W ciągu ostatnich kilku lat byliśmy świadkami bezprecedensowego wzrostu liczby cyberataków pochodzących z Internetu: programów phishingowych, socjotechniki, witryn ze złośliwym oprogramowaniem i innych złośliwych ataków. Jedną z głównych usług bezpieczeństwa oferowanych obecnie na rynku w celu ochrony użytkowników przed tymi zagrożeniami są filtry adresów URL oparte na reputacji.
Usługi bezpieczeństwa oparte na reputacji określają poziom bezpieczeństwa adresu URL na podstawie reputacji domeny. Usługi te namawiają użytkownika do powstrzymania się od odwiedzania niebezpiecznych stron internetowych, blokując połączenia z nich w momencie wizyty. Jednak w ostatnim czasie ich skuteczność znacząco spada.
Nieoznakowane adresy URL pochodzące z legalnej domeny mogą zyskać reputację domeny oryginalnej. Ataki phishingowe wykorzystują tę funkcję i ukrywają swoje złośliwe ataki w legalnych domenach, aby ominąć filtry bezpieczeństwa. Stanowi to poważne naruszenie bezpieczeństwa, na które należy zaradzić.
W tym artykule wyjaśniamy, dlaczego i co można z tym zrobić.
Czym jest bezpieczeństwo oparte na reputacji?
Usługi zabezpieczeń reputacji witryn internetowych chronią użytkowników przed złośliwymi lub nieodpowiednimi treściami w Internecie, zazwyczaj za pośrednictwem rozwiązania do filtrowania adresów URL. Określają poziom bezpieczeństwa strony internetowej na podstawie jej reputacji internetowej. Reputację sieci Web tworzy się poprzez obliczanie różnych wskaźników, takich jak wiek i historia adresu URL, reputacja adresu IP, lokalizacja hostingu, popularność i wiele innych. Wskaźniki różnią się nieznacznie u różnych dostawców, ale koncepcja pozostaje ta sama: przypisywanie witrynie internetowej reputacji liczbowej na podstawie jej podstawowych danych telemetrycznych.
Jeśli kiedykolwiek próbowałeś uzyskać dostęp do strony internetowej w pracy i otrzymałeś powiadomienie „strona zablokowana”, oznacza to, że Twoja firma korzysta z filtrowania sieci.
Wyzwanie: ataki typu phishing z łatwością omijają filtry reputacji
Wielokrotnie stwierdzono, że kampanie phishingowe wykorzystują zaufane witryny w celu ominięcia zasobów filtrujących, w szczególności filtrów reputacji. Oznacza to, że gdy ofiara kliknie link, nie ma żadnej warstwy ochronnej, która uniemożliwiłaby jej dotarcie do strony docelowej.
Przykład zastosowania phishingu
Poniższy przykład pomaga zrozumieć problem:
W ramach naszych ciągłych badań nad zagrożeniami internetowymi w LayerX znaleźliśmy witrynę phishingową pod adresem URL: https://navarrebeach.com/wp-includes/fonts/cgi/auth/. Jak widać na zrzucie ekranu, witryna jest kampanią phishingową udającą legalne okno logowania. Niczego niepodejrzewający użytkownicy mogą ulec pokusie wprowadzenia swoich danych uwierzytelniających. (Uwaga: początkowo znaleźliśmy tę witrynę phishingową na wolności i została ona usunięta kilka dni później. Ten artykuł został napisany przed jej usunięciem).
Kiedy wklejamy adres URL do przeglądarki Google Chrome, nie pojawia się żadne ostrzeżenie. Oznacza to, że Bezpieczne przeglądanie Google nie wykrywa tej witryny jako złośliwej.
Być może sukces odniesie sukces inny dostawca zabezpieczeń? Sprawdziliśmy adres URL w filtrze adresów URL Palo Alto Networks, który sklasyfikował witrynę jako Niskie ryzyko, pod Podróże Kategoria.
Połączyć
Wypróbowaliśmy trzeciego dostawcę – Norton Safe Web. Niestety, ten filtr URL również uznał witrynę za bezpieczną.
Połączyć
Co najbardziej szokujące, przeskanowaliśmy adres URL w VirusTotal, witrynie skupiającej wiele produktów antywirusowych i silników skanowania online. Okazało się, że tylko jeden z 88 dostawców zabezpieczeń oznaczył witrynę jako złośliwą (!).
Połączyć
Czego im brakuje?
Dlaczego ta witryna phishingowa została sklasyfikowana jako bezpieczna? Powodem jest to, że oryginalna witryna internetowa z tą samą domeną miała dobrą reputację internetową. Jak widać na tym zrzucie ekranu z LikeWeb, witryna Navarre Beach ma globalną rangę, wiarygodną kategorię i legalną klasyfikację branżową. Wszystko to wskazuje, że pierwotna witryna prawdopodobnie cieszyła się wystarczająco dobrą reputacją, aby nie zostać oznaczona jako niebezpieczna.
W rezultacie witryna phishingowa dość łatwo ominęła filtry, wykorzystując reputację poprzedniej domeny, którą hostowała. Widzimy, że pierwotna witryna rzeczywiście była legalną witryną, reklamującą atrakcje turystyczne w Navarre Beach na Florydzie:
Połączyć
Zakładamy, że pierwotna witryna została naruszona lub domena została kupiona i ponownie wykorzystana w kampanii phishingowej. Tak czy inaczej, problem pozostaje: atak phishingowy przemknął niezauważony.
Jak Raport firmy Verizon z dochodzeń w sprawie naruszeń danych z 2022 r Jak podkreśla, kampanie phishingowe nadal stanowią poważne zagrożenie. Istniejące ataki są najprawdopodobniej zwiastunem wielu kolejnych ataków phishingowych. Dlatego też potrzebne jest nowatorskie podejście do rozwiązania tego problemu.
Jak rozpoznać witryny phishingowe, które wykorzystują renomowane domeny
Istniejące filtry adresów URL zawodzą, ponieważ opierają się głównie na danych telemetrycznych dotyczących domeny. Ale co by było, gdyby obok metadanych witryny można było także analizować zawartość witryny?
Złośliwe witryny phishingowe mają różne cechy charakterystyczne, które pojawiają się w samej witrynie, takie jak: wadliwe łącza, błędy ortograficzne, nieprawidłowo działający interfejs użytkownika, łącza przekierowujące do innych złośliwych witryn, potencjalne pliki .exe oczekujące na pobranie itd. Analiza rzeczywistej zawartości witryny może lepiej określić, czy witryna jest złośliwa, czy nie.
Zaleca się znalezienie zautomatyzowanego rozwiązania, które może przeprowadzić tego typu analizę. Często witryny phishingowe są tak wyrafinowane, że powodują nawet dezorientację użytkowników. Z drugiej strony oprogramowanie może wykrywać inne wskaźniki wbudowane w witrynę, jak opisano powyżej.
Dzięki analizie kontekstowej LayerX udało się skutecznie wykryć witrynę Navarra Beach jako złośliwy atak phishingowy. Umiejętność ta wynika z dokładnej analizy kodu witryny i wskaźników pochodzących z samej zawartości witryny, a także z najnowocześniejszych procesów uczenia maszynowego. Dane te są dostępne dla LayerX poprzez rozszerzenie przeglądarki, zanim w ogóle wywrą one wpływ na użytkownika. Te dodatkowe warstwy zabezpieczeń, które można dodać do konwencjonalnych filtrów adresów URL, pomagają nam być o krok przed atakami typu phishing, a nie odwrotnie.
