З канца 2023 года спецыялістамі нацыянальнага цэнтра рэагавання на камп’ютарныя інцыдэнты (CERT.BY) зафіксавана тэндэнцыя ў выкарыстанні злачынцвамі даменаў, якія мімікрыруюць пад легітымныя. Гэты від кібермахлярства называецца тайпсквотынг – рэгістрацыя даменных імёнаў, блізкіх па напісанні з адрасамі папулярных сайтаў, у разліку на памылку часткі карыстальнікаў. Амаль заўжды выкарыстоўваецца для фішынгу, каб усыпіць пільнасць ахвяры і ўкрасці з дапамогай падробленага рэсурсу лагін, пароль, дадзеныя карткі і іншую інфармацыю.
Каб падрабіць ліст або сайт патрэбнай арганізацыі, злачынцы ствараюць дамен, які спалучае імя і прыдатнае дапаможнае слова, напрыклад, Microsoft-login[.]com або SkypeSupport[.]com.
Сітуацыя пагаршаецца тым, што ў некаторых арганізацыях сапраўды ёсць дамены з падобнымі дапаможнымі часткамі, напрыклад, login.microsoftonline.com — легітымны сайт Microsoft.
Аднак у апошні час гэтую тэхналогію выкарыстоўваюць больш выдасканалена.Злачынцы рэгіструюць даменныя імёны, падобныя назвай да антывірусных рашэнняў, і «прывязваюць» да іх свае ўласныя камандныя цэнтры шкоднаснага праграмнага забеспячэння.
Такім чынам пры праверцы ў сістэмах маніторынгу запытаў на дазвол даменнага імя спецыялісты кібербяспекі могуць выпусціць ілжывыя дамены з-пад увагі, сустрэўшы звыклаю для сябе назву, а то і зусім, адзначыць, як легітымную.
У мэтах барацьбы з кіберпагрозамі ніжэй прыведзены прыклады даменаў, выяўленыя CERT.BY, якія выкарыстоўваюцца пэўнай групай злачынцаў у якасці камандных цэнтраў ШПЗ:
- api.kaspersky[.]one
- api.kaspersky[.]codes
- sync.kaspersky[.]codes
- kaspersky[.]agency
Больш за тое, ва ўзаемасувязі з эксплуатацыяй легальных сродкаў выдаленага доступу, якія ўжываюцца зламыснікамі, і асаблівасцямі працы ШПЗ, выяўленне такіх кіберпагроз значна ўскладняецца.
Для выяўлення зваротаў па пазначаных даменных імёнах звычайна выкарыстоўваецца аналіз даменных імёнаў у трафіку. Варта звярнуць увагу, што ў сувязі з выкарыстаннем тэхнікі мімікрыі даменных імён арганізацыі пошук неабходна праводзіць па асноўнай частцы дамена без уліку даменнай зоны.
Пры выяўленні, просім паведаміць на support@cert.by.
Для зручнасці і своечасовага паведамлення аб навінах падпісвайцеся на нас у сацыяльных сетках:
