Хакерите наводняват интернет с повече фалшиви имена на домейни. Ето как можете да се предпазите

април 05, 2018
Георги Белаков

Един нов доклад (даден на адрес https://www.farsightsecurity.com/2018/01/17/mschiffm-touched_by_an_idn/ ) показва че, използването на фалшиви имена на интернет домейни, за да се измамят потребителите, така че те да дадат персонална информация, е по- широко разпространено, отколкото специалистите са смятали по-рано.

 

Това се дължи главно на засиленото използване на „интернационализирани имена на домейни“ (IDN, т.е. допускащи и латинска и друга символика на имената на сайтове в Интернет, вижте повече за това на адрес: https://en.wikipedia.org/wiki/Internationalized_domain_name ), които използват хомографи (обяснено е на адрес: https://blog.malwarebytes.com/101/2017/10/out-of-character-homograph-attacks-explained/ ), внимателно изработени, за да изглеждат точно като техните английски „двойници“. Хакерите създават имена на домейни, в които заместват символи от английския език с подобни букви на друг език език – заменяйки латинската буква „a“, например с “a” на кирилица – като начин за да примамят потребителите към фалшиви уеб сайтове, където те да бъдат подканени да въведат личната си информация.

 

(бел.прев: „Хомографи“  или „хомоглифи“ – това е един „чифт“ подобни букви, или буква и цифра, на латински и кирилица, например „х“ в латиница и „х“ в кирилица; Или „0“ като цифра и „о“ като буква – подобни, почти еднакво изглеждащи символи, но с различни „кодировки“, т.е. поредни номера в таблиците от разпознаваемите от компютъра символи – това е т.нар. Unicode таблица за символи, използвани при компютърна обработка).

 

Докладът на фирмата за киберсигурност Farsight Security (даден на адрес https://www.farsightsecurity.com/ ) идентифицира 125 различни уебсайта, започвайки от гиганти на социалните мрежи като Facebook и Twitter и стигайки до луксозни марки като Gucci и финансови уебсайтове като Wells Fargo, имитирани от фалшиви домейни. Между 17 октомври 2017 год. и 10 януари 2018 год., групата е наблюдавала повече от 116 000 „домейна – имитатори“ на тези сайтове в реално време.

 

Доклада показва още, че системите за сигурност често не са в състояние да открият този проблем, преди да настъпи „хакването“ (пробива в защитата).

 

„Този проблем се е влошил повече, отколкото мислехме, че е възможно; И по-бързо, отколкото си мислихме, че е възможно“, е казал Пол Викси, председател и главен изпълнителен директор на Farsight Security и един от разработчиците на системата за имена на домейни, която конфигурира IP адресите (разбираеми за компютрите и мрежата), довеждайки ги до четливи имена на домейни.

 

Защо са били създадени IDN?

Принципно е било въведено за облекчение на потребителите, работещи на различни езици и на различни територии (държави).

 

Измамници са използвали фалшиви или объркващи имена на домейни от „началото“ на Интернет. Но с въвеждането на IDN през май 2010 г. проблемът стана много по-разпространен.

 

Разработчиците са създали системата IDN (Интернационализирани имена на домейни, обяснена е на адрес: https://www.icann.org/resources/pages/idn-2012-02-25-en ), за да преодолеят разликата между английски- и не-англо- говорящите, използващи Интернет. Тя позволява на всеки, да създава и регистрира имена на домейни, като използва набор от символи на различни езици.

 

Но и киберпрестъпниците също използват системата IDN, за да “примамят” потребителите към fishing уебсайтове (сайтове- примамки, имитатори; буквално: „примамка за лековерни (лапни-шарани)“), които изглеждат точно като тези, които възнамеряват да посетят.

 

„В момента (този подход) се използва въпреки предварителните познания на експертите, като в момента се злоупотребява с най-добрите имена на домейни“, е казал г-н Викси.

 

Г-н Викси е казал, че когато DNS (системата за имената на сайтове в интернет), е била пусната за първи път, той не е бил достатъчно сигурен, за да бъде използвана от всички, които искат да имат достъп до интернет.

