Цифровые советы Метрофана — выпуск № 10
В мире онлайн существует опасная угроза безопасности — это домены-двойники. Домены-двойники — это веб-адреса, которые могут быть очень похожи на официальные домены компании, но при этом принадлежат мошенникам, цель которых обмануть пользователей и получить конфиденциальную информацию.
Вы получили письмо с требованием срочно сменить пароль, подтвердить период отпуска или срочно провести денежный перевод. Подобные неожиданности могут быть началом кибератаки, и нужно убедиться, что письмо не является поддельным. Как проверить адреса e-mail в письме или ссылки на сайты?
Центральным элементом подделки обычно является имя домена, то есть часть e-mail после @ или начало адреса сайта.
Злоумышленникам, конечно, хотелось бы воспользоваться одним из официальных доменов организации или ее поставщиков и бизнес-партнеров, но в начале атаки такая возможность у них обычно отсутствует. Поэтому при проведении целевых атак на организацию они регистрируют домен, адрес которого визуально похож на нужный им. Расчет идет на то, что вы не заметите разницы. Подобные техники называются lookalike-атаками. Дальше на домене размещаются фальшивые сайты, или связанные с ним почтовые ящики начинают рассылать поддельные письма.
Омоглифы: разные буквы — одинаковое написание
В имени домена можно использовать буквы, внешне очень похожие или вообще неразличимые на вид. Например, строчная английская L (l) во многих шрифтах неотличима от заглавной i (I).
Число таких коварных двойников увеличилось после того, как домены разрешили регистрировать на разных языках, включая те, что не используют латиницу. Греческая «ο», русская «о» и латинская «o» вообще неотличимы на вид, но для компьютера это — три разные буквы. Можно зарегистрировать много разных доменов, которые будут выглядеть как metro-set.ru, меняя О на ее «близнецов».
Комбосквоттинг: убедительные дополнения
Популярной техникой последних лет стали комбинационные атаки (комбосквоттинг, combosquatting). Чтобы сымитировать письмо или сайт нужной организации, создают домен, сочетающий ее имя и подходящее вспомогательное слово, например microsoft-login.com, metro-tv.ru. Тема письма и окончание имени домена должны подходить друг другу — например, предупреждение о несанкционированном входе в почтовый аккаунт может вести на сайт metroset-alert.ru.
Замена домена верхнего уровня
Иногда злоумышленникам удается зарегистрировать двойника в другом домене верхнего уровня, например microsoft.co вместо microsoft.com. Имя подделываемой компании в этом случае не содержит никаких изменений.
Тайпсквоттинг: домены с опечаткой
Самый простой и самый ранний способ производства сайтов-двойников — эксплуатация различных опечаток, которые легко сделать при наборе и трудно заметить, читая имя домена. Вариаций тут может быть довольно много: добавление или удаление удвоений (ofice.com вместо office.com), добавление или удаление пунктуации (cloud-flare или c.loudflare вместо cloudflare), замена похожих или созвучных букв (savebank вместо safebank) и так далее.
Как защититься?
К сожалению, арсенал злоумышленников очень широк, и одними атаками lookalike дело не ограничивается. Против аккуратно проведенных атак, специально разработанных под конкретную организацию, простой внимательности недостаточно.
Поэтому в данном случае серьезно помогают защитные инструменты, такие как:
1) Специализированная защита почтовых серверов от спама и целевого фишинга. Система выдерживает подозрительные письма в карантине, а некоторые пропускает, но помечает как «Спам».
2) Защита всех устройств с помощью антивируса.
Защита от доменов-двойников — это важная часть вашей безопасности в Интернете. Используйте все доступные инструменты и ресурсы, чтобы обезопасить себя от мошенников и сохранить неприкосновенность вашего онлайн-присутствия.