Представьте ситуацию: звонит недовольный клиент и говорит, что еще две недели назад оплатил на вашем сайте товар или услугу, но до сих пор его не получил. А вы впервые об этом слышите. Или при очередном анализе утечек вы обнаружили утечку корпоративных логинов и паролей для доступа к вашей CRM. Или при совершении платежа на сайте удаленного банковского обслуживания кто-то смог подменить сумму и получателя. Вы обнаружили подлог только благодаря уведомлению с SMS-кодом. Все эти ситуации могли стать результатом работы поддельных сайтов, размещенных на фишинговых доменах, имитирующих имя оригинального домена. Они создаются злоумышленниками для: Кражи логинов, паролей, банковских данных; Обмана клиентов (например, заказ фальшивых услуг); Подрыва репутации компании. Как выглядит фишинговое доменное имя? Для создания поддельных доменных имен используются разные техники: 1. Тайпсквоттинг (typosquatting) Создание домена с ошибкой в написании, рассчитанное на невнимательность пользователя. Примеры: compnay.ru вместо company.ru (перестановка букв) comapny.ru (опечатка) cornpany.ru ("rn" вместо "m") ccompany.ru (дублирование символа) compny.ru (пропущенная буква) 2. Использование поддоменов Размещение названия легитимной компании в поддомене, чтобы замаскировать подлинность сайта. Примеры: company.login-secure.ru bankofamerica.customerserviceupdate.info 3. Использование альтернативных доменных зон Примеры: company.net вместо company.ru company.biz, company.co, company.shop, company.online, company.cloud 4. Гомографические атаки (IDN-spoofing) IDN (Internationalized Domain Names — интернационализованные доменные имена) — это доменные имена, которые содержат символы национальных алфавитов, например, президент.рф Unicode включает в себя множество систем письма, и одинаково выглядящие символы, такие как греческое Ο, латинское О и кириллическое О, будут иметь разные коды. Примеры: cоmpanу.com — кириллическая "о", а не латинская "o", кириллическая "у", а не латинская "y" ѕuррort.com — вместо латинской "p" используется кириллическая "р" аррӏе.com все буквы заменены на кириллицу (вместо l используется буква «палочка» из расширенной кириллицы) 5. Добавление ключевых слов Домен дополняется доверительными словами. Примеры: secure-company.ru company-login.net company-support-ticket.com 6. Зеркала сайта (клонирование содержимого) Фишинговый домен полностью копирует внешний вид оригинального сайта, включая: HTML-код; логотипы, иконки; формы входа и оплаты. Пользователь визуально не отличит подделку, если не проверит URL-строку или сертификат. 7. Использование похожих доменов с другой раскладкой Примеры: kompany.ry kompaniya.ru Актуально для компаний, чьё имя — транслитерация с кириллицы или используется как бренд в разных языках. Как обнаружить поддельные сайты? С помощью онлайн-сервиса dnstwister.report можно проверить наличие возможных фишинговых доменов, сгенерированных на основе тайпсквоттинга, гомографов и т. д. Например, для доменного имени «sberbank.ru» сервис обнаружил 76 существующих похожих доменов, среди которых: cberbank.ru sderbank.ru sberbanks.ru sberbahk.ru sberbnak.ru sber-bank.ru sberbanc.ru sberbank.online sberbank.co www-sberbank.ru Все они очевидно являются фишинговыми. Еще одним способом отследить создание клона сайта является использование токенов, созданных с помощью сервиса canarytokens.org. Разместите полученный токен на сайте так, чтобы если злоумышленник скопирует ваш сайт целиком (как часто делают при фишинге), то вместе с остальным HTML-кодом скопирует и токен. Как только кто-то откроет поддельный сайт с этим токеном вы получите уведомление на почту. Таким образом узнаете не только о фишинговой активности раньше, чем это заметят клиенты, но еще и адрес, где размещена копия. Как злоумышленники заставляют пользователей переходить на поддельные сайты? 1. С помощью манипуляций поисковой выдачей Можно добиться, что поддельный сайт кратковременно окажется в поисковой выдаче выше оригинала. 2. С помощью фишинговых писем (e-mail) Письма с темой «Счет», «Ваша учетная запись будет заблокирована», «Подтвердите данные», «Пройдите обучение», «Ознакомьтесь с расчетным листком» и т.д. Ссылки в письмах ведут на поддельные страницы авторизации. 3. С помощью перехвата трафика в публичных сетях Wi-Fi Злоумышленник разворачивает в публичном месте (в кафе) сеть Wi-Fi с похожим названием и перенаправляет пользователей на поддельную страницу. 4. С помощью различных атак на DNS подменяется IP-адрес целевого домена Например, с помощью подмены файла hosts на компьютере жертвы, или атаки заражением DNS. 5. С помощью вредоносных расширений браузера или ПО Например, вредоносная прошивка на роутере или вредоносное расширение в браузере могут подменять URL-адреса сайтов на фальшивые. 6. Посещение легитимного, но скомпрометированного сайта ведет к перенаправлению на фальшивый домен (например, через вредоносный JavaScript). Что делать, чтобы не стать жертвой злоумышленников? Пользователям: Проверяйте адрес сайта. Будьте внимательны к написанию домена, ошибкам в орфографии, проверяйте доменную зону: .ru, .com, .net. Проводите визуальный анализ сайта — логотип, форма входа. Если дизайн "похож, но не такой". Проверяйте содержимое SSL-сертификата: кем выдан, на кого. HTTPS (замочек) есть у всех — но это не гарантия подлинности. Не переходите по подозрительным ссылкам. Наведите мышкой на ссылку — проверьте, куда она ведёт до нажатия. Адрес типа support@company.ru отличается от support@company-security.ru. Часто используют подмену имени: письмо может выглядеть как от «Company», но адрес будет yandex@gmail.com Проверяйте URL-ссылки и адреса сайтов с помощью онлайн-сервиса virustotal.com. Он определит злонамеренное содержимое. Будьте осторожны с Wi-Fi в кафе и гостиницах. Никогда не заходите в интернет-банк или корпоративные сервисы через публичные Wi-Fi без VPN. Не ставьте подозрительные расширения и программы. Расширения браузера могут видеть и подменять содержимое страниц. Скачивайте ПО только с официальных сайтов. Храните пароли в менеджере паролей. Он подскажет, если адрес сайта не совпадает с ожидаемым. Владельцам сайтов: Настройте защиту почты от подделки. Для этого настройте DNS-записи для вашего домена: SPF, DKIM, DMARC. Настройте на сайте механизм, принудительно активирующий защищённое соединение через протокол HTTPS (HSTS). Информируйте сотрудников и клиентов какие адреса и домены являются официальными. Например, создайте раздел «company.ru/security», в котором перечислены все официальные e-mail, телефоны, домены. Используйте двухфакторную аутентификацию в почте, корпоративных системах, CRM, мессенджерах. Даже если злоумышленник получит ваш пароль — без кода он не зайдет. Автоматическая киберзащита для вашего бизнеса Регулярный контроль чувствительных данных компании, понятные отчёты и экспертная поддержка с точными рекомендациями. запросить демо Советы по ИБ на практике Поделиться
