Не ошибитесь адресом: разбираемся в видах веб‑мошенничества

Эксперты не устают повторять, что кибератаки в последние два года происходят в разы чаще. Под словом «кибератака», наверное, сразу представляется что ‑то такое сложное, требующее глубокого понимания технологий. Конечно, бывают атаки высокие по сложности и цене, но есть и варианты, которые сможет реализовать даже ребенок на своем телефоне, поэтому и желающих попробовать свои силы в киберпреступности становится на порядок больше. Среди таких несложных угроз — опасные ссылки.

Даже знакомая и понятная ссылка может вести в ловушку. Все происходит как в сказке про Красную шапочку: вы приходите по нужному адресу, внутри все привычное, но вместо бабушки вас поджидает волк. В этой статье Лариса Болдырева, старший разработчик Solar webProxy, расскажет про все типы волков и как они могли проникнуть в домик. #солар_советует

Сразу предупредим — даже зная, как выглядит волк, можно угодить ему в пасть. Надежнее иметь под рукой знающего охотника. Речь идет о приложении — категоризаторе веб-содержимого, которое переходит по адресу раньше человека и дает свой вердикт. Мы в «Соларе» как раз разрабатываем такой категоризатор как компонент Solar WebProxy. С помощью этого инструмента ИБ‑специалисты могут настроить фильтрацию трафика, чтобы блокировать доступ пользователей к опасным или потенциально скомпрометированным ресурсам.

Но вернемся к нашим волкам — типам киберугроз, таящихся в веб‑адресах.

Это, пожалуй, самый известный вид атаки с веб-адресами: подмена ссылки на адрес с небольшой, незаметной опечаткой. Например, вместо bank.ru будет написано banс.ru или bank-tut.ru. Иногда таким путем пользуются конкуренты компании для переманивания клиентов. Однако это могут быть и злодеи, которые хотят залезть в ваш кошелек — по статистике Palo Alto 18,5% таких адресов относятся к опасным. Злоумышленник может зарегистрировать такой домен, скопировать содержимое сайта настоящего банка, и жертва, не заметив подвоха, введет логин и пароль. Или согласится установить «новую удобную версию вашего любимого приложения». Или поверит, что выиграла миллион от известной компании, и для получения приза заполнит анкету: телефон, адрес, основной банк и средние траты.

Чтобы защитить своих клиентов, большие компании стараются скупить все похожие домены до того, как их купит кто-то другой. Иногда домен переходит к держателю товарного знака через суд. Если же такой сайт существует, нужно, чтобы пользователи проверяли каждую букву адреса и не торопились переходить по ссылкам. А лучше подстраховать их с помощью инструментов категоризации.

Это просто выкупленные домены, которые ждут, пока на них построят сайт, либо выставленные на продажу, если предыдущий владелец не продлил срок использования. В могли их не запомнить, но точно видели: по статистике их 40% от всех доменов, и на них ведет почти 20% результатов в поисковике. Сами по себе они не несут угрозы — чаще всего на них нет никакого содержимого.

Однако по статистике такие домены в 8 раз чаще превращаются в зловредные или незаконные сайты. Злоумышленники пользуются раскрученными ресурсами и доверие пользователей к предыдущим хозяевам. Представьте — вы разместили где-то ссылку на сайт вашей школы, а спустя годы хостинг перестали оплачивать, и на его месте появился вейп‑шоп. Категоризатор проверит ссылку и оградит школьника от ошибки.

Для компаний это такая же головная боль, как и описанный выше киберсквоттинг. Любой может купить веб-адрес компании, а потом взвинтить цену и требовать выкуп у компании. Так было с TikTok.com — два человека во времена зарождения популярности этого приложения купили домен и отказались продать его компании даже за 145 тысяч долларов. Зря пожадничали — в итоге домен перешел к компании бесплатно через суд.

Кто из нас не получал письма от африканского принца, ищущего своих родственников для дележа наследства? Иногда мошенники используют в подобных письмах фейковые веб адреса — такой вид социальной инженерии называется фишингом. Например, вам пришло письмо от генерала Скамерова с извещением о заведенном на вас уголовном деле: вот ссылка на портал Госуслуг, на котором с ними можно ознакомиться, введя логин и пароль. Иногда атакующие могут даже не заморачиваться с киберсквотингом и просить вас перейти на сайт dswe4.crimes.ru с расчетом, что вы уже достаточно доверяете тексту в уведомлении. Но даже если вашим сотрудникам часто пишут генералы, лучше перепроверять любые ссылки, которые они открывают с рабочих компьютеров.

Очень рекомендую перейти на polezny-text.ru и прочитать полезную статью. Из нее вы узнаете, что текст у ссылки может быть любым — «место, где деньги лежат» или название банка. Мошенникам даже не придется копировать какой-то популярный сайт — жертва может поверить названию, принять текст за настоящий адрес, а попасть на опасный ресурс. Нужно обязательно сначала навести мышку на ссылку и посмотреть адрес во всплывающей подсказке и внизу браузера, или, на худой конец, уже в адресной строке, держа в уме все знания про киберсквоттинг.

Слышали про майнеров, которые закупали кучу видеокарт, а потом много платили за электроэнергию? Вот некоторые решили, что лучше это делегировать другим — бесплатно. Для этого они интегрируют майнинг в свой сайт, который обычно не несет ничего плохого. Наоборот, создатели стараются чем-то зацепить пользователя и оставить его с открытым браузером максимально долго. Если у вас достаточно мощный компьютер и действует ограничение на использование ресурсов, то такое поведение можно и не заметить, особенно если это сайт игры или стриминг. Однако пользователи старых машинок могут столкнуться с полным зависанием всей системы, перегревом и необходимостью перезагрузки.

Когда нужно установить какую-то программу, например, разархиватор, мы вводим ее название в поисковике — ну уж поисковику-то мы доверяем! И он может предложить сотни вариантов источников установочного файла. Конечно, мы как опытные пользователи пойдем только на официальный сайт. И вот мы видим прямо в выдаче поиска заветную строку или рекламу сайта с соответствующей подписью. Вы уже могли догадаться, что под этой рекламной плашкой может быть что угодно — и киберсквоттинг, и подмена адресу, ну или просто второпях можем скачать первое попавшееся приложение со знакомым значком и названием. Такая раздача бесплатного сыра чаще всего спонсируется программистами вредоносного ПО, которое встраивают в бесплатные приложения вредный функционал.

Для человека такой сайт чаще всего либо выглядит пустым, либо не несет в себе интересного содержания — сюда ходят вредные программы из пункта выше, чтобы отчитаться о выполненной работе и получить дальнейшие инструкции. Адрес сервера может выглядеть как угодно: рандомный набор символов или мимикрия под хранилища статичной инфы для сайтов и легальных приложений. Однако сам факт перехода по этому адресу — ярким красный флаг, лучше заметить его вовремя и попытаться найти вирус. Поэтому лучше иметь список таких адресов, а проще, конечно, использовать приложение категоризации.

***

Итак, иногда после перехода на сайт уже слишком поздно пытаться понять, вредный ли он. Существует много платных и бесплатных способов проверки и категоризации веб-адресов. Категоризатор «Солара» может и определить категорию сайта, и детектировать потенциально опасный ресурс, и определить киберсквоттинг или фишинговую активность. Этот инструмент помогает защитить организацию от последствий неосторожных действий сотрудников и пользователей — обезвредить серого волка и провести Красную шапочку в безопасный и проверенный домик.