Check het linkje, niet altijd zo makkelijk als je zou denken

Gepubliceerd op 8 september 2020 om 19:11
Check het linkje, niet altijd zo makkelijk als je zou denken

Gebruikers op internet vertrouwen op domeinnamen om merken, diensten, professionals en persoonlijke websites te vinden.

Cybercriminelen profiteren van de essentiële rol die domeinnamen spelen op internet door namen te registreren die lijken te zijn gerelateerd aan bestaande domeinen of merken, met de bedoeling te profiteren van gebruikersfouten.

Dit staat bekend als 'cybersquatting'.

Het doel van het kapen van een domeinen is om gebruikers te laten geloven dat de beoogde merken (zoals Netflix) eigenaar zijn van deze domeinnamen (zoals netflix-payments.com) of om te profiteren van typefouten van gebruikers (zoals whatsqpp.com voor whatsapp.com).

Kaap detectiesysteem

Het kaap detectiesysteem van Palo Alto Networks ontdekte dat er in december 2019, 13.857 gekaapte domeinen geregistreerd waren. Gemiddeld dus 450 per dag.

Daarvan waren er 2.595 (18,59%) gekaapte kwaadaardige domeinnamen die vaak gebruikt werden om malware te verspreiden of phishing-aanvallen uit te voeren.

Top 20 kaap domeinen

In december 2019 is er een Top 20 samengesteld van de meest misbruikte domeinen. Een domein kon zowel het doelwit zijn als het gekaapte domein.

Tevens kwam er naar voren dat 'domein kapers' de voorkeur gaven aan winstgevende doelwitten, zoals reguliere zoekmachines en sociale media, financiële, winkel- en bankwebsites. Bij het bezoeken van deze sites zijn gebruikers vaak bereid gevoelige informatie te delen, waardoor ze worden blootgesteld aan phishing en oplichting om gevoelige inloggegevens of geld te stelen als ze kunnen worden misleid om in plaats daarvan een kaap domein te bezoeken.

Van december 2019 tot op heden zijn er verschillende kwaadaardige domeinen met verschillende doelstellingen waargenomen:

  • Phishing

Een domein dat Wells Fargo ( secure- wellsfargo [.] Org ) nabootst en zich richt op klanten om gevoelige informatie te stelen, inclusief e-mailreferenties en PIN-codes voor geldautomaten. Ook een domein dat Amazon nabootst ( amazon -india [.] Online ) dat is opgezet om gebruikersreferenties te stelen, specifiek gericht op mobiele gebruikers in India.

  • Malware distributie

Een domein dat Samsung nabootst ( samsung eblya iphone [.] Com ) dat Azorult-malware host om creditcardgegevens te stelen.

  • Command and control (C2)

Domeinen die Microsoft nabootsen ( microsoft-store-drm-server [.] Com en microsoft-sback-server [.] Com ) die proberen C2-aanvallen uit te voeren om een ​​heel netwerk in gevaar te brengen.

  • Oplichting opnieuw factureren

Verschillende phishing-sites die Netflix nabootsen (zoals netflix brazilcovid [.] Com ) zijn opgezet om het geld van slachtoffers te stelen door eerst een kleine eerste betaling aan te bieden voor een abonnement op een product zoals afslankpillen. Als gebruikers het abonnement na de promotieperiode echter niet opzeggen, worden veel hogere kosten in rekening gebracht op hun creditcard, meestal € 40 - 90.

  • Potentieel ongewenst programma (PUP)

Domeinen die Walmart ( walrmart 44 [.] Com ) en Samsung ( samsung pr0mo [.] Online ) nabootsen die PUP verspreiden, zoals spyware, adware of een browser extensie. Ze voeren meestal ongewenste wijzigingen uit, zoals het wijzigen van de standaardpagina van de browser of het kapen van de browser om advertenties in te voegen. Merk op dat het Samsung-domein eruitziet als een legitieme educatieve nieuws website.

  • Oplichting met technische ondersteuning

Domeinen die Microsoft nabootsen (zoals microsoft -alert [.] Club ) proberen gebruikers bang te maken om te betalen voor nep klanten ondersteuning .

  • Beloning fraude

Een domein dat Facebook nabootst ( facebook winners2020 [.] Com ) dat gebruikers oplicht met beloningen, zoals gratis producten of geld. Om de prijs te claimen, moeten gebruikers een formulier invullen met hun persoonlijke gegevens, zoals geboortedatum, telefoonnummer, beroep en inkomen.

