Что такое опечатка и как ее используют мошенники?
Одна опечатка, и опечатки могут вас поймать. Это может звучать как киберпанк-триллер, но это реальная угроза кибербезопасности. Рассказываем, что это такое и как защитить себя.
Что такое типосквоттинг?
Typosquatting использует измененные доменные имена или имена с ошибками, чтобы обманом заставить пользователей посетить мошеннические веб-сайты. Злоумышленники имеют в своем распоряжении несколько различных техник опечатывания. Конечно, все они приносят пользу преступникам и обманывают кого-то еще. Что кто-то еще может быть посетителем веб-сайта или владельцем веб-сайта.
В основе опечаток лежит регистрация доменного имени. Злоумышленники регистрируют доменные имена, очень близкие к реальному доменному имени, за которое они выдают себя, или включают подлинное имя и добавляют к нему элементы. Если доменное имя еще не зарегистрировано, вы можете его зарегистрировать. Это так просто.
Если можно показать, что регистрация включает название, продукт или торговую марку другой компании и может ввести общественность в заблуждение или наказать настоящую организацию, право собственности может быть оспорено. Но это происходит после регистрации.
Типосквоттинг отличается от киберсквоттинга. Киберсквоттеры регистрируют домены, которые, как они знают или надеются, в будущем потребуются другим организациям. Доменные имена не написаны с ошибками, не адаптированы и не вводят в заблуждение. Это обычные доменные имена, для которых киберсквоттеры предсказывают предстоящую потребность.
Например, если они узнают, что студия адаптирует книгу для экрана, они могут зарегистрировать домен на имя книги. Если студия захочет создать веб-сайт для своего фильма, она обнаружит, что название уже зарегистрировано. Им придется торговаться с киберсквоттером, чтобы купить его, или обратиться в суд.
Иногда это происходит случайно. Известный случай произошел с предпринимателем по имени Узи Ниссан. В 1980-х годах у него было несколько предприятий, названных в его честь. Он зарегистрировал домен nissan.com в 1997 году для своей компании по поддержке компьютеров. После того, как Datsun сменила название на Nissan, они возбудили дело против Uzi Nissan, сославшись на нарушение прав на товарный знак и размывание бренда, и предъявили иск на 10 миллионов долларов. Судебные разбирательства длились восемь лет. В 2007 году дело было окончательно урегулировано в пользу г-на Ниссана, но ведение дела обошлось ему в 3 миллиона долларов. В настоящее время Nissan Motors использует доменное имя nissanusa.com.
Типосквоттинг классифицируется как форма социальной инженерии, потому что он опирается на две человеческие черты.
Как работает опечатка
Атака опечатки зависит от одной из двух человеческих черт. Во-первых, люди неправильно набирают доменное имя. Во-вторых, люди бегло читают доменное имя и видят то, что ожидают увидеть.
Выявление опечаток
Люди ошибаются, это легко сделать. Киберпреступники используют это, регистрируя доменные имена, которые являются распространенными ошибками в написании подлинных доменных имен. Каждый человек, который неправильно введет доменное имя таким образом, чтобы оно совпадало с вашим доменным именем с ошибкой, попадет на ваш веб-сайт, а не на настоящий веб-сайт. Киберпреступники часто регистрируют целый ряд доменных имен, фиксируя множество вариантов написания подлинного доменного имени.
Эта ловушка работает, потому что если компьютер не отвергает то, что вы только что напечатали, вы не знаете, что допустили опечатку. Если вы не заметили, что набрали «amzon.com» вместо «amazon.com» и попали на веб-сайт, похожий на целевую страницу Amazon, вы, вероятно, поверите, что находитесь на настоящем сайте. сайт Амазон.
Есть много способов, которыми веб-сайт, посвященный типосквоттерам, может принести пользу типосквоттерам. Это может:
- Имитация страницы входа: будут собираться учетные данные для входа и другие личные данные.
- Установка вредоносных расширений браузера. В браузере могут быть установлены вредоносные расширения, такие как кейлоггеры или рекламное ПО.
- Загрузить вредоносное ПО. На ваш компьютер могут быть установлены вредоносные программы, такие как трояны удаленного доступа или кейлоггеры.
