Эксперимент: опечатка также может стать угрозой для безопасности
Двое исследователей компании Godai Group, которая занимается решением проблем кибербезопасности, недавно провели эксперимент. Этот опыт в очередной раз доказал, насколько огромны масштабы размаха бизнеса, который ведут тайпсквоттеры.
Тайпсквоттинг в переводе с английского языка означает «незаконное заселение». То есть регистрация доменных имен, которые близки по написанию с адресами популярных сайтов. Созданы такие домены в расчете на те случаи, когда пользователи делают случайную ошибку при написании доменного имени. Вот тут-то они и очутятся на таком подставном сайте.
К примеру, многие пользователи по почте получают спам, в котором содержатся ссылки на сайты, по написанию подобные доменам самых популярных соцсетей. Например, vkonjakte.ru или odnokiassniki.ru. Cлучайная опечатка при наборе этих адресов во многих случаях может вывести ничего не подозревающего пользователя на ресурс, где есть вредоносное ПО.
Подобные атаки бывают двух видов: активные (попытка обманусь пользователя (потенциальную жертву) и заставить ее отправить письмо по адресу, который очень схож с настоящим); и пассивные (зарегистрировать домен-двойник, после чего спокойно собирать корреспонденцию, которая была случайно на него отправлена в результате вышеуказанных ошибок).
Исследователями Godai Group был проверен второй способ, когда домены-двойники служат для шпионажа. Для проведения данного эксперимента исследователями компании было зарегистрировано 500 доменов-двойников, схожих по написанию с доменами, находящимися в списке Fortune 500. Исследование продолжалось течение 6-ти месяцев. В результате проведенного эксперимента на почтовых серверах доменов-двойников было собрано 20 Гб электронных писем, которые пришли не по требуемому адресу.
Авторы данного эксперимента для регистрации доменов не стали использовать какие-либо трюки, а просто сделали ставку на человеческую невнимательность. Так, например, надеясь получить (перехватить) данные шведских работников компании IBM, чей почтовый сервер работает в домене se.ibm.com, они всего лишь зарегистрировали новый домен seibm.com.
Среди писем, которые им удалось перехватить, находились и содержащие закрытые корпоративные данные, пароли и логины, предназначенные для корпоративных систем, различные деловые документы, данные о конфигурации корпоративных сетей и множество других сведений.
Специалисты утверждают, что если бы они являлись реальными мошенниками или хакерами, то те сведения, которые они получили, можно было бы реализовать конкурентам IBM за очень даже неплохие деньги. «20 Гб за полгода - это достаточно много информации. Особенно если брать во внимание, что для ее получения нам вообще ничего не пришлось делать. Мы просто держали включенными почтовые серверы. А в компаниях-жертвах никто даже и понятия не имел, о том что их секретная информация оказалась в руках третьих лиц», - рассказал Питер Ким, который является одним за авторов исследования.
Также в отчете говорится и о том, что из списка “Топ-500″ наиболее крупных мировых компаний 30% или 151 компания являются уязвимыми перед «атаками» такого рода. Все эти компании функционируют в различных спектрах экономики: технологиях, торговле, интернет-коммуникациях, банковской сфере и т. д.
Авторы исследования еще отметили, что в настоящий момент многочисленные варианты доменов-двойников для большого количества компаний к настоящему моменту уже заняты. При этом в большинстве случаев тайпсквоттерские домены являются собственностью китайцев.
Godai Group для предотвращения таких угроз советует заранее закупать все существующие домены-двойники. А в случаи их занятости на момент регистрации домена для сайта компании оформлять жалобу в адрес регистратора. Если же такой вариант не сработает, то нужно внести все вероятные домены-двойники в стоп-лист почтового сервера.