  • Domein parkeren

Een domein dat lijkt op RBC Royal Bank ( rby royalbank [.] Com ) die gebruikmaakt van een populaire parkeerservice, ParkingCrew, om winst te genereren op basis van het aantal gebruikers dat op de site terechtkomt en op de advertenties klikt.

Kaap domein technieken

  • Typosquatting

Is een van de meest voorkomende vormen van misbruik van domeinregistratie. Typosquatters registreren opzettelijk verkeerd gespelde varianten (zoals whatsqpp.com ) van doel domeinnamen ( whatsapp.com ) om te profiteren van typefouten van gebruikers of om gebruikers te laten geloven dat ze het juiste doeldomein bezoeken. Voor meer informatie lees het academische onderzoeksdocumenten over de schaal en het kwaadwillige gebruik van typosquatting.

  • Combosquatting

Is een techniek waarbij populaire handelsmerken worden gecombineerd met woorden als 'beveiliging', 'betaling' of 'verificatie'. Combosquatting-domeinen zoals netflix-payments.com worden vaak gebruikt in phishing-e-mails, door malafide websites en voor social engineering-aanvallen om gebruikers ervan te overtuigen dat ze webpagina's bezoeken die wordt onderhouden door het beoogde handelsmerk. Voor meer informatie lees het academische artikel over een longitudinale studie van comboquatting .

  • Homographsquatting

Domeinen profiteren van geïnternationaliseerde domeinnamen (IDN's), waar Unicode-tekens zijn toegestaan ​​(zoals microsof ŧ .com ).

Aanvallers vervangen meestal een of meer tekens in het doeldomein door visueel vergelijkbare tekens uit een andere taal. Deze domeinen zijn nagenoeg niet te onderscheiden van het oorspronkelijke domeinnaam, zoals in het geval van apple.com, waar de Engelse letter "a" (U + 0061) werd vervangen door de Cyrillische letter "а" (U + 0430) аpple.com. Voor meer informatie lees het academische onderzoeksdocumenten op IDN's .

  • Soundsquatting

Domeinen maken gebruik van homofonen, dwz woorden die hetzelfde klinken (bijvoorbeeld, weather and whether ). Aanvallers kunnen homofoonvarianten van populaire domeinen registreren, zoals 4ever21.com voor forever21.com . Naarmate tekst-naar-spraak-software zoals Siri en Google Assistant steeds populairder worden, zullen steeds meer gebruikers kwetsbaar worden voor misbruik van soundquatting-domeinen. Voor meer informatie kunnen lees het  academische onderzoeksartikel over klankquatting raadplegen .

  • Bitsquatting

Domeinen hebben een karakter dat in één bit verschilt (zoals mic p osoft.com ) van hetzelfde karakter als het getargete legitieme domein ( mic r osoft.com ). Bitsquatting kan aanvallers ten goede komen, omdat een hardware fout een willekeurige bit-flip in het geheugen kan veroorzaken wanneer domeinnamen tijdelijk worden opgeslagen. Dus zelfs als gebruikers de juiste domeinen typen, kunnen ze toch naar kwaadaardige domeinen worden geleid. Hoewel dergelijke hardware fouten meestal zeldzaam zijn, heeft een academisch onderzoekspaper aangetoond dat bitsquatting een reële bedreiging is .

  • Levelsquatting

Domeinen, zoals het geval van veiligheid.microsoft.com.mdmfmztwjj.l6kan7uf04p102xmpq.bod, de domeinnaam van het beoogde merk als een subdomein opnemen. In dit voorbeeld kunnen de slachtoffers van de phishingaanval denken dat ze op bezoek zijn op veiligheid.microsoft.com, terwijl ze in plaats daarvan de website van de aanvaller bezoeken. Deze aanval is vooral zorgwekkend voor mobiele gebruikers, omdat de adresbalk van de browser misschien niet breed genoeg zijn om de volledige domeinnaam weer te geven. Voor meer informatie kunnen lezers dit  academische rapport raadplegen voor een uitgebreidere studie van levelsquatting-domeinen .

Attackers Mimicking Domains Of Major Brands Including Facebook Apple Amazon And Netflix To Scam Consumers
PDF – 10,5 MB 572 downloads

Bron: paloaltonetworks.com