Отчеты

Ключевые выводы из отчета о подражании домену за 2023 год

Одна из самых распространенных и неизбежных угроз в Интернете, олицетворение домена может использоваться злоумышленниками в качестве основы для широкого спектра атак. Различные способы, с помощью которых киберпреступники используют похожие домены, часто колеблются, и первая половина 2023 года продемонстрировала этот факт. Чтобы оставаться на высоте безопасности и не стать жертвой этих атак, необходимо знать, в чем заключаются опасности, и отслеживать угрозы, которые могут возникнуть. В отчете о подражании доменам за 2023 год от Fortra рассматриваются последние тенденции в области похожих доменов, злоупотреблений доменами верхнего уровня и подделки доменов электронной почты, чтобы проинформировать читателей о текущем ландшафте угроз, связанных с подражанием доменам.

Объем домена, похожий на H1

В первом полугодии 2023 года бренды ежемесячно посещали в среднем 39,4 похожих домена с общей тенденцией к росту. Средние показатели с января по май варьировались от 27,29 до 37,23 похожих доменов в месяц, но изменение с мая по июнь показало увеличение более чем на 120%. Одним из факторов, способствующих такому росту, является увеличение числа похожих доменов, ориентированных на определенные отрасли, включая технологический, розничный, производственный и финансовый секторы. Это также нашло отражение в значительном увеличении числа атак на трех ведущих провайдеров веб-почты.

Из-за огромного количества способов, которыми злоумышленники могут воспользоваться похожими доменами, полезно разбить эти методы на категории. В отчете контент, размещенный на похожих доменах, классифицируется по четырем отдельным группам: не относящийся к делу контент, фирменный контент, перенаправления и вредоносный контент. Категория “не относящийся к делу контент” применяется к случаям, когда домен отображает атрибуты бренда, но не размещает вредоносный контент, часто показывая рекламу только целевой аудитории. На сайты этого типа приходилось 86% похожих доменов в первой половине 2023 года.

Самые похожие типы доменных угроз

Другие категории похожих доменов — фирменный контент, ошибочные ссылки и вредоносный контент — могут представлять угрозу для цели. Похожие домены, на которых размещен фирменный контент, на долю которого пришлось 53,4% этих угроз, – это домены, на которых размещен контент, связанный с организацией, часто включающий логотипы и названия брендов для усиления иллюзии. Перенаправления, составляющие 36,3% похожих доменных угроз, – это домены, которые перенаправляют пользователя на веб-сайт третьей стороны или конкурента.

Вредоносные двойники, на долю которых пришлось 10,3% угроз в первом полугодии 2023 года, представляют собой домены, на которых размещен контент, связанный с любым количеством онлайн-мошенничеств или атак или способствующий им. Из похожих доменов, подпадающих под эту категорию, более трех четвертей (76,95%) были доменами, на которых размещался фишинговый контент, например, те, которые пытались заставить цели ввести учетные данные для входа. Мошенничество с криптовалютами составило 17,2% доменов, похожих на вредоносный контент, за которыми следуют поддельные сайты (4,41%) и вредоносная активность, такая как вредоносное ПО (1,44%).

Злоупотребление доменом верхнего уровня

Первое полугодие 2023 года показало необычные уровни колебаний в типах доменов верхнего уровня (TLD), используемых в фишинговых кампаниях, что привело к отказу от обычных поставщиков бесплатной регистрации и появлению новых и платных TLD в первой десятке. Во втором квартале половина из десяти наиболее подверженных злоупотреблениям TLD были новыми, и во многих произошли значительные изменения в объеме. Несколько TLD из первой десятки могут использоваться в сочетании с URL-адресом бренда или отрасли, чтобы ввести цели в заблуждение. К ним относятся новые общие ДВУ (gTLD) .APP и .SHOP, которые продемонстрировали значительный рост злоупотреблений и “были бы идеальным выбором для ориентации на технологическую компанию или розничный бренд”.

В этом отчете впервые отмечается, что на ДВУ с кодами стран (ccTLD) приходится наибольшая доля злоупотреблений ДВУ – почти 46%. Увеличилось количество злоупотреблений всеми четырьмя доменами верхнего уровня ten-.PL , .CO, .ID и .FR – но наиболее значительными скачками были .PL, что на 246% больше, чем в первом квартале, и .FR, рост на 699% по сравнению с первым кварталом. Общий объем устаревших gTLD снизился на 18,5% по сравнению с первым кварталом, при этом .COM снизился на 8,5%, но в долгосрочной перспективе остается наиболее уязвимым TLD. Напротив, домен .ORG опустился со второго по частоте злоупотреблений на седьмое место между 1 и 2 кварталами. Новые TLD от Google, хотя и не злоупотребляли ими настолько, чтобы попасть в десятку лучших, в июне, в частности, использовались для фишинга: два инцидента были связаны с TLD .ZIP и восемнадцать – с .DAD.

Подмена домена электронной почты

Помимо похожих доменов, злоумышленники также могут различными способами использовать подмену в электронных письмах. Адреса отправителей электронной почты могут быть подделаны без необходимости киберпреступнику фактически регистрировать домен, выдаваемый за другой. Атаки с подменой домена выдают бренд за не реальный домен, а отображаемое имя, прикрепленное к сообщению электронной почты. Наиболее часто используемые категории подмены доменов – это самозванцы с отображаемыми именами брендов (используются в 62,36% случаев подмены электронной почты в этом отчете), самозванцы с отображаемыми именами отдельных пользователей (34,54%) и домены-двойники (3,10%).

Атака с использованием самозваного имени бренда и атака с использованием самозваного имени отдельного пользователя основаны на том, что почтовый клиент показывает получателю отображаемое имя и скрывает фактический адрес электронной почты. Адрес электронной почты не имеет значения, пока цель видит отображаемое имя и принимает его за чистую монету, полагая, что электронное письмо пришло от бренда или частного лица, чье имя используется. Подмена домена-двойника в электронных письмах требует, чтобы злоумышленник использовал домен электронной почты, похожий на домен, за который он себя выдает, часто отличающийся на один символ.

Заключение

Важно распознавать и понимать угрозы, исходящие от киберпреступников, использующих олицетворение домена. Многие кибератаки основаны на том, что жертва верит, что похожий домен является реальным, и реагирует соответствующим образом, часто рискуя своими данными, учетными данными для входа или финансовыми активами в процессе.

Количество похожих доменов, ориентированных на каждый бренд в месяц, в этом году имело тенденцию к росту, причем к концу первого полугодия произошел резкий скачок. В первой половине этого года наблюдались значительные колебания во многих областях, касающихся олицетворения домена, и следование этим тенденциям является первым шагом в защите от подобных типов атак.

admin
Author: admin