 

„Излезе от лабораторията и (влезе) в джоба на хората, около десетилетие по-рано, отколкото би трябвало да им се позволи“, е казал той. – “Но предполагам, че имаше пари за печелене, така че го направихме“.

 

Как работи (измамата):

 

Вземете популярен финансов сайт като “BankofAmerica.com”. Кибер престъпниците „вземат (за мостра)“ този домейн и променят един знак, например латинската буква „а“, (се заменя) посредством подобната буква „а“ на кирилица – и създават уебсайт, който изглежда поразително подобен на оригиналната страница на Bank of America.

 

Когато някакъв потребител пише в своята информация за вход и за парола (на страницата за достъп), на този фалшив сайт „Bank of America“, той автоматично дава на киберпрестъпниците своето удостоверение за влизане в реалната „Bank of America“. Хомографите на IDN също понякога се използват за въвеждане на спам или злонамерен софтуер на някакво устройство на потребителя.

 

По-долу е даден списък с подозрителни идентификационни номера, идентифицирани от Farsight Security, които имитират първоначалния сайт на Bank of America:

 

email-1024x458

Нагоре, в лявата колона се показва как хакерите въвеждат хомографи посредством IDN технологията, „вмъквайки се под капака (т.е. „вмъквайки се под кожата“, „вълк в агнешка кожа“)“. В дясната част е показано, как едно и също име на домейн реално би се „появило“, пред обикновения потребител в някакъв уеб браузър или в хипервръзка по имейл.

 

Известен пример е измамният имейл (даден на адрес https://edition.cnn.com/2016/12/26/us/2016-presidential-campaign-hacking-fast-facts/index.html ), до Джон Подеста, председател на кампанията на Клинтън, получен през 2016 г., който имейл твърди, че някакъв потребител на Google се е опитал да влезе в профила на г-н Подеста. В него е включена връзка, за да може г-н Подеста да промени паролата си. Г-н Подеста е последвал връзката и е променил паролата си, като с това е дал на хакерите достъп до целия си профил в Google, съобщи CNN. (дадено е на адрес: https://edition.cnn.com/2016/12/26/us/2016-presidential-campaign-hacking-fast-facts/index.html )

 

„Много доставчици на електронна поща сканират съобщенията за думата „парола“, тъй като това често се използва в злонамерени имейли“, е дадено в статия на Международната група за данни (IDG) (статията е на адрес: http://www.idgconnect.com/static/about ). Доставчици като Google често прикачват предупреждение към имейла, с което показват, че имейла изглежда като спам. Но ако думата „парола“ е написана с буквата „о“ на кирилица, както е било в имейла, получен от Джон Подеста, съобщението ще се промъкне през филтъра. Хомографите са били комбинирани с други модерни методи за атака по време на атаката над емейл пощата на Демократичната национална конвенция, според IDG.

 

По-долу е копието на имейла, насочен към, и получен от г-н Подеста, както е взет от Уикилийкс (достъпно е на адрес: https://wikileaks.org/podesta-emails/emailid/34899 ):

emailreal-1024x874

Кой стои зад тези атаки?

 

„Руските държавни хакери са стояли зад „проникването“ в компютъра на Демократическата национална конвенция, което им е дало достъп до базата данни на изследванията относно Доналд Тръмп (от страна) на  опозицията“, е казал съоснователят на Crowdstrike Дмитрий Алперович, пред медията PBS Newshour през юни 2016 г. (достъпно е на адрес: https://www.pbs.org/newshour/show/inside-russian-hacking-of-democrats-opposition-research-on-trump ). Crowdstrike разследва „проникването“ на разузнаването във DNC (Демократичния Национален Конгрес). Руското правителство е отрекло участие.

 

„Някои от заплахите може да са свързани с национални държави, но повечето от атаките посредством хомографи на IDN, идват от самотни киберпрестъпници“, е казал Рик Холанд, вицепрезидент на Strategy at Digital Shadows, една надзорна група, която наблюдава и отстранява рисковете за сигурността в интернет.

