По данным компании по анализу угроз и веб-сайта кибербезопасности, масштабная фишинговая кампания, основанная на опечатках, нацелена на пользователей Windows и Android с вредоносным ПО.
Кампания, которая в настоящее время проводится, использует более 200 доменов с опечатками, которые выдают себя за 27 брендов, чтобы обмануть веб-серферов и заставить их загрузить вредоносное программное обеспечение на свои компьютеры и телефоны. BleepingКомпьютер сообщило воскресенье.
Фирма по анализу угроз Сайбл раскрыл кампанию на прошлой неделе в блоге. Сообщается, что фишинговые веб-сайты обманом заставляют посетителей загружать поддельные приложения для Android, выдающие себя за Google Wallet, PayPal и Snapchat, которые содержат банковский троян ERMAC.
BleepingComputer пояснил, что, хотя Cyble сосредоточился на вредоносном ПО для Android, гораздо более масштабная операция, нацеленная на Windows, разворачивается теми же злоумышленниками. Эта кампания включает более 90 веб-сайтов, созданных для распространения вредоносных программ и кражи ключи восстановления криптовалюты.
Typosquatting — это старый метод перенаправления путешественников из киберпространства на вредоносные веб-сайты. В этой кампании, как пояснил BleepingComputer, используемые домены очень близки к исходным: одна буква заменена на домен или добавлена буква «s».
Фишинговые сайты также выглядят подлинными, добавил он. Они либо клоны настоящих сайтов, либо достаточно подделки, чтобы обмануть случайного посетителя.
Как правило, жертвы попадают на сайты, делая опечатку в URL-адресе, введенном в адресной строке браузера, но иногда URL-адреса вставляются в электронные письма, SMS-сообщения и социальные сети.
«Типосквоттинг — это не новость, — сказал Шеррод ДеГриппо, вице-президент по исследованию и обнаружению угроз в Доказательствоохранная компания из Саннивейла, Калифорния.
«Goggle.com отправлял случайных посетителей на вредоносный сайт с попутной загрузкой вредоносных программ еще в 2006 году», — сказал ДеГриппо TechNewsWorld.
Необычный масштаб
Хотя в кампании используются проверенные методы фишинга, у нее есть некоторые отличительные черты; Об этом TechNewsWorld сообщили эксперты по безопасности.
«Масштабы этой кампании необычны, даже если техника старомодна», — заметил Майк Паркин, старший технический инженер в Вулкан Киберпоставщик SaaS для устранения корпоративных киберрисков, в Тель-Авиве, Израиль.
«Эта конкретная кампания кажется гораздо более масштабной, чем типичные попытки опечатки», — добавил Джеррод Пайкер, аналитик конкурентной разведки из Глубокий инстинкткомпания по глубокому обучению в области кибербезопасности из Нью-Йорка.
Сосредоточение внимания на мобильных приложениях — еще одно отклонение от нормы, отмечает Грейсон Милбурн, директор службы безопасности в Решения для обеспечения безопасности OpenTextглобальная компания по обнаружению угроз и реагированию на них.
«Нацеливание на мобильные приложения и связанные с ними веб-сайты с целью распространения вредоносных приложений для Android не является чем-то новым, но не таким распространенным явлением, как опечатка, нацеленная на веб-сайты с программным обеспечением Windows», — сказал он.
Что интересно в этой кампании, так это то, что она опирается как на опечатки, допущенные пользователями, так и на преднамеренную доставку вредоносных URL-адресов целям, отмечает Хэнк Шлесс, старший менеджер по решениям безопасности в Высматриватьбазирующийся в Сан-Франциско поставщик решений для мобильного фишинга.
«Кажется, это всесторонняя кампания с [a] высокие шансы на успех, если у человека или организации нет надлежащей безопасности», — сказал он.
Почему опечатка работает
Фишинговые кампании, использующие типосквоттинг, не обязательно должны быть инновационными, чтобы добиться успеха, считает Роджер Граймс, проповедник защиты в ЗнайБе4организатор обучения по вопросам безопасности в Клируотере, штат Флорида.
«Все кампании по опечаткам достаточно эффективны и не требуют дополнительных или новых уловок», — сказал он TechNewsWorld. «И есть много продвинутых трюков, таких как гомоглифические атаки, которые добавляют еще один слой, который может обмануть даже экспертов».
