Эксперимент: опечатка — тоже угроза безопасности

Двое исследователей из компании Godai Group, занимающейся проблемами кибербезопасности, провели эксперимент, который еще раз доказал гигантские масштабы размаха бизнеса тайпсквоттеров.

Тайпсквоттинг (от английского type — печатать + squatting — незаконное заселение) — это регистрация доменных имен, близких по написанию с адресами популярных сайтов, в расчете на случайную ошибку части пользователей при написании доменного имени.

Например, многим пользователям приходил спам со ссылками на сайты наподобие odnokiassniki.ru или vkonjakte.ru, а случайная опечатка при наборе адреса во ряде случаев способна вывести ничего не подозревающую жертву на ресурс с вредоносным ПО.

Атаки такого рода могут быть двух видов: активные (попытка обмануть жертву и заставить ее послать письмо по адресу, очень похожему на настоящий) и пассивные (зарегистрировать домен-двойник, спокойно сидеть и собирать всю корреспонденцию, случайно отправляемую на него в результате вышеупомянутых описок).

Исследователи Godai Group проверили именно второй способ, когда домены-двойники могут служить для шпионажа. Для этого они зарегистрировали 500 доменов-двойников, которые по написанию очень похожи на домены компаний из списка Fortune 500. В результате полугодовой работы данных доменов-двойников и почтовых серверов на них было собрано 20 гигабайт электронных писем, пришедших не по нужному адресу, сообщает CyberSecurity.ru.

Для регистрации доменов авторы эксперимента не использовали никаких трюков, а просто положились на человеческую невнимательность. Например, надеясь перехватить данные шведских сотрудников корпорации IBM, почтовый сервер которых работает в домене se.ibm.com, они просто зарегистрировали домен seibm.com.

Среди перехваченных исследователями писем оказались закрытые корпоративные данные, логины и пароли для корпоративных систем, данные о конфигурации корпоративных сетей, различные деловые документы и множество других сведений.

Специалисты говорят, что если бы они были реальными хакерами или мошенниками, то полученные сведения можно было бы продать конкурентам за очень неплохие деньги. "Двадцать гигабайт — это много информации за полгода, особенно если учесть, что для ее сбора мы не делали вообще ничего, просто держали включенными почтовые серверы. И никто в компаниях-жертвах понятия не имел о том, что их секретные корпоративные данные утекают в третьи руки", — говорит Питер Ким, один из авторов исследования. В отчете говорится, что из списка "Топ-500" крупнейших мировых компаний 151 компания или 30% уязвимы перед "атаками" такого рода. Данные компании работают в разных секторах экономики: торговле, технологиях, банковской сфере, интернет-коммуникациях.

Авторы исследования также отмечают, что для значительного числа компаний многочисленные варианты доменов-двойников уже заняты, причем в подавляющем большинстве случаев тайпсквоттерские домены принадлежат китайским владельцам.

Для предотвращения подобных угроз Godai Group рекомендует заранее выкупать потенциальные домены-двойники, а в случае их занятости оформлять жалобу на имя регистратора. Если же такой вариант не помогает, следует внести подобные домены в стоп-лист почтового сервера.