Τα τελευταία δύο χρόνια, γίναμε μάρτυρες άνευ προηγουμένου αύξησης των επιθέσεων στον κυβερνοχώρο που προέρχονται από τον Ιστό: συστήματα phishing, κοινωνική μηχανική, ιστότοποι κακόβουλου λογισμικού και άλλες κακόβουλες επιθέσεις. Μία από τις κύριες υπηρεσίες ασφαλείας που προσφέρονται στην αγορά σήμερα για την προστασία των χρηστών από αυτές τις απειλές είναι τα φίλτρα URL που βασίζονται στη φήμη.
Οι υπηρεσίες ασφαλείας που βασίζονται στη φήμη καθορίζουν το επίπεδο ασφάλειας μιας διεύθυνσης URL με βάση τη φήμη του τομέα. Αυτές οι υπηρεσίες προτρέπουν τον χρήστη να αναβάλει την επίσκεψη σε μη ασφαλείς ιστότοπους αποκλείοντας τις συνδέσεις από αυτούς τη στιγμή της επίσκεψης. Ωστόσο, η αποτελεσματικότητά τους έχει μειωθεί σημαντικά τον τελευταίο καιρό.
Οι διευθύνσεις URL χωρίς ετικέτα που προέρχονται από έναν νόμιμο τομέα θα μπορούσαν να λάβουν τη φήμη του αρχικού τομέα. Οι επιθέσεις ψαρέματος εκμεταλλεύονται αυτήν τη δυνατότητα και αποκρύπτουν τις κακόβουλες επιθέσεις τους σε νόμιμους τομείς για να αποφύγουν τα φίλτρα ασφαλείας. Αυτό αποτελεί σημαντική παραβίαση ασφαλείας που πρέπει να αντιμετωπιστεί.
Σε αυτό το άρθρο εξηγούμε γιατί και τι μπορεί να γίνει για αυτό.
Τι είναι η ασφάλεια που βασίζεται στη φήμη;
Οι υπηρεσίες ασφαλείας της φήμης του ιστότοπου προστατεύουν τους χρήστες από κακόβουλο ή ακατάλληλο περιεχόμενο στο διαδίκτυο, συνήθως μέσω μιας λύσης φιλτραρίσματος διευθύνσεων URL. Καθορίζουν το επίπεδο ασφάλειας του ιστότοπου με βάση τη φήμη του ιστού. Η φήμη του Ιστού παράγεται με τον υπολογισμό διαφορετικών μετρήσεων, όπως η ηλικία και το ιστορικό της διεύθυνσης URL, η φήμη IP, η τοποθεσία φιλοξενίας, η δημοτικότητα και πολλά άλλα. Οι μετρήσεις διαφέρουν ελαφρώς μεταξύ των διαφορετικών προμηθευτών, αλλά η ιδέα παραμένει η ίδια: απόδοση αριθμητικής φήμης σε έναν ιστότοπο με βάση τις βασικές τηλεμετρίες του.
Εάν προσπαθήσατε ποτέ να αποκτήσετε πρόσβαση σε μια ιστοσελίδα στο χώρο εργασίας σας και λάβατε μια ειδοποίηση "αποκλεισμένος ιστότοπος", τότε η εταιρεία σας χρησιμοποιεί φιλτράρισμα ιστού.
Η πρόκληση: Οι επιθέσεις phishing αποφεύγουν εύκολα τα φίλτρα φήμης
Έχει διαπιστωθεί επανειλημμένα ότι οι καμπάνιες phishing αξιοποιούν αξιόπιστους ιστότοπους για να παρακάμψουν τους πόρους φιλτραρίσματος, ιδίως τα φίλτρα φήμης. Αυτό σημαίνει ότι όταν τα θύματα κάνουν κλικ στον σύνδεσμο, δεν υπάρχει προστατευτικό στρώμα που να τα εμποδίζει να φτάσουν στη σελίδα προορισμού.
Παράδειγμα περίπτωσης χρήσης ψαρέματος
Το παρακάτω παράδειγμα βοηθά στην κατανόηση του προβλήματος:
Ως μέρος της συνεχιζόμενης έρευνάς μας σχετικά με τις διαδικτυακές απειλές εδώ στο LayerX, εντοπίσαμε έναν ιστότοπο ηλεκτρονικού "ψαρέματος" κάτω από τη διεύθυνση URL: https://navarrebeach.com/wp-includes/fonts/cgi/auth/. Όπως φαίνεται στο στιγμιότυπο οθόνης, ο ιστότοπος είναι μια καμπάνια phishing που μεταμφιέζεται ως νόμιμο παράθυρο σύνδεσης. Οι ανυποψίαστοι χρήστες ενδέχεται να μπουν στον πειρασμό να εισαγάγουν τα διαπιστευτήριά τους. (Σημείωση: εντοπίσαμε αρχικά αυτόν τον ιστότοπο phishing στη φύση και καταργήθηκε αρκετές ημέρες αργότερα. Αυτό το άρθρο γράφτηκε πριν καταργηθεί).
Όταν επικολλάμε τη διεύθυνση URL στο Google Chrome, δεν εμφανίζεται καμία προειδοποίηση. Αυτό σημαίνει ότι η Ασφαλής περιήγηση Google δεν εντοπίζει αυτόν τον ιστότοπο ως κακόβουλο.
Ίσως ένας διαφορετικός προμηθευτής ασφάλειας θα πετύχει; Ελέγξαμε τη διεύθυνση URL στο φιλτράρισμα URL του Δικτύου Palo Alto, το οποίο ταξινόμησε τον ιστότοπο ως Χαμηλό ρίσκο, σύμφωνα με το TRAVEL Κατηγορία.
