Lookalike-домены и защита от них

Наши коллеги уже достаточно подробно рассказывали  о том, как киберпреступники атакуют компании через скомпрометированные почтовые адреса сотрудников, равно как и о защите от таких атак с помощью технологий SPF, DKIM и DMARC. Но несмотря на очевидные плюсы описанных решений, существует метод, способный их обойти, о нем мы и хотим рассказать.

Но начнем издалека: насколько актуальна электронная почта в наше время? Ведь в этом году мы наблюдали резкий взлет популярности ПО для видеоконференций, а в течение несколько лет до этого — такой же рост популярности мессенджеров, в частности WhatsApp и Telegram. Тем не менее электронная почта все еще остается основным средством общения в интернете, по крайней мере в деловой среде. Косвенное тому  подтверждение — рост количества и качества атак, направленных на компрометацию корпоративной почты (Business E-mail Compromise, BEC). По данным американского Центра приема жалоб на киберпреступления (Internet Crime Complaint Center, IC3), за последние пять лет финансовый ущерб от этих инцидентов вырос в семь раз.

Финансовый ущерб от BEC-атак, 2015–2019 (скачать) 

Данные за 2020 год еще не обработали, но, учитывая пандемию COVID-19 и массовый перевод сотрудников на удаленную работу, можно с уверенностью предполагать, что количество BEC-атак только выросло. Об этом же говорят и первые исследования ландшафта угроз.

Использование похожих доменов в BEC

Одной из особенностей BEC-атак является упор не на техническую составляющую (в случае с почтой возможности киберпреступников довольно ограничены), а на социальную инженерию. Как правило, технические и социальные методы комбинируют для большей эффективности.

С львиной долей комбинаций технологии SPF, DKIM и DMARC справляются более-менее эффективно. Но есть исключение — атака с использованием похожих доменов (lookalike domain). Суть метода проста: киберпреступник регистрирует домен, который с виду очень похож на домен атакуемой компании или ее контрагента. Отправленные с него письма без проблем проходят проверку подлинности домена (обманывают SPF), снабжены криптографической подписью (проскакивают DKIM) и в целом не вызывают подозрения у систем защиты. Одна проблема: это фишинговые письма. И если они написаны достаточно правдоподобно, по корпоративному шаблону, с акцентом на срочности вопроса и т. д., то жертва, скорее всего, не заметит подвоха.

Вот несколько примеров поддельных доменных имен:

Как видите, подделка отличается от оригинала всего одной буквой, которая добавлена (или удалена) с таким расчетом, чтобы подмену нельзя было обнаружить при беглом взгляде.

Чтобы получить общее представление об использовании похожих доменов, мы собрали статистику по кампаниям с использованием lookalike-подделок за третий квартал 2020-го. Проанализировав полученные данные, мы пришли к выводу, что пандемия значительно поменяла вектор мышления злоумышленников. Если до нее основной целью был финансовый сектор, то сейчас на передний план вышла сфера услуг, куда входят различные сервисы электронной коммерции: доставка продуктов, онлайн-шопинг, покупка авиабилетов и т. д. В третьем квартале на домены в этом секторе пришлось 34,7% от общего числа кампаний.

Распределение обнаруженных lookalike-доменов по категориям, Q3 2020 (скачать)

Также стоит отметить, что в течение 2020 года несколько участились атаки на IT-сектор: если в первом квартале его доля составляла 17,9%, то в третьем квартале — уже 22,2%. Это вполне ожидаемо, так как массовый переход в онлайн должен был повлиять на общую ситуацию.

Немного о lookalike-подходе

В отличие от спам-рассылок, массовых и продолжительных, атаки с использованием похожих доменов, как и любая BEC-атака, рассчитаны на определенную жертву (или круг жертв). Следовательно, писем мало и они хорошо продуманы, а срок жизни доменов крайне короток. Мы видим, что половина поддельных доменов используется единожды, а в 73% случаев адрес активен в течение одного дня.

