Домены-двойники - в общем-то, довольно известная угроза. Многим пользователям приходил спам со ссылками на сайты наподобие odnokiassniki.ru или vkonjakte.ru, а случайная опечатка при наборе адреса во ряде случаев способна вывести ничего не подозревающую жертву на ресурс с вредоносной нагрузкой. Однако, помимо распространения вирусов, такие домены могут служить и для шпионажа.
Аналитики из организации Godai Group решили провести исследование и узнать, насколько реальна угроза утечки конфиденциальных корпоративных сведений посредством электронной почты - в результате описок и упущений при написании доменов. Например, у какой-либо компании может быть почтовый домен @mail.company.com; совсем не трудно пропустить точку и набрать @mailcompany.com, тем самым направив письмо не туда. Атаки такого рода могут быть двух видов: активные (попытка обмануть жертву и заставить ее послать письмо по адресу, очень похожему на настоящий) и пассивные (зарегистрировать домен-двойник, спокойно сидеть и собирать всю корреспонденцию, случайно отправляемую на него в результате вышеупомянутых описок). Исследователи Godai Group предпочли проверить второй способ.
Для этого они взяли список крупнейших компаний США Fortune 500 и проанализировали используемые ими почтовые домены. Выяснилось, что примерно 30% из них (151, если быть точным) потенциально подвержены таким нападениям: при ручном наборе адреса относительно легко допустить ошибку наподобие описанной выше. Собрав сведения, исследователи зарегистрировали для этих компаний домены-двойники, подняли почтовые службы и стали ждать. Эксперимент продолжался шесть месяцев; за это время в их ловушках собралось более 120 тыс. писем общим объемом в 20 ГБ. Специалисты Godai Group утверждают, что в этих сообщениях была информация на любой вкус: сведения, составляющие коммерческую тайну, деловые счета, персональные данные сотрудников, структурные схемы компьютерных сетей, аутентификационные данные (логины и пароли) и т.д.
Также аналитики отмечают, что с их фальшивыми серверами не раз пытались соединиться по служебным протоколам. Поскольку целью исследования была исключительно почта, реакция на такие действия не предусматривалась; однако специалисты подчеркивают, что можно было бы без труда поднять, например, еще и ложный SSH-сервер, после чего собирать с его помощью логин-парольные комбинации для администрирования веб-узлов.
Собранные данные исследователи, разумеется, удалили, однако изучение WHOIS-записей, проведенное ими дополнительно, показало, что у многих крупных компаний из того же списка Fortune 500 уже есть домены-двойники, подконтрольные сетевым злоумышленникам - а это означает, что их информация подвергается аналогичному риску утечки, с той лишь разницей, что киберпреступники не станут удалять извлеченные данные - напротив, они будут их внимательно изучать и делать выводы. Для предотвращения таких инцидентов Godai Group дает вполне естественные и очевидные рекомендации - заранее выкупать потенциальные домены-двойники, а в случае их занятости оформлять жалобу на имя регистратора. Если же такой вариант не помогает, можно внести подобные домены в стоп-лист почтового сервера.
The Register
Письмо автору