Σύνδεσμος
Δοκιμάσαμε έναν τρίτο προμηθευτή - το Norton Safe Web. Αλλά δυστυχώς, αυτό το φίλτρο URL έκρινε επίσης τον ιστότοπο ασφαλή.
Σύνδεσμος
Το πιο συγκλονιστικό είναι ότι σαρώσαμε τη διεύθυνση URL στο VirusTotal, έναν ιστότοπο που συγκεντρώνει πολλά προϊόντα προστασίας από ιούς και μηχανές σάρωσης στο διαδίκτυο. Διαπίστωσε ότι μόνο ένας από τους 88 προμηθευτές ασφαλείας επισήμανε τον ιστότοπο ως κακόβουλο (!).
Σύνδεσμος
Τι τους λείπει;
Γιατί αυτός ο ιστότοπος phishing ταξινομήθηκε ως ασφαλής; Ο λόγος είναι ότι ο αρχικός ιστότοπος με τον ίδιο τομέα είχε καλή φήμη ιστού. Όπως φαίνεται σε αυτό το στιγμιότυπο οθόνης από το SimilarWeb, ο ιστότοπος Navarre Beach έχει μια παγκόσμια κατάταξη, μια αξιόπιστη κατηγορία και μια νόμιμη ταξινόμηση κλάδου. Όλα αυτά υποδεικνύουν ότι ο αρχικός ιστότοπος είχε πιθανώς αρκετά καλή φήμη, αρκετή για να μην επισημανθεί ως επικίνδυνος.
Κατά συνέπεια, ο ιστότοπος phishing παρέκαμψε τα φίλτρα μάλλον εύκολα εκμεταλλευόμενος τη φήμη του προηγούμενου τομέα που φιλοξενούσε. Μπορούμε να δούμε ότι η αρχική τοποθεσία ήταν πράγματι μια νόμιμη τοποθεσία, που διαφήμιζε τουριστικά αξιοθέατα στην παραλία Navarre, FL:
Σύνδεσμος
Υποθέτουμε ότι ο αρχικός ιστότοπος παραβιάστηκε ή εναλλακτικά ο τομέας αγοράστηκε και επαναχρησιμοποιήθηκε για την καμπάνια ηλεκτρονικού ψαρέματος. Είτε έτσι είτε αλλιώς, το πρόβλημα παραμένει: η επίθεση phishing ξέφυγε απαρατήρητη.
Καθώς η Αναφορά ερευνών παραβίασης δεδομένων 2022 από τη Verizon επισημαίνει ότι οι εκστρατείες ηλεκτρονικού ψαρέματος εξακολουθούν να αποτελούν εξέχουσα απειλή. Οι υπάρχουσες επιθέσεις είναι πιθανότατα προάγγελος για πολλές ακόμη επιθέσεις phishing στο μέλλον. Επομένως, απαιτείται μια νέα προσέγγιση για την αντιμετώπιση του προβλήματος.
Πώς να προσδιορίσετε τοποθεσίες ηλεκτρονικού "ψαρέματος" που εκμεταλλεύονται αξιόπιστους τομείς
Τα υπάρχοντα φίλτρα URL αποτυγχάνουν επειδή βασίζονται κυρίως σε τηλεμετρίες σχετικά με τον τομέα. Τι θα γινόταν όμως αν το περιεχόμενο του ιστότοπου μπορούσε επίσης να αναλυθεί, παράλληλα με τα μεταδεδομένα του ιστότοπου;
Οι κακόβουλοι ιστότοποι ηλεκτρονικού ψαρέματος έχουν διακριτά χαρακτηριστικά που εμφανίζονται στον ίδιο τον ιστότοπο, όπως: ελαττωματικοί σύνδεσμοι, ορθογραφικά λάθη, δυσλειτουργία διεπαφής χρήστη, σύνδεσμοι που ανακατευθύνονται σε άλλους κακόβουλους ιστότοπους, πιθανά αρχεία .exe σε εκκρεμότητα λήψης και ούτω καθεξής. Η ανάλυση του πραγματικού περιεχομένου του ιστότοπου μπορεί να δώσει μια καλύτερη ένδειξη για το εάν ένας ιστότοπος είναι κακόβουλος ή όχι.
Συνιστάται η εύρεση μιας αυτοματοποιημένης λύσης που να μπορεί να διεξάγει αυτού του είδους την ανάλυση. Συχνά, οι ιστότοποι ηλεκτρονικού ψαρέματος είναι τόσο εξελιγμένοι που προκαλούν ακόμη και σύγχυση στους χρήστες που ειδοποιούν. Το λογισμικό, από την άλλη πλευρά, μπορεί να βρει άλλους δείκτες που είναι ενσωματωμένοι στον ιστότοπο, όπως περιγράφεται παραπάνω.
Χρησιμοποιώντας ανάλυση συμφραζομένων, το LayerX κατάφερε να εντοπίσει με επιτυχία τον ιστότοπο Navarra Beach ως κακόβουλη επίθεση phishing. Αυτή η ικανότητα προκύπτει από την ενδελεχή ανάλυση του κώδικα και των μετρήσεων του ιστότοπου που προέρχονται από το ίδιο το περιεχόμενο του ιστότοπου, μαζί με τις διαδικασίες μηχανικής εκμάθησης αιχμής. Αυτά τα δεδομένα είναι διαθέσιμα στο LayerX μέσω της επέκτασης του προγράμματος περιήγησης, πριν επηρεαστεί καθόλου ο χρήστης. Αυτά τα πρόσθετα επίπεδα ασφάλειας, τα οποία μπορούν να προστεθούν στα συμβατικά φίλτρα URL, μας βοηθούν να παραμείνουμε ένα βήμα μπροστά από τις επιθέσεις phishing, αντί να είναι το αντίθετο.