- Перенаправить трафик к конкурентам. Люди могут быть перенаправлены на веб-сайт конкурента.
- Партнерское мошенничество. Фальшивый веб-сайт может перенаправлять трафик на веб-сайты, с которыми опечататели имеют партнерское соглашение. Веб-сайты, которые имеют партнерские схемы, вознаграждают партнеров, отправляющих им трафик. Типосквоттерам платят небольшую сумму каждый раз, когда они перенаправляют кого-то на партнерский сайт. Они регистрируют множество доменных имен, каждое из которых основано на подлинном доменном имени веб-сайта с другой орфографической ошибкой. Простое перенаправление на настоящий веб-сайт приносит опечаткам немного денег.
- Имитация страниц загрузки. Веб-сайты с опечатками могут имитировать сайты загрузки программного обеспечения, например проектов с открытым исходным кодом. Посетители веб-сайта загружают испорченные версии программных библиотек и инструментов разработчика вместо настоящих. Мошеннические наборы инструментов и библиотеки используются при разработке собственных продуктов жертв, превращая их в инструмент распространения троянов, вредоносных программ и бэкдоров злоумышленников.
- Продвигать идеологию. Веб-сайт с опечатками может представлять реальную организацию в неблагоприятном, вводящем в заблуждение или смущающем виде. Это ведет к хактивизму.
- Вымогательство: мошенники могут предложить продать опечатанное доменное имя подлинному владельцу доменного имени.
Создание похожих ссылок
Другая форма опечаток заключается в регистрации доменных имен, визуально похожих на настоящее доменное имя. Они используются в ссылках в фишинговых кампаниях по электронной почте.
Фальшивое доменное имя должно выглядеть как подлинное доменное имя, поэтому оно тщательно сконструировано, чтобы пропустить беглый взгляд. Типы трюков, используемых типоскваттерами:
- Имитация букв: сочетание букв или цифр, чтобы они выглядели как другие буквы. Если вы внимательно прочитаете, «rnicrosoft.com» будет выглядеть как «microsoft.com», а «apqle.com» — как «apple.com».
- Вставить иностранные символы: это более тонкий способ имитации букв с внушительным названием атак на омограф IDN. Такие символы, как греческие буквы альфа «α» и омега «ω», трудно обнаружить в опечатанном доменном имени. Если бы вы не знали заранее, эти две ссылки, вероятно, не вызвали бы никаких подозрений:
- cloudsαvvyit.com: это не буква а в слове сообразительный.
- hoωtogeek.com: это не буква w в слове как.
Эти ссылки особенно эффективны в фишинговых кампаниях, поскольку они проходят один из рекомендуемых тестов. Сотрудникам часто говорят навести указатель мыши на ссылку в электронном письме, прежде чем щелкнуть ее. Всплывающая подсказка или другое уведомление на экране покажет им место назначения ссылки. Если это соответствует содержанию электронного письма и формулировке ссылки, скорее всего, этому можно доверять.
Как защитить свою организацию
Возможно, вы уже стали жертвой опечатки. Вы можете использовать dnstwister.report для проверки.
Вы можете заблаговременно зарегистрировать доменные имена с опечатками, чтобы другие не могли использовать эти имена против вас.
Некоторые интернет-провайдеры предоставляют защиту от опечаток в рамках своих услуг. если пользователь в вашей организации неправильно напишет обычное доменное имя или нажмет на похожее доменное имя в ссылке, ему будет заблокировано подключение к сайту. Страница с предупреждением расскажет им, почему.
Следите за показателями посещаемости сайта. Если он внезапно падает, это может быть признаком того, что часть вашего трафика перекачивается на сайт, где пишут опечатки.
Рассмотрите возможность настройки и запуска собственного внутреннего сервера системы доменных имен.
Менеджеры паролей не будут предлагать ввести учетные данные для входа, если они не находятся в подлинном домене. Веб-сайты с опечатками не заставят их войти в систему.
Осведомленность также является большой частью решения. Знание этих ловушек поможет вам обнаружить их, поэтому не забудьте обновить свой персонал.