V zadnjih nekaj letih smo bili priča izjemni rasti kibernetskih napadov, ki izvirajo iz spleta: sheme lažnega predstavljanja, socialni inženiring, spletna mesta z zlonamerno programsko opremo in drugi zlonamerni napadi. Ena glavnih varnostnih storitev, ki jih danes ponuja trg za zaščito uporabnikov pred temi grožnjami, so filtri URL-jev na podlagi ugleda.
Varnostne storitve na podlagi ugleda določajo raven varnosti URL-ja na podlagi ugleda domene. Te storitve pozivajo uporabnika, da odloži obisk nevarnih spletnih mest, tako da blokirajo povezave z njih v času obiska. Vendar se njihova učinkovitost v zadnjem času močno zmanjšuje.
Neoznačeni URL-ji, ki izvirajo iz zakonite domene, bi lahko prejeli sloves izvirne domene. Napadi z lažnim predstavljanjem izkoriščajo to funkcijo in svoje zlonamerne napade skrijejo pod zakonite domene, da se izognejo varnostnim filtrom. To predstavlja veliko kršitev varnosti, na katero je treba odgovoriti.
V tem članku pojasnjujemo, zakaj in kaj lahko glede tega storimo.
Kaj je varnost na podlagi ugleda?
Varnostne storitve ugleda spletnega mesta ščitijo uporabnike pred zlonamerno ali neprimerno vsebino v internetu, običajno prek rešitve za filtriranje URL-jev. Določijo stopnjo varnosti spletnega mesta na podlagi njegovega spletnega ugleda. Spletni ugled se ustvari z izračunom različnih meritev, kot so starost in zgodovina URL-ja, ugled IP-ja, lokacija gostovanja, priljubljenost in še veliko več. Meritve se nekoliko razlikujejo med različnimi prodajalci, vendar koncept ostaja enak: pripisovanje številčnega ugleda spletnemu mestu na podlagi njegovih osnovnih telemetrij.
Če ste kdaj poskusili dostopati do spletne strani v službi in prejeli obvestilo »spletno mesto blokirano«, vaše podjetje uporablja spletno filtriranje.
Izziv: napadi lažnega predstavljanja se zlahka izognejo filtrom ugleda
Večkrat je bilo ugotovljeno, da kampanje lažnega predstavljanja izkoriščajo zaupanja vredna spletna mesta, da zaobidejo vire filtriranja, zlasti filtre za ugled. To pomeni, da ko žrtve kliknejo povezavo, ni nobene zaščitne plasti, ki bi jim preprečila, da bi dosegli ciljno stran.
Primer uporabe lažnega predstavljanja
Naslednji primer pomaga razumeti težavo:
Kot del naše tekoče raziskave o grožnjah, ki se prenašajo prek spleta, smo tukaj v LayerXu identificirali spletno mesto z lažnim predstavljanjem pod URL-jem: https://navarrebeach.com/wp-includes/fonts/cgi/auth/. Kot je razvidno iz posnetka zaslona, je spletno mesto lažno predstavljanje, prikrito kot zakonito prijavno okno. Nič hudega sluteče uporabnike bo morda zamikalo, da bi vnesli svoje poverilnice. (Opomba: to lažno spletno mesto smo sprva opazili v divjini in je bilo nekaj dni pozneje odstranjeno. Ta članek je bil napisan, preden je bil odstranjen).
Ko prilepimo URL v Google Chrome, se ne pojavi nobeno opozorilo. To pomeni, da Google Varno brskanje tega mesta ne zazna kot zlonamernega.
Morda bo uspel drug prodajalec varnosti? URL smo preverili v filtriranju URL-jev Palo Alto Networks, ki je spletno mesto uvrstilo med nizko tveganje, pod Potovanja Kategorija.
Link
Preizkusili smo tretjega prodajalca – Norton Safe Web. Na žalost pa je tudi ta filter URL ocenil, da je spletno mesto varno.
Link
Najbolj šokantno je, da smo skenirali URL v VirusTotal, spletnem mestu, ki združuje številne protivirusne izdelke in spletne pregledovalne mehanizme. Ugotovilo je, da le eden od 88 ponudnikov varnosti stran označil kot zlonamerno (!).
Link
Kaj jim manjka?
Zakaj je bilo to lažno spletno mesto razvrščeno kot varno? Razlog je v tem, da je prvotno spletno mesto z isto domeno imelo dober spletni ugled. Kot je razvidno iz tega posnetka zaslona iz SimilarWeb, ima spletno mesto Navarre Beach globalno uvrstitev, verodostojno kategorijo in zakonito klasifikacijo industrije. Vse to kaže, da je imelo prvotno spletno mesto verjetno dovolj dober ugled, da ni bilo označeno kot nevarno.
Posledično je spletno mesto z lažnim predstavljanjem precej enostavno zaobšlo filtre z izkoriščanjem ugleda prejšnje domene, ki jo je gostilo. Vidimo lahko, da je bilo prvotno spletno mesto res legitimno spletno mesto, ki je oglaševalo turistične atrakcije v Navarre Beach, FL:
Link
Predvidevamo, da je prišlo do vdora v izvirno spletno mesto ali pa je bila domena kupljena in ponovno uporabljena za lažno predstavljanje. Kakor koli že, težava ostaja: lažno predstavljanje se je prikradlo neopaženo.
Kot Verizonovo poročilo o preiskavah kršitev podatkov za leto 2022 poudarja, da so kampanje lažnega predstavljanja še vedno pomembna grožnja. Obstoječi napadi so najverjetneje znanilec številnih novih napadov z lažnim predstavljanjem. Zato je za reševanje problema potreben nov pristop.
Kako prepoznati lažna spletna mesta, ki izkoriščajo ugledne domene
Obstoječi filtri URL-jev ne delujejo, ker se zanašajo predvsem na telemetrije o domeni. Kaj pa, če bi lahko poleg metapodatkov spletnega mesta analizirali tudi vsebino spletnega mesta?
Zlonamerna spletna mesta z lažnim predstavljanjem imajo različne značilnosti, ki se pojavijo na samem spletnem mestu, kot so: napačne povezave, črkovalne napake, nedelujoč uporabniški vmesnik, povezave, ki preusmerjajo na druga zlonamerna spletna mesta, morebitne datoteke .exe, ki čakajo na prenos, in tako naprej. Analiza dejanske vsebine spletnega mesta lahko bolje pokaže, ali je spletno mesto zlonamerno ali ne.
Priporočljivo je, da poiščete avtomatizirano rešitev, ki lahko izvaja to vrsto analize. Spletna mesta z lažnim predstavljanjem so pogosto tako izpopolnjena, da bodo celo zmedla opozorilne uporabnike. Po drugi strani pa lahko programska oprema zazna druge kazalnike, vdelane v spletno mesto, kot je opisano zgoraj.
S pomočjo kontekstualne analize je LayerX uspelo uspešno zaznati spletno stran Navarra Beach kot zlonamerni phishing napad. Ta zmožnost izhaja iz temeljite analize kode spletnega mesta in meritev, izpeljanih iz same vsebine spletnega mesta, skupaj z najsodobnejšimi procesi strojnega učenja. Ti podatki so na voljo LayerX prek razširitve brskalnika, preden to sploh vpliva na uporabnika. Te dodatne ravni varnosti, ki jih lahko dodamo običajnim filtrom URL, nam pomagajo ostati korak pred lažnimi napadi, namesto da bi bilo obratno.
