Эксперимент: опечатка — тоже угроза безопасности

12 сентября 2011 года

Двое исследователей из компании Godai Group, занимающейся проблемами кибербезопасности, провели эксперимент, который еще раз доказал гигантские масштабы размаха бизнеса тайпсквоттеров.

Тайпсквоттинг (от английского type - печатать + squatting – незаконное заселение) – это регистрация доменных имен, близких по написанию с адресами популярных сайтов, в расчете на случайную ошибку части пользователей при написании доменного имени.

Например, многим пользователям приходил спам со ссылками на сайты наподобие odnokiassniki.ru или vkonjakte.ru, а случайная опечатка при наборе адреса во ряде случаев способна вывести ничего не подозревающую жертву на ресурс с вредоносным ПО.

Атаки такого рода могут быть двух видов: активные (попытка обмануть жертву и заставить ее послать письмо по адресу, очень похожему на настоящий) и пассивные (зарегистрировать домен-двойник, спокойно сидеть и собирать всю корреспонденцию, случайно отправляемую на него в результате вышеупомянутых описок).

Исследователи Godai Group проверили именно второй способ, когда домены-двойники могут служить для шпионажа. Для этого они зарегистрировали 500 доменов-двойников, которые по написанию очень похожи на домены компаний из списка Fortune 500. В результате полугодовой работы данных доменов-двойников и почтовых серверов на них было собрано 20 гигабайт электронных писем, пришедших не по нужному адресу, сообщает CyberSecurity.ru.

Для регистрации доменов авторы эксперимента не использовали никаких трюков, а просто положились на человеческую невнимательность. Например, надеясь перехватить данные шведских сотрудников корпорации IBM, почтовый сервер которых работает в домене se.ibm.com, они просто зарегистрировали домен seibm.com.

Среди перехваченных исследователями писем оказались закрытые корпоративные данные, логины и пароли для корпоративных систем, данные о конфигурации корпоративных сетей, различные деловые документы и множество других сведений.

Специалисты говорят, что если бы они были реальными хакерами или мошенниками, то полученные сведения можно было бы продать конкурентам за очень неплохие деньги.

"Двадцать гигабайт - это много информации за полгода, особенно если учесть, что для ее сбора мы не делали вообще ничего, просто держали включенными почтовые серверы. И никто в компаниях-жертвах понятия не имел о том, что их секретные корпоративные данные утекают в третьи руки", - говорит Питер Ким, один из авторов исследования.

В отчете говорится, что из списка "Топ-500" крупнейших мировых компаний 151 компания или 30% уязвимы перед "атаками" такого рода. Данные компании работают в разных секторах экономики: торговле, технологиях, банковской сфере, интернет-коммуникациях.

Авторы исследования также отмечают, что для значительного числа компаний многочисленные варианты доменов-двойников уже заняты, причем в подавляющем большинстве случаев тайпсквоттерские домены принадлежат китайским владельцам.

Для предотвращения подобных угроз Godai Group рекомендует заранее выкупать потенциальные домены-двойники, а в случае их занятости оформлять жалобу на имя регистратора. Если же такой вариант не помогает, следует внести подобные домены в стоп-лист почтового сервера.