Тайпсквоттинг как способ перехвата служебной переписки

Специалисты по информационной безопасности из Godai Group LLC обнаружили, что 30% компаний из списка Fortune 500 уязвимы к целевым атакам через электронную почту, использующим близкие по написанию доменные имена.

Злоумышленники регистрируют домены-двойники мишеней в расчете на ошибку пользователей, осуществляющих набор адреса вручную. Как правило, подставные сайты используются ими для фишинга или распространения зловредов. Однако, подняв на таком домене почтовый сервер, тайпсквоттер имеет шанс завладеть конфиденциальной информацией, отосланной сотруднику целевой организации письмом с характерной опечаткой в адресе. Возможны также кибератаки типа man-in-the-mailbox (MitMB), когда злоумышленник контролирует домены-двойники интересующих его получателя и отправителя, отлавливает «заблудившиеся» письма на своем почтовике и использует скрипт для автоматической пересылки этих посланий легальным адресатам, ― дабы те не обнаружили перехват.

Экспериментаторы из Godai Group взяли в качестве объекта одну характерную опечатку ― пропуск символа в доменном имени. Они зарегистрировали домены-двойники компаний из списка Fortune 500, опустив точку между именем узла и доменом (например, uscompany.com вместо исходного us.company.com), и подняли на них почтовые службы. За полгода на этих ловушках скопилось свыше 120 тыс. писем суммарным объемом 20 ГБ. В них оказалась масса любопытной информации: личные данные служащих, персональные идентификаторы, платежная документация, схемы внутренних сетей, ― даже сведения, составляющие коммерческую тайну. (Авторы исследования не преминули подчеркнуть, что по окончании эксперимента вся переписка была уничтожена.)

Исследователи зарегистрировали также слабый трафик на портах 22 (SSH) и 3389 (RDP). Это означает, что при наличии соответствующего подставного сервера злоумышленник может наладить перехват идентификаторов для удаленного администрирования.

По оценке Godai Group, наиболее уязвимы к атакам тайпсквоттеров специализированные сервисы розничной торговли, коммерческие банки, телеоператоры и поставщики продуктов питания [PDF 564 Кб]. Домены-двойники есть у многих поставщиков передовых технологий, таких как Cisco, IBM, Dell, HP, Yahoo, Intel, GM, ITT, Unisys. Эти ловушки зарегистрированы, в основном, в Китае; многие из них уже собирают пользовательскую информацию для фишеров или раздают зловредов.

Во избежание перехвата конфиденциальной информации с помощью тайпсквоттинга исследователи рекомендуют компаниям регистрировать разные варианты доменного имени с учетом возможных опечаток. Если домен-двойник уже куплен другим лицом, можно попробовать оспорить правомерность его регистрации. Нелишне также настроить корпоративные DNS- и почтовые службы на блокировку отправки писем на адреса с такими именами.