Например, нападавшие могли бы зарегистрировать доменное имя, содержащее знакомое название банка. Неосторожные пользователи видят знакомое название банка в URL, но дополнительное написанное через дефис слово означает, что место назначения очень отличается от того, что ожидалось. Результатом могли быть поддельные товары, украденные верительные грамоты, вредоносная инфекция – или другой компьютер, призванный в нападение ботнета.Стратегия нападения, известная как combosquatting, является растущей угрозой, с миллионами таких областей, настроенных в злонамеренных целях, согласно новому исследованию, которое, как намечают, будет представлено 31 октября на Конференции ACM 2017 года по Компьютеру и Коммуникационной безопасности (CCS).
«Это – тактика, что противники используют все больше, потому что они видели, что она работает», сказал Манос Антонакакис, доцент в Школе Электротехники и Вычислительной техники в Технологическом институте штата Джорджия. «Это нападение скрывается в простом виде, но многие люди не достаточно компьютерный здравый смысл, чтобы заметить различие в URL, содержащих знакомые имена с торговой маркой».Исследователи из Технологического института Джорджии и Каменного Университета Ручья провели исследование, которое, как полагают, является первым крупномасштабным, эмпирическим исследованием combosquatting. Работа была поддержана американскими агентствами Министерства обороны, Национальным научным фондом и американским Министерством торговли.
Combosquatting отличается от своего более известного родственника, typosquatting, в котором противники регистрируют изменения URL, которые пользователи, вероятно, напечатают неправильно. Области Combosquatting не зависят от жертв, совершающих печать ошибок, но вместо этого обеспечивают злонамеренные связи, включенные в электронные письма, веб-рекламу или результаты поиска в сети.
Нападавшие Combosquatting часто объединяют имя с торговой маркой с термином, разработанным, чтобы передать чувство крайней необходимости поощрить жертв нажимать на то, что, кажется, на первый взгляд законная связь.«Мы видели combosquatting, используемый в фактически каждом виде кибератаки, которую мы знаем от загрузок на автомобиле до нападений фишинга этнических государств», сказал Панайотис Кинтис, научный сотрудник выпускника Технологического института Джорджии, который является первым автором исследования. «Эти нападения могут даже одурачить людей безопасности, которые могут смотреть на сетевое движение для злонамеренной деятельности. Когда они видят знакомую торговую марку, они могут испытать ложное чувство комфорта с нею».
Для их исследования исследователи начали с 500 самых популярных доменных имен с торговой маркой в Соединенных Штатах и исключили определенные комбинации, составленные из общих слов. Они разделили области на 20 категорий, затем добавили две дополнительных области: один для для политики – исследование было сделано перед выборами 2016 года – и другой для энергии.
С получающимися 268 содержащими торговую марку URL они намереваются находить доменные имена, которые включили имя с торговой маркой с дополнительными словами, добавленными в начале или конце. Они перерыли шесть лет активных и пассивных запросов системы доменных имен (DNS) – больше чем 468 миллиардов отчетов – обеспеченный одним из крупнейших поставщиков интернет-услуг в Северной Америке.«Результат был сногсшибателен», сказал Кинтис. «Мы сочли порядки величины большим количеством combosquatting областей, чем typosquatting области, например. Пространство для combosquatting почти бесконечно, потому что нападавшие могут зарегистрировать столько областей, сколько они хотят с любым изменением, которое они хотят.
В некоторых случаях регистрация области может стоить меньше чем доллара».В шестилетнем наборе данных исследователи сочли 2,7 миллиона combosquatting областей для 268 популярных торговых марок одними, и combosquatting области были в 100 раз более распространены, чем typosquatting области. Нападения combosquatting, кажется, сложны, чтобы сражаться почти с 60 процентами оскорбительных областей в операции больше 1 000 дней – почти три года.
И количество combosquatting зарегистрированных областей росло каждый год между 2011 и 2016.Среди злонамеренных областей исследователи обнаружили некоторых, которые были ранее зарегистрированы законными компаниями, которые объединили слова с их торговыми марками.
По некоторым причинам те компании разрешили регистрации истекать, позволив содержащие торговую марку доменные имена – который когда-то привел на законные места – чтобы быть принятым combosquatting нападавшими.Во многих случаях злонамеренные области были повторно зарегистрированы многократно после того, как они истекли, предположив, что улучшение «интернет-гигиены» может быть необходимо, чтобы обратиться к этой угрозе.«Вообразите то, что происходит в городе, когда мусор регулярно не берется», сказал Антонакакис. «Мусор растет, и у Вас есть болезни, развиваются.
Никто не собирает области мусора в Интернете, потому что это – ничья работа. Но должна быть организация, которая собрала бы эти злонамеренные области, таким образом, они не могут быть снова использованы, чтобы заразить людей».Более строгий показ против мошенничества людей, регистрирующих области, также помог бы, добавил он. «Мы не хотим препятствовать тому, чтобы законные пользователи добрались на Интернет, но есть предупредительные знаки потенциального мошенничества, что регистраторы могли обнаружить».
Что может быть сделано обычными пользователями компьютера и организациями, где они работают?«Пользователи, к сожалению, должны быть лучше образованы, чем они теперь», сказал Антонакакис. «Организации могут обеспечить обучение в процессе на посадке, который происходит для новых сотрудников, и они могут защитить свои сетевые периметры, чтобы препятствовать тому, чтобы пользователи были подвергнуты известным combosquatting областям.
Больше потребностей, которые будут сделаны, чтобы решить эту растущую проблему кибербезопасности».В дополнение к уже упомянутым, исследование включало Нэджмеха Мирэмирхэни и Ника Никифоракиса из Каменного Университета Ручья; Чарльз Левер, Ичжэн Чэнь и Роза Ромеро-Гомес из Технологического института Джорджии и Nikolaos Pitropakis из лондонского Южного Университета Банка.