Kako uloviti ribiča?

Spletno ribarjenje oziroma phising napadi še vedno ostajajo najpogostejši vektor napada, vendar taki, kot smo jim bili priče pred nekaj leti, niso več uspešni. Večina poštnih strežnikov namreč prepozna sumljiva sporočila, zato ta romajo v neželeno pošto. Podobno nas brskalniki opozarjajo na ponarejene spletne strani z neveljavnim ali neobstoječim SSL-certifikatom. Nenazadnje se tudi uporabniki zavedajo nevarnosti in postajajo pazljivejši.

Po drugi strani tudi spletni tatovi po­stajajo čedalje bolj prefinjeni. Pame­tni telefoni, SMS-sporočila in aplika­cije za hipno sporočanje so postali nove vsto­pne točke. Registrirajo domene in poddome­ne, ki so podobne legitimnim domenam ali storitvam, ki jih poskušajo kopirati. Z registri­rano domeno lahko ustvarijo popolnoma le­gitimno e-sporočilo (SPF, DKIM, DMARC), ki ga tehnološka zaščita poštnega strežnika ne bo prepoznala kot sumljivega. Storitve, kot je Let's encrypt ali podobne, pa omogočajo iz­dajo zaupanja vrednega certifikata, s katerim okrepijo zaupanje v ponarejeno spletno stran.

Kako lahko to preprečimo? Še vedno je osnovna linija obrambe ozaveščanje uporab­nikov. V nekaterih primerih pa to ni mogoče. Na udaru so predvsem storitve, kot so e-ban­čništvo, spletne trgovine, ponudniki zaupa­nja vrednih storitev, ki so namenjene velike­mu številu zunanjih uporabnikov. Ponudnik storitve nima možnosti uvedbe tehnične za­ščite niti uspešnega ozaveščanja uporabnikov. Edina zaščita, ki obstaja, je, da se takšen napad čim prej zazna in prepreči.

Kako lahko prepoznamo lažno spletno stran in se izognemo spletnem ribarjenju?

Če želimo preprečiti takšne napade, je treba razmišljati tako kot napadalec. Za uspešno iz­vedbo bo moral spletni tat registrirati dome­no, ki bo podobna domeni storitve oziroma blagovne znamke, ter nato postaviti ustrezno infrastrukturo: spletno stran s SSL-certifika­tom in poštni strežnik z ustreznimi nastavitva­mi. Nekaj časa bo moral posvetiti tudi temu, da bo okrepil zaupanje, tako da ga bodo Goo­gle in podobne storitve prepoznali kot zaupa­nja vredno domeno. V okviru storitev SRC.SE­CURE smo zato začeli razvoj rešitve, ki bo zna­la poiskati takšne nepridiprave in pravočasno preprečiti ali ublažiti phishing napad. Avtoma­tizirana programska rešitev temelji na treh ravneh obrambe.

Prva raven je iskanje vseh podobno regi­striranih domen. Recimo, da je domena ozi­roma blagovna znamka, ki jo želimo, zaščiti­ti banka.si. Najprej poiščemo vse vrhnje do­mene te domene : banka.xyy, nato t. i. typo­sqating domen (baanka.si) ter t. i. punyco­de domen. Vse to poteka po različnih vrhnjih domenah. V preteklosti smo bili priče tudi napadom, kjer se bile domene registrirane kot kom­binacija storitve in blagovne znamke (primer spletna-banka. si), zato smo dodali tudi nekaj ključnih besed, ki opisujejo sto­ritev (na primer ime mobilne ali spletne banke). Ponovimo zgor­nji postopek še kot kombinaci­jo tega. Primera mogočih kom­binacije sta spletna-banka.xxx ali spletna.ba.nka.xxx.

Če se napadalec odloči, da bo uporabil domeno, ki ni pove­zana z blagovno znamko, nam zgornji pristop ne pomaga kaj dosti. Tu nastopi druga raven obrambe. Napadalec lahko re­gistrira domeno mobilna.xxx ter za phising na­pad naredi poddomeno banka.mobilna.xxx. Pri zaznavanju tovrstnih napadov nam poma­ga t. i. Certificate Trasparency (CT). CT so javno objavljeni zapisi o izdanih certifikatih SSL/TLS certifikatskih agencij. S spremljanjem vseh iz­danih certifikatov iščemo ključne besede, po­vezane s storitvijo. Število izdanih certifikatov je nekje med 200 in 300 na sekundo. Postopek iskanja lažnih spletnih strani je avtomatiziran in teče 24x7. Za slovenske banke dobimo pri­bližno deset alarmov dnevno, pri čemer jih je večina lažno negativnih. Rešitev tudi sproti preverja status domene (whois), ali je spletna stran »živa«, in podobnosti spletne strani v pri­merjavi s spletno stranjo, ki jo ščitimo. V pov­prečju tedensko najdemo do tri sumljive do­mene.

Tretji steber obrambe je nato iskanje do­men po obstoječih repozitorijih phishing na­padov, kot so PhishTank, potekle domene in podobno. Tu gre predvsem za domene, ki so bile nekoč že označene kot phishing napad, is­kanje domen, povezanih z blagovno znamko, ter nato aktivno spremljanje.

Kakšne so naše izkušnje? Poskusi tatvin spletnega ribarjenja, ki smo jih odkrili, so obi­čajno aktivni le kakšen dan ali dva. Preseneti­lo nas je veliko število »spečih domen«. Gre za tiste, ki so očitno pripravljene za izvedbo na­pada, vendar lažna spletna stran še ni aktivna. Več indikatorjev kaže, da za tem stoji ena sku­pina: recimo različne domene je registrirano isto podjetje, skupni DNS-strežnik in podob­no … Prav zato smo še nekoliko nadgradili re­šitev, tako da se samodejno spremlja vse su­mljive domene.

V povezavi s tatvinami, ki so posledica ribar­jenja, imamo v okviru SRC.SECURE tudi druge storitve: od izvedbe kampanj simulacij napa­dov z ribarjenjem v povezavi z ozaveščanjem uporabnikov do ocene in izpostavljenosti do­ločene blagovne znamke kibernetskim napa­dom s spremljanjem dogajanja na temnem spletu in ostalih kanalih. Za več informacij smo na voljo na security@src.si.