «set-env», который используется для установки операционной среды для приложения, созданного для конкретной платформы, злоумышленник может создать клон этого проекта с именем «setenv», который включает их вредоносный код. «Злоумышленник нацелен на незнание среды разработки внутри команды и создает компонент, который на поверхности решает действительную проблему», - говорит Макки. «Затем они встраивают вредоносный аспект в код и оба способствуют существованию своего компонента. и положитесь на разработчиков, которые откроют для них свой компонент».
Если два проекта в остальном выглядят одинаково, кто-то может легко запутаться, а атака нацелена на неправильную конфигурацию программного обеспечения. Трудно определить, когда может быть использован поврежденный компонент, тем более что вредоносный компонент может быть выпущен злоумышленниками в основные репозитории управления пакетами.
«Злоумышленники исследуют наиболее часто используемые программные пакеты, - говорит Акс Шарма, старший исследователь безопасности в Sonatype. «Затем они создают вредоносные приложения и публикуют их в репозитории программного обеспечения с открытым исходным кодом под именем, идентичным имени популярного пакета. Квалифицированные злоумышленники могут использовать дополнительные тактики уклонения, такие как обфускация своего вредоносного кода, сокрытие его в минифицированных файлах JS и даже заставить свое вредоносное приложение-подражатель извлекать законный пакет, имя которого они опечатывают в качестве зависимости, чтобы остаться незамеченным».
Недавним примером был ряд вредоносных пакетов JavaScript, загруженных на портал NPM, которые открывали оболочки на компьютерах разработчиков, импортировавших пакеты в свои проекты. Макки объясняет, что plutov-slack-client предназначался для предоставления интерфейса Slack JavaScript для приложений Node.js, но на самом деле открыл внешнее соединение, потенциально позволяя злоумышленнику проникнуть на сервер, на котором запущено приложение. «Хотя plutov-slack-client был доступен всего несколько недель, он был загружен сотни раз, а это означает, что злоумышленники потенциально имели доступ к данным сотен жертв».
Хотя намерение может быть разным, по словам Макки, злоумышленники могут использовать этот тип атаки, например, для выполнения кода для снятия кредитных карт, рассылки спама или выполнения фишинговых кампаний. В сентябре были обнаружены вредоносные пакеты, которые загружали сведения о пользователях на страницу GitHub, и в последние месяцы NPM опубликовал ряд рекомендаций по вредоносным пакетам, включая пакет Discord, в который входил троян, собирающий данные. Другой пример за последний год включал более 700 типов RubyGems, которые использовали имена, имитирующие названия часто используемых Gems.
Шарма из Sonatype предупреждает, что успешные атаки приводят к загрязнению экосистемы с открытым исходным кодом, что может нанести значительный ущерб. По его словам, успешная атака может привести к распространению вредоносного ПО злоумышленника на многие жертвы, «поскольку воздействие будет выходить далеко за рамки только разработчиков, которые загружают пакет typosquatting в свои сборки. Любой заказчик, который затем устанавливает пакеты разработчика, инкапсулирующие скопированный подражатель, теперь также пострадает ».
Защита от таких атак может быть сложной, особенно для проектов с открытым исходным кодом, которые управляются небольшими командами или индивидуальными разработчиками, которым не хватает ресурсов для отслеживания потенциально проблемных доменов или действий против них. «Поскольку большая часть программного обеспечения с открытым исходным кодом создается независимыми разработчиками, пытающимися решить технические проблемы, - говорит Макки, - у них обычно нет ни навыков, ни времени для управления брендом, создаваемым их проектом, пока он не станет достаточно популярным, чтобы гарантировать включение в него. крупный фундамент ».
«Хотя сообщество разработчиков ПО с открытым исходным кодом и специалисты по сопровождению репозиториев управления пакетами действительно принимают меры, когда узнают о вредоносных компонентах, - говорит Макки, - злоумышленники полагаются на окно возможностей, созданное между началом их атаки и общедоступным знанием вредоносного компонента, чтобы максимизировать свою прибыль».
Макки советует компаниям вести полную инвентаризацию того, какие компоненты используются всем программным обеспечением в организации, в отношении которых можно проводить аудит, чтобы гарантировать наличие только утвержденных компонентов. Эта инвентаризация и аудит должны проводиться для подтверждения любых вводимых новых компонентов.