Гомоглифы — это символы, похожие друг на друга, такие как буква O и ноль (0) или прописная буква I и строчная буква l (EL), которые выглядят одинаково в шрифте без засечек, таком как Calibri.
«Но вы не найдете тонны этих более продвинутых атак, потому что они не нужны для успеха», — продолжил Граймс. «Зачем много работать, если можно работать легко?»
Типосквотирование работает из-за доверия, утверждает Абхай Бхаргав, генеральный директор Инженер по безопасности приложенийпровайдер обучения безопасности в Сингапуре.
«Люди настолько привыкли видеть и читать известные имена, что думают, что сайт, приложение или программный пакет с почти таким же названием и с тем же логотипом — это то же самое, что и исходный продукт», — сказал Бхаргав TechNewsWorld.
«Люди не задумываются о незначительных несоответствиях в правописании или несоответствиях в доменах, которые отличают оригинальный продукт от подделки», — сказал он.
Некоторые регистраторы доменов заслуживают порицания
Пайкер объяснил, что при вводе URL-адреса очень легко «помазать пальцем», поэтому PayPal становится PalPay.
«Он получит множество просмотров, — сказал он, — тем более, что атаки с опечатками обычно представляют собой веб-страницу, которая, по сути, является клоном оригинала».
«Злоумышленники также захватывают несколько похожих доменов, чтобы убедиться, что множество разных опечаток совпадут», — добавил он.
Нынешние системы регистрации доменов также не помогают делу, утверждает Граймс.
«Проблема усугубляется тем, что некоторые службы позволяют плохим веб-сайтам получать сертификаты домена TLS/HTTPS, что, по мнению многих пользователей, означает, что веб-сайт безопасен и надежен», — пояснил он. «Более 80% вредоносных веб-сайтов имеют цифровой сертификат. Это высмеивает всю систему инфраструктуры открытых ключей».
«Кроме того, — продолжила Граймс, — система именования доменов в Интернете сломана, что позволяет явно мошенническим регистраторам доменов в Интернете разбогатеть, регистрируя домены, которые, как легко увидеть, будут использоваться в какой-то атаке по ложному направлению. Стимулы прибыли, которые вознаграждают регистраторов за то, что они смотрят в другую сторону, являются большой частью проблемы».
Мобильные браузеры более восприимчивы
Форм-факторы оборудования также могут способствовать возникновению проблемы.
«Типосквоттинг намного эффективнее на мобильных устройствах, потому что мобильные операционные системы устроены таким образом, чтобы упростить взаимодействие с пользователем и свести к минимуму беспорядок на маленьком экране», — пояснил Шлесс.
«Мобильные браузеры и приложения сокращают URL-адреса, чтобы улучшить взаимодействие с пользователем, поэтому жертва может не увидеть полный URL-адрес, не говоря уже о том, чтобы обнаружить в нем опечатку», — продолжил он. «Люди обычно не просматривают URL-адрес на мобильных устройствах, что они могут сделать на компьютере, наведя на него курсор».
Опечатка определенно более эффективна для фишинга на мобильных телефонах, потому что URL-адреса видны не полностью, соглашается Сильвесттер Себени, директор по информационной безопасности и соучредитель Трезориткомпания, специализирующаяся на решениях для обеспечения безопасности на основе шифрования электронной почты, из Цюриха.
«Для запуска троянов не так много, потому что люди обычно используют приложения или магазины игр», — сказал он TechNewsWorld.
Как защититься от опечаток
Чтобы не стать жертвой фишинга с опечатками, Пайкер рекомендовал пользователям никогда не переходить по ссылкам в SMS-сообщениях или электронных письмах от неизвестных отправителей.
Он также посоветовал быть осторожным при вводе URL-адресов, особенно на мобильных устройствах.
ДеГриппо добавил: «В случае сомнений пользователь может напрямую ввести в Google установленное доменное имя, а не переходить по прямой ссылке».
Тем временем Шлесс предложил людям меньше доверять своим мобильным устройствам.
«Мы знаем, что на наши компьютеры нужно устанавливать решения для защиты от вредоносных программ и фишинга, но мы так доверяем мобильным устройствам, что считаем, что нет необходимости делать то же самое на устройствах iOS и Android», — сказал он.
«Эта кампания — один из бесчисленных примеров того, как злоумышленники используют это доверие против нас, — отметил он, — что показывает, почему так важно иметь защитное решение, созданное специально для мобильных угроз на вашем смартфоне и планшете».
Interpro — новости технологий и IT