Например, злоумышленники могут зарегистрировать доменное имя, содержащее знакомое название банка. Неосмотрительные пользователи видят в URL-адресе знакомое название банка, но дополнительное слово с дефисом означает, что место назначения сильно отличается от ожидаемого. Результатом может быть поддельный товар, украденные учетные данные, заражение вредоносным ПО или другой компьютер, задействованный для атаки ботнета.Согласно новому исследованию, которое будет представлено 31 октября 2017 года на конференции ACM по компьютерной и коммуникационной безопасности (CCS), стратегия атаки, известная как комбосквоттинг, представляет собой растущую угрозу, поскольку миллионы таких доменов созданы для злонамеренных целей.
«Это тактика, которую противники используют все чаще и чаще, потому что они убедились, что она работает», — сказал Манос Антонакакис, доцент Школы электротехники и вычислительной техники Технологического института Джорджии. «Эта атака скрывается у всех на виду, но многие люди недостаточно разбираются в компьютерах, чтобы заметить разницу в URL-адресах, содержащих знакомые названия торговых марок».Исследователи из Технологического института Джорджии и Университета Стони Брук провели исследование, которое считается первым крупномасштабным эмпирическим исследованием комбосквоттинга. Работа была поддержана агентствами Министерства обороны США, Национальным научным фондом и Министерством торговли США.Комбосквоттинг отличается от своего более известного родственника, типосквоттинга, при котором злоумышленники регистрируют варианты URL-адресов, которые пользователи могут вводить неправильно.
Комбинированные домены не зависят от жертв, допустивших опечатки, а вместо этого предоставляют вредоносные ссылки, встроенные в электронные письма, веб-рекламу или результаты веб-поиска. Злоумышленники, занимающиеся комбинированным сквоттингом, часто комбинируют название торговой марки с термином, призванным передать ощущение срочности и побудить жертв щелкнуть то, что на первый взгляд кажется законной ссылкой.«Мы видели, как комбосквоттинг используется практически во всех известных нам кибератаках, от скрытых загрузок до фишинговых атак со стороны национальных государств», — сказал Панайотис Кинтис, научный сотрудник Технологического института Джорджии, который является первым автором исследования. «Эти атаки могут обмануть даже тех, кто следит за сетевым трафиком на предмет злонамеренных действий. Когда они видят знакомую торговую марку, они могут испытывать ложное чувство комфорта».
Для своего исследования исследователи начали с 500 самых популярных доменных имен с товарными знаками в Соединенных Штатах и исключили определенные комбинации, состоящие из общеупотребительных слов. Они разделили области на 20 категорий, а затем добавили две дополнительные области: одну для политики (исследование было проведено до выборов 2016 года) и другую для энергетики.Получив 268 URL-адресов, содержащих товарные знаки, они намеревались найти доменные имена, включающие название товарного знака с дополнительными словами, добавленными в начале или в конце.
Они провели шесть лет поиска активных и пассивных запросов системы доменных имен (DNS) — более 468 миллиардов записей — предоставленных одним из крупнейших интернет-провайдеров в Северной Америке.«Результат был потрясающим, — сказал Кинтис. «Например, мы обнаружили на порядки больше доменов для комбосквоттинга, чем доменов для типосквоттинга.
Пространство для комбосквоттинга практически безгранично, потому что злоумышленники могут зарегистрировать столько доменов, сколько захотят, с любыми вариациями. В некоторых случаях регистрация домена может стоить меньше чем доллар ".
В шестилетнем наборе данных исследователи обнаружили 2,7 миллиона доменов комбосквоттинга только для 268 популярных торговых марок, причем домены комбосквоттинга были в 100 раз более распространены, чем домены типосквоттинга. С атаками комбосквоттинга, по-видимому, сложно бороться, поскольку почти 60 процентов доменов со злоупотреблениями действуют более 1000 дней — почти три года. А количество зарегистрированных доменов для комбосквоттинга росло с каждым годом в период с 2011 по 2016 год.
Среди вредоносных доменов исследователи обнаружили некоторые, которые ранее были зарегистрированы законными компаниями, которые сочетали слова со своими товарными знаками. По какой-то причине эти компании допустили прекращение регистрации, что позволило захватить доменные имена, содержащие товарные знаки, которые когда-то вели к легитимным сайтам, злоумышленникам, занимающимся комбинированным сквоттингом.Во многих случаях вредоносные домены повторно регистрировались несколько раз после истечения срока их действия, что позволяет предположить, что для устранения этой угрозы может потребоваться улучшение «интернет-гигиены».
«Представьте, что происходит в городе, когда мусор не вывозят регулярно», — сказал Антонакакис. «Мусор накапливается, и у вас развиваются болезни. Никто не собирает мусорные домены в Интернете, потому что это ничья работа.
Но должна быть организация, которая будет собирать эти вредоносные домены, чтобы их нельзя было повторно использовать для заражения людей».Он добавил, что также поможет более строгая проверка лиц, регистрирующих домены, на предмет мошенничества. «Мы не хотим препятствовать доступу законных пользователей в Интернет, но есть предупреждающие признаки потенциального мошенничества, которые регистраторы могут обнаружить».
Что могут сделать обычные пользователи компьютеров и организации, в которых они работают?«К сожалению, пользователи должны быть более образованными, чем они есть сейчас», — сказал Антонакакис. «Организации могут провести обучение в процессе адаптации новых сотрудников, и они могут защитить свои сетевые периметры, чтобы пользователи не подвергались воздействию известных доменов комбосквоттинга. Для решения этой растущей проблемы кибербезопасности необходимо сделать больше».
В дополнение к уже упомянутым, в исследовании участвовали Наджме Мирамирхани и Ник Никифоракис из Университета Стоуни-Брук; Чарльз Левер, Ичжэн Чен и Роза Ромеро-Гомес из Технологического института Джорджии и Николаос Питропакис из Лондонского университета Саут-Бэнк.