Blog

Ste prepričani, da so domene res to, kar mislite, da so?

Videti pomeni verjeti. Čeprav to običajno drži, velja samo, če vas nekdo ne poskuša prelisičiti. In pri imenih nekaterih domen vas lahko hekerji resnično prelisičijo.

Oglejmo si naslednje domene:
g00gle.com
goog1e.com
bmvv.com
rnicrosoft.com

Prepričan sem, da lahko vsak bralec tega članka ugotovi, da zgoraj navedene domene niso google.com, bmw.com in microsoft.com – ker je profesionalec s področja varnosti, ima oster vid ali sposobnost prepoznavanja drobnih razlik. Pa bi res takoj prepoznali razliko, če bi se te domene pojavile v zelo dolgem URL-ju, napisane z drobnimi črkami, kot lahko vidite spodaj?

https: //docs.goog1e.com/d/11nlyrVIYhsadg5vdFGxBRgm-LUICEc5FBUc_wgz5R000ZU/edit#slide=id.p2

Ali če bi bile del e-sporočila, ki je poslano z besedilom: »Vse najboljše od prijatelja. Za poslušanje sporočila klikni naslednjo povezavo:« Mislite, da bi večina ljudi ugotovila, da gre za prevaro? Nisem prepričan, da bi.

Dobrodošli v svetu lažnih (lookalike) domen

Kot že ime nakazuje, so lažne domene videti zelo podobno kot pristne in so dejansko celo registrirane, da bi bile tem podobne. Pogosto se uporabljajo pri tistem, kar se v kontekstu varnosti imenuje homografski napad. Zgoraj navedeni primeri, v katerih so zamenjani »o« z »0«, »l« z »1«, »w« z »vv« in m« z »rn«, so pravzaprav osnovni primeri homografskih napadov. Obstajajo tudi naprednejše oblike lažnih domen, ki jih je z golim očesom veliko težje odkriti (iz varnostnih razlogov se vse povezave na lažne domene v tem članku prikazane kot slike, da jih ne boste po pomoti kliknili).

Lahko recimo poveste, kakšna je razlika med naslednjim?
    i      wikipedia.org

Na sliki sta latinični črki »e« in »a« zamenjani s ciriličnima »e« in »a«!

Še en primer:

Na ovoj slici “a” u apple.com je ćirilični “a”, a ne latinični “a”.

Pri teh dveh primerih je uporabljena napredna oblika tehnike homografskih napadov z lažnimi domenami. Pri tehniki se uporablja drugačna pisava (v tem primeru cirilica), v kateri so črke podobne latiničnim. Te črke so v računalniškem svetu drugače kodirane. Čeprav jih človek lahko zamenja za pristne domene, jih računalnik zagotovo ne bo. Ko kliknete te povezave v brskalniku ali kateri koli drugi aplikaciji, kot je e-pošta, boste posledično preusmerjeni na strani, ki jih niste nameravali obiskati, zaradi česar se lahko zgodi nekaj, kar vam bo povzročilo veliko škodo. Lahko ste na primer preusmerjeni na spletno stran, ki od vas zahteva prenos določene programske opreme, ki lahko poškoduje vaš računalnik, ali na stran, ki bo od vas zahtevala vnos podatkov za dostop do spletne banke. Zelo verjetno ste na kakšni od takšnih strani že bili.

Takšne škodljive lažne domene uporabnikov ne spodbujajo samo k napačnih aktivnostim, temveč lahko privedejo tudi do velikih finančnih izgub za organizacije.

Podjetja ne skrbi samo varnost njihovih uporabnikov, temveč tudi varnost blagovne znamke. Lažna domena lahko škoduje blagovni znamki tako, da se uporabi za preusmeritev/krajo legitimnega prometa na drugo spletno stran, ki morda prodaja konkurenčne izdelke. To se imenuje URL hijacking in večina podjetij ta pojav jemlje zelo resno ter takšne situacije vedno prijavi policiji.

Kako se zaščititi pred lažnimi (lookalike) domenami?

Proti lažnim domenam se lahko zaščitite z različnimi obrambnimi orodji. Enostavne trike, kot so zamenjava »o« z »0«, »l« z »1« itd., bi moral prepoznati vsak uporabnik, če je dovolj previden. Pri naprednejših trikih, kot je zamenjava latiničnih črk s ciriličnimi, vas bo na to opozorila večina sodobnih brskalnikov (z izjemo brskalnika Mozilla Firefox).

Pred obrambo pred kakršnim koli napadom, ga morate najprej odkriti. Eden izmed učinkovitih načinov za prepoznavanje lažne domene je uporaba umetne inteligence in tehnologij za strojno učenje (AI/ML), ki s skeniranjem domen odkrijejo morebitne lažne domene. Nato lahko takšne domene dodate v požarni zid DNS in samodejno filtrirate DNS-zahteve glede teh domen. Ko so DNS-zahteve enkrat zavrnjene, do njih ne bo več mogoče dostopati. Podjetje Infoblox je nedavno objavilo funkcionalnost odkrivanja lažnih domen v zadnji različici orodja ActiveTrust® in dela na tem, da bi takšne domene dodalo v RPZ data feed, da bi bile organizacije in njihovi zaposleni pred njimi zaščiteni.

Za več podrobnosti stopite z nami v stik ali pa obiščite Infoblox.com

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter
Potrebujete ponudbo ali pomoč pri konfiguraciji rešitve? Iščete partnerja za implementacijo?
Kontaktirajte nas!