За последние пару лет мы стали свидетелями беспрецедентного роста кибератак, исходящих из Интернета: фишинговых схем, социальной инженерии, сайтов с вредоносным ПО и других вредоносных атак. Одной из основных услуг безопасности, предлагаемых сегодня на рынке для защиты пользователей от этих угроз, являются фильтры URL-адресов на основе репутации.
Службы безопасности, основанные на репутации, определяют уровень безопасности URL-адреса на основе репутации домена. Эти службы предлагают пользователю воздержаться от посещения небезопасных веб-сайтов, блокируя соединения с ними во время посещения. Однако в последнее время их эффективность существенно снижается.
Немаркированным URL-адресам, происходящим из законного домена, может быть присвоена репутация исходного домена. Фишинговые атаки используют эту функцию и скрывают свои вредоносные атаки под законными доменами, чтобы обойти фильтры безопасности. Это представляет собой серьезное нарушение безопасности, на которое необходимо ответить.
В этой статье мы подробно расскажем, почему и что с этим можно сделать.
Что такое безопасность на основе репутации?
Службы безопасности репутации веб-сайтов защищают пользователей от вредоносного или нежелательного контента в Интернете, обычно с помощью решения для фильтрации URL-адресов. Они определяют уровень безопасности веб-сайта на основе его репутации в Интернете. Веб-репутация определяется путем расчета различных показателей, таких как возраст и история URL-адреса, репутация IP-адреса, местоположение хостинга, популярность и многие другие. Показатели немного различаются у разных поставщиков, но концепция остается той же: присвоение числовой репутации веб-сайту на основе его основных телеметрических данных.
Если вы когда-либо пытались получить доступ к веб-странице на работе и получали уведомление «веб-сайт заблокирован», значит, ваша компания использует веб-фильтрацию.
Проблема: фишинговые атаки легко обходят репутационные фильтры
Неоднократно было обнаружено, что фишинговые кампании используют доверенные сайты для обхода ресурсов фильтрации, в частности фильтров репутации. Это означает, что когда жертвы нажимают на ссылку, не существует защитного слоя, который мешал бы им попасть на целевую страницу.
Пример использования фишинга
Следующий пример помогает понять проблему:
В рамках нашего текущего исследования веб-угроз здесь, в LayerX, мы обнаружили фишинговый сайт по URL-адресу: https://navarrebeach.com/wp-includes/fonts/cgi/auth/. Как видно на скриншоте, веб-сайт представляет собой фишинговую кампанию, замаскированную под законное окно входа в систему. У ничего не подозревающих пользователей может возникнуть соблазн ввести свои учетные данные. (Примечание: изначально мы обнаружили этот фишинговый сайт, но через несколько дней он был закрыт. Эта статья была написана до того, как он был закрыт).
Когда мы вставляем URL-адрес в Google Chrome, предупреждение не появляется. Это означает, что Google Safe Browsing не распознает этот сайт как вредоносный.
Возможно, другой поставщик средств безопасности добьется успеха? Мы проверили URL-адрес с помощью URL-фильтрации Palo Alto Networks, которая классифицировала сайт как Низкий риск, под Путешествия Категория.
Ссылка
Мы попробовали третьего поставщика — Norton Safe Web. Но, к сожалению, этот URL-фильтр также посчитал сайт безопасным.
Ссылка
Самое шокирующее, что мы просканировали URL-адрес в VirusTotal, сайте, объединяющем множество антивирусных продуктов и механизмов онлайн-сканирования. Было обнаружено, что только один из 88 поставщиков средств безопасности пометил сайт как вредоносный (!).
Ссылка
Чего им не хватает?
Почему этот фишинговый сайт был отнесен к категории безопасных? Причина в том, что исходный веб-сайт с тем же доменом имел хорошую репутацию в Интернете. Как видно на этом снимке экрана с сайта LikeWeb, веб-сайт Navarre Beach имеет глобальный рейтинг, надежную категорию и законную отраслевую классификацию. Все это указывает на то, что исходный веб-сайт, вероятно, имел достаточно хорошую репутацию, достаточную, чтобы его не пометили как опасный.
Следовательно, фишинговый сайт довольно легко обошел фильтры, воспользовавшись репутацией предыдущего домена, который он размещал. Мы видим, что исходный сайт действительно был законным сайтом, рекламирующим туристические достопримечательности в Наварр-Бич, Флорида:
Ссылка
Мы предполагаем, что исходный сайт был взломан или же домен был куплен и повторно использован для фишинговой кампании. В любом случае, проблема остается: фишинговая атака прошла незамеченной.
Как Отчет Verizon о расследовании утечек данных за 2022 год отмечает, что фишинговые кампании по-прежнему представляют собой серьезную угрозу. Существующие атаки, скорее всего, являются предвестником многих будущих фишинговых атак. Поэтому для решения проблемы необходим новый подход.
Как распознать фишинговые сайты, использующие авторитетные домены
Существующие фильтры URL-адресов не работают, поскольку они полагаются главным образом на телеметрические данные о домене. Но что, если бы помимо метаданных сайта можно было анализировать и содержимое веб-сайта?
Вредоносные фишинговые сайты имеют отличительные характеристики, которые проявляются в самом сайте, например: неверные ссылки, орфографические ошибки, неисправный пользовательский интерфейс, ссылки, перенаправляющие на другие вредоносные сайты, потенциальные файлы .exe, ожидающие загрузки, и т. д. Анализ фактического содержимого сайта может дать лучшее представление о том, является ли сайт вредоносным или нет.
Рекомендуется найти автоматизированное решение, способное проводить анализ такого типа. Зачастую фишинговые сайты настолько сложны, что могут сбить с толку даже бдительных пользователей. Программное обеспечение, с другой стороны, может учитывать другие индикаторы, встроенные в веб-сайт, как подробно описано выше.
С помощью контекстного анализа LayerX удалось успешно обнаружить веб-сайт Navarra Beach как вредоносную фишинговую атаку. Эта способность достигается за счет тщательного анализа кода веб-сайта и показателей, полученных из самого контента веб-сайта, а также передовых процессов машинного обучения. Эти данные доступны LayerX через расширение браузера, прежде чем пользователь вообще пострадает. Эти дополнительные уровни безопасности, которые можно добавить к обычным фильтрам URL-адресов, помогают нам оставаться на шаг впереди фишинговых атак, а не наоборот.