 

И макар че понякога целта е цяла нация, всъщност „хората, които са в нашите индивидуални кръгове в живота ни, са тези които вероятно ще бъдат повлияни от това; Това може да дойде от киберпрестъпник, който използва IDN, за да открадне пари от баща ми“, е казал г-н Холанд.

 

Как можете да се предпазите

 

За щастие повечето често използвани браузъри за уеб сайтове, като например Google Chrome (достъпен на адрес https://enterprise.google.com/chrome/chrome-browser-security/  ) и Mozilla Firefox (достъпен на адрес: https://www.mozilla.org/en-US/security/ ), вече имат мерки за сигурност, за да уведомят потребителите, че те може би посещават подозрителен уебсайт. Но през април, изследователят по сигурността Xudong Zheng е установил, че тези браузъри не могат да сигнализират за фалшиво име на домейн, например „аррӏе.com“, което име е с използване навсякъде в него на „подобни на латински“ символи от кирилицата.

 

Повечето опити за фишинг достигат до потребители на интернет през електронна поща, така че трябва да бъдете подозрителни към всички имейли, които включват „тревожни или примамливи изявления, които да предизвикат незабавна реакция“; Или връзки (препратки) за вход към различни профили, в съчетание с искания за актуализиране на информацията, предупреждава статията на Farsight Security.

 

Статията предупреждава също, че Вие би трябвало да активирате функцията за безопасно сърфиране и да наглеждате браузъра, докато зарежда страницата. При сайтове които изискват парола, URL адреса би трябвало да започва с „https://“ а не с „http://“ – или пък браузъра би трябвало да ви покаже знак със зелено катинарче (пред URL адреса). Наблюдавайте URL адреса, за да се убедите, че той не се променя неочаквано, след като „кликнете“ на връзката; Освен това, разрешете дву-степенното удостоверяване (two-factor authentication) за всички уеб сайтове, които имат поддръжка за тази технология

 

Също така е важно да сте запознати с това, как браузърът обработва IDN като цяло, гласи статията. Chrome има специална страница (достъпна на адрес: http://dev.chromium.org/developers/design-documents/idn-in-google-chrome ), обясняваща процеса.

 

Какво следва?

 

Експерти твърдят, че този проблем само ще стане още по-влошен, защото обикновените хора не са сигурни, как да се защитят или не мислят за това, когато са онлайн.

 

„Технологичните компании като Google правят каквото могат, за да се гарантира, че това няма да се случи с техните потребители“, е казал г-н Викси, „но няма елементарен софтуер или „процес (рецепта) в 10 стъпки“, за да се избегне изцяло превръщането ви в жертва на „измамна схема“.

 

„Този проблем не може технически да се поправи „веднъж и завинаги“, просто няма „сребърен куршум“, който да може да поправи това за една нощ.“ е казал Томас Рид, преподавател по стратегически изследвания в института Джон Хопкинс, който не е участвувал в изследването. Г-н Рид е казал че, един начин да се предотврати превръщането ви във жертва на „измамна схема“, е просто да не „кликвате“ върху която и да е URL връзка, за която мислите че е подозрителна.

 

Обаче г-н Холанд смята, че общността по сигурността може да направи повече, за да защити потребителите. Той смята, че доставчиците на съдържание и мрежи трябва да направят повече, за да идентифицират подозрителната дейност. „В ерата на „големите данни“, възможностите са реални“, е казал той.

 

„Трябва да вграждаме мерки за сигурност в тези браузъри и да ги „разрешаваме по подразбиране“, а не да правим така, че вие трябва да добавяте нещо друго“, е казал г-н Холанд, добавяйки, че „дву-степенното“ удостоверяване (идентификация) би трябвало да бъде автоматично разрешено за всички приложения, „посрещащи публика“.

 

„Това ще бъде статукво (от лат. „Непроменено Състояние“) или ще стане по-лошо, защото за 90% от обикновените хора навън, които просто не са сигурни какво да правят, няма достатъчно прозрачна сигурност, която да им помогне“.

 

(Оригиналната статия е достъпна на адрес: https://www.pbs.org/newshour/nation/hackers-are-flooding-the-internet-with-more-fake-domain-names-heres-how-you-can-protect-yourself )