Что такое домены-двойники и как заметить их в кибератаках

Поддельные сайты и адреса e-mail часто используются в фишинге и целевых атаках. Как создают домен-подделку, и как это заметить?

Виды атак lookalike и защита от доменов-двойников в целевых атаках

Вы получили на работе письмо с требованием срочно сменить пароль, подтвердить период отпуска или срочно провести денежный перевод по требованию гендиректора. Подобные неожиданности могут быть началом кибератаки на организацию, и нужно убедиться, что письмо не является поддельным. Как проверить адреса e-mail в письме или ссылки на сайты?

Центральным элементом подделки обычно является имя домена, то есть часть e-mail после @ или начало адреса сайта. Оно должно вызывать доверие у жертвы. Злоумышленникам, конечно, хотелось бы воспользоваться одним из официальных доменов организации или ее поставщиков и бизнес-партнеров, но в начале атаки такая возможность у них обычно отсутствует. Поэтому при проведении целевых атак на организацию они регистрируют домен, адрес которого визуально похож на нужный им. Расчет идет на то, что вы не заметите разницы. Подобные техники называются lookalike-атаками. Дальше на домене размещаются фальшивые сайты, или связанные с ним почтовые ящики начинают рассылать поддельные письма.

В этом посте мы расскажем, какие трюки используют злоумышленники для того, чтобы жертва не заметила подмену домена.

Омоглифы: разные буквы — одинаковое написание

В имени домена можно использовать буквы, внешне очень похожие или вообще неразличимые на вид. Например, строчная английская L (l) во многих шрифтах неотличима от заглавной i (I), поэтому, отправив письмо с адреса JOHN@MlCROSOFT.COM, хакер может обоснованно надеяться, что на вид подделку почти никто не отличит. А ведь на самом деле отправитель шлет письма с почты john@mLcrosoft.com!

Число таких коварных двойников увеличилось после того, как домены разрешили регистрировать на разных языках, включая те, что не используют латиницу. Греческая «ο», русская «о» и латинская «o» вообще неотличимы на вид, но для компьютера это — три разные буквы. Можно зарегистрировать много разных доменов, которые будут выглядеть как Microsоft.cοm, меняя одну или несколько О на ее «близнецов». Подобные атаки с использованием визуально похожих символов называются омоглифическими или омографическими (homoglyph, homograph).

Комбосквоттинг: убедительные дополнения

Популярной техникой последних лет стали комбинационные атаки (комбосквоттинг, combosquatting). Чтобы сымитировать письмо или сайт нужной организации, создают домен, сочетающий ее имя и подходящее вспомогательное слово, например Microsoft-login.com или SkypeSupport.com. Тема письма и окончание имени домена должны подходить друг другу — например, предупреждение о несанкционированном входе в почтовый аккаунт может вести на сайт outlook-alert.

Ситуация усугубляется тем, что у некоторых организацией действительно есть домены с подобными вспомогательными частями: например, login.microsoftonline.com — легитимный сайт Microsoft.

Согласно исследованию Akamai, самыми популярными «хвостами» для комбинационных атак являются: support, com, login, help, secure, www, account, app, verify, service. Стоит отдельно отметить в этом списке www и com. Они часто встречаются в названиях веб-сайтов, и можно не заметить отсутствие точки там, где она должна быть: wwwmicrosoft.com, microsoftcom.au.

Замена домена верхнего уровня

Иногда злоумышленникам удается зарегистрировать двойника в другом домене верхнего уровня, например microsoft.co вместо microsoft.com или office.pro вместо office.com. Имя подделываемой компании в этом случае не содержит никаких изменений. Такая техника называется TLDsquatting.

Эта замена может быть очень эффективна. Недавно стало известно о том, что более 10 лет различные контрагенты и партнеры Минобороны США ошибочно направляли письма на домен .ML, принадлежащий государству Мали, вместо домена .MIL, принадлежащего Минобороны. Представитель голландской компании-регистратора только за 2023 год собрал более 117 тысяч писем, ошибочно направленных в Мали вместо Минобороны.

Тайпсквоттинг: домены с опечаткой

Самый простой и самый ранний способ производства сайтов-двойников — эксплуатация различных опечаток, которые легко сделать при наборе и трудно заметить, читая имя домена. Вариаций тут может быть довольно много: добавление или удаление удвоений (ofice.com вместо office.com), добавление или удаление пунктуации (cloud-flare или c.loudflare вместо cloudflare), замена похожих или созвучных букв (savebank вместо safebank) и так далее.

Тайпсквоттинг (typosquatting, буквально «самозахват опечаток») изначально был оружием спамеров и рекламных мошенников, но сегодня все эти уловки используются совместно с подделкой содержимого сайтов и создают убедительную цепочку для целевого фишинга и компрометации бизнес-переписки (BEC).

Как защититься от доменов-двойников и lookalike-атак

Сложнее всего заметить неладное при использовании атакующими омоглифов, при этом они почти никогда не используются в легитимных целях. Поэтому от подобных атак стараются защитить создатели браузеров и отчасти доменные регистраторы. В некоторых доменных зонах запрещено регистрировать имена, в которых сочетаются символы разных алфавитов. Но во многих других доменах верхнего уровня такой защиты нет, поэтому надеяться приходится только на защитные инструменты компьютера. Правда, многие браузеры особым образом выводят доменные имена, в которых смешаны буквы разных алфавитов. В таких случаях они отображают адрес сайта в режиме punycode, и он выглядит примерно так: xn--micrsoft-qbh.xn--cm-fmc (это отображение сайта microsoft.com с двумя русскими О).

Защита от тайпсквоттинга и комбосквоттинга в первую очередь основана на внимательности. Чтобы развить ее, мы советуем каждому сотруднику пройти специальный базовый ИБ-тренинг, в котором можно научиться замечать основные трюки в фишинге.

К сожалению, арсенал злоумышленников очень широк, и одними атаками lookalike дело не ограничивается. Против аккуратно проведенных атак, специально разработанных под конкретную организацию, простой внимательности недостаточно. Например, в этом году атакующие создали фальшивый сайт, полностью имитирующий служебный портал reddit для сотрудников, и успешно скомпрометировали компанию. Поэтому ИБ-команда должна позаботиться не только о тренингах для сотрудников, но и важных инструментах защиты, таких как:

Советы