Это приводит к тому, что классические антиспам-решения на основе сигнатурного подхода (увидели атаку — составили правило) не справляются, и возникает потребность в методах защиты, работающих на опережение. Существуют два распространенных и в то же время простых способа, которые часто выбирают компании, озабоченные защитой от lookalike-атак и им подобных.

Первый — это самостоятельная регистрация доменов с опечатками и последующей настройкой редиректа на официальный домен. Это уменьшает шансы киберпреступников на регистрацию правдоподобной подделки, но, во-первых, не устраняет угрозу полностью, а во-вторых, не препятствует подделке доменов партнеров, контрагентов и прочих организаций, с которыми компания ведет переписку.

Второй — это составление списков правдоподобных поддельных имен как для домена компании, так и для доменов партнеров и контрагентов. Их загружают в антиспам-решение, чтобы превентивно блокировать всю поступающую с подделок корреспонденцию. Главный недостаток у этого способа все тот же: невозможность предусмотреть все варианты поддельных доменов, особенно если компания работает со  многими организациями. Плюс человеческий фактор: одна опечатка в списке на десятки и сотни доменных имен приведет к бреши в защите, а худшем случае — к блокировке писем с легитимного домена вместо поддельного и дополнительной головной боли для бизнес-подразделений.

В общем, когда наших клиентов перестали устраивать стандартные решения, они пришли к нам за сложными, но более эффективными. В связи с этим мы разработали метод, который не требует пользовательского вмешательства. Если коротко, то он автоматически составляет глобальный список легитимных адресов, которые в теории могут подделать, и на его основе производит анализ и блокировку писем с lookalike-доменов. По сути, работает на опережение.

Принцип работы

Метод защиты от lookalike-атак состоит из трех основных элементов: вычисления на клиенте, проверки репутации домена в KSN (Kaspersky Secutiy Network) и вычисления на инфраструктуре. Эти этапы в свою очередь делятся на подзадачи — общий принцип изображен на схеме:

На практике все выглядит следующим образом. При получении письма домен отправителя попадает в KSN, где его сравнивают со списком уже известных нам lookalike-доменов. Если адрес найден, письмо мгновенно блокируется (шаги с 1-го по 3-й). Если же о домене отправителя ничего не известно, то письмо попадает в карантин на непродолжительный срок (шаг 4). За это время технология по заданному алгоритму проверяет адрес, и если тот признан поддельным, добавляет его в список lookalike-доменов в KSN. После выхода письма из карантина оно проходит повторную проверку (шаг 9) и блокируется, поскольку к этому моменту список lookalike-доменов уже обновлен.

Рассмотрим, как работает проверка отправителя и пополняется список lookalike-доменов. Информация об отправке корреспонденции на карантин попадает в базу KSN вместе с дополнительными метаданными, в том числе доменом отправителя (шаг 5). На первом этапе анализа домены проверяют по широкому ряду признаков, таких как WHOIS-данные, записи DNS, сертификаты и т. д. Этот этап необходим, чтобы сразу отсеять явно легитимные узлы, пока еще неизвестные нашей системе. В дальнейшем письма с таких доменов не попадут на повторный карантин, поскольку информация о них уже будет содержаться в KSN.

На втором этапе система проверяет схожесть подозрительных узлов и адресов из нашего глобального списка легитимных доменов (шаг 7), куда входят домены наших клиентов и их контрагентов. Он формируется автоматически на основе оценки частоты отправления легитимных писем с домена и равномерности потока писем среди пользователей. То, насколько полученная нами картина соответствует поведению сотрудников в плане деловой переписки, определяет репутацию домена (шаг 6). Если сходство домена мошенников с легитимным адресом велико, он также попадает в список lookalike-доменов и вся отправляемая с него корреспонденция блокируется.

Разработанный нами подход сложнее, чем простая регистрация похожих доменов на компанию, и позволяет в режиме реального времени блокировать атаки с lookalike-доменов при их первом появлении. Человеческий фактор также исключен — глобальный список легитимных доменов поддерживается в актуальном состоянии благодаря автоматическому обновлению.