Blog

Jeste li sigurni da su te domene ono što mislite da jesu

Vidjeti znači vjerovati. Iako to obično je tako, vrijedi samo ako vas netko ne pokuša zavarati. U slučaju imena nekih domena, hakeri vas stvarno mogu prevariti.

Pogledajmo sljedeće domene:
g00gle.com
goog1e.com
bmvv.com
rnicrosoft.com

Siguran sam da svaki čitatelj ovog bloga može reći da gore navedene domene nisu google.com, bmw.com i microsoft.com, i to zato što ste security profesionalac ili zato što imate oštar vid ili pak što imate neku sposobnost prepoznavanja manjih razlika. Međutim, ako se te domene pojavljuju u vrlo dugom URL-u sa sitnim slovima, poput ovog dolje, hoćete li moći i dalje odmah uočiti razliku?

https: //docs.goog1e.com/d/11nlyrVIYhsadg5vdFGxBRgm-LUICEc5FBUc_wgz5R000ZU/edit#slide=id.p2

Ili, ako je to dio poruke e-pošte koja je poslana nekoj osobi s porukom: “Sretan rođendan od prijatelja, klikni sljedeći link da čuješ poruku.”  Mislite li da bi većina ljudi to mogla razlikovati? Nisam baš siguran.

Dobro došli u svijet lažiranih (lookalike) domena

Kao što ime sugerira, lažirane domene izgledaju vrlo slično legitimnim domenama; u stvari one su i registrirane da sliče legitimnim domenama. Često se koriste u onome što se u kontekstu sigurnosti zove homografski napad. Gore navedeni primjeri, koji su zamijenili “o” s “0”, “l” s “1”, “w” s “vv” i “m” s “rn”, zapravo su rani slučajevi homografskih napada. Postoje napredniji oblici lažiranih domena koje je mnogo teže otkriti golim okom (iz sigurnosnih razloga, sve veze na lažirane domene na ovom blogu prikazuju se kao slike kako biste bili sigurni da ih nećete pogrešno kliknuti).

Na primjer, možete li reći razliku između sljedećeg?
    i      wikipedia.org
Na slici su latinična slova “e” i “a” zamijenjena ćiriličnim slovima “e” i “a”!

Evo još jednog primjera:

Na ovoj slici “a” u apple.com je ćirilični “a”, a ne latinični “a”.

Ova dva primjera koriste napredni oblik tehnike homografskih napada s lažiranim domenama. Ova tehnika koristi drugačije pismo (u ovom slučaju ćirilicu) koja ima slova slična latiničnim slovima. Ta su slova drugačije kodirana u svijetu računala. Premda ih čovjek može zamijeniti za legitimne domene, računalo sigurno neće. Kao rezultat, kada kliknete na te linkove u pregledniku ili bilo kojoj drugoj aplikaciji kao što je e-pošta, biti ćete preusmjereni na stranice koje niste namjeravali posjetiti. To može imati za posljedicu nešto što vam može učiniti veliku štetu. Npr. možete biti preusmjereni na web stranicu koja vas traži na skinete neki software koji može biti maliciozan ili na stranicu koja od vas traži da unesete vaše kredencijale za pristup Internet bankarstvu. Vrlo je vjerovatno da ste već bili na nekoj od takvih stranica.

Nije samo da takve maliciozne lažirane domene navode korisnike na pogrešne aktivnosti, one jednako tako mogu dovesti do značajnih financijskih gubitaka za organizacije.

Poduzeća se ne brinu samo za svoje korisnike već i za svoj brend. Lažirana domena može štetiti brendu na način da može biti iskorištena da preusmjeri/ukrade legitimni promet na drugu web stranicu koja možda prodaje konkurentske proizvode. Ovo se zove URL hijacking  i većina poduzeća ovo shvaća veoma ozbiljno pa ovakve situacije uredno prijavljuju policiji.

Kako ćete se zaštititi od lažiranih (lookalike) domena

Dostupni su različiti obrambeni alati protiv lažiranih domena. Jednostavne trikove kao što su zamjena “o” s “0”, “l” s “1”  itd… svaki korisnik bi sam trebao prepoznati, ako je dovoljno oprezan. Za naprednije trikove kao što je zamjena latiničnih slova sa ćiriličnim, većina modernih browsera će vam dati nekakvo upozorenje (sa iznimkom Mozilla Firefoxa).

Prije obrane od bilo kakvog napada, prvo ga morate detektirati. Jedan efikasan način za identifikaciju lažirane domene je korištenje umjetne inteligencije i machine learning tehnologija (AI/ML) za skeniranje domena kako bi se pronašle potencijalne lažirane domene. Potom takve domene možete staviti u DNS firewall te automatski filtrirati DNS zahtjeve prema tim domenama. Jednom kada su DNS zahtjevi odbijeni, internet promet prema tim domenama neće više ići. Tvrtka Infoblox je nedavno objavila funkcionalnost detektiranja lažiranih domena u zadnjoj verziji ActiveTrust®  alata i radi na tome da takve domene stavi u RPZ data feed tako da organizacije i njeni zaposlenici budu zaštićeni od takvih domena.

Kontaktirajte nas za više detalja ili posjetite Infoblox.com.

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter
Treba Vam ponuda ili pomoć pri izradi rješenja? Tražite partnera za implementaciju?
Kontaktirajte nas!