Phishing har eksisteret længe, og de seneste indekstal viser, at angriberne bruger det med stor entusiasme.
- Infoblox DNS Threat Index, Q2 Quarterly Report 2015
- En kort historie om generiske topdomæner
- Landekode-TLD’er
- Vidste du det? Fifty-four lande har valgt at tillade, at deres ccTLD’er kan bruges til kommercielle formål. F.eks. kan .co, ccTLD’et for Colombia, anvendes i stedet for .com. Det er meget populært på grund af det blomstrende .com-domæne, og det giver virksomheder mulighed for at have alternative måder at danne webstedsnavne på. Har du set URL-adressen http://o.co? Det er Overstock.com, der giver dig en alternativ måde, hvorpå du kan komme til virksomheden via din browser. Du har måske set youtu.be. Det er en legitim URL, der er registreret af Google ved hjælp af Belgiens ccTLD, .be. Meget af underholdningsindustrien bruger Tavalus ccTLD, .TV. Det er en god måde for østaten at tjene penge på. Når man forsøger at afgøre, om et websted er legitimt, skal man være klar over, at mange ccTLD’er også bruges til kommercielle formål. Det, der ligner et mistænkeligt websted, kan i virkeligheden være legitimt. ccTLD’er kan dog også bruges til at danne navne til phishing-websteder, så når du er i tvivl, skal du ikke klikke!
- Hvordan links/URL’er dannes
- Eksempel på links/URL’er
- Vidste du det? Du besøger et websted og ser “www1” eller “www2” (eller et andet nummer) i URL-adressen. Hvad betyder det? Nogle websteder kan være meget populære og har derfor flere servere, der arbejder i en load-balancing-konfiguration for at levere indhold, når der anmodes om det. Nogle virksomheder vælger at nummerere deres servere. Så hvis du ser et www1 eller www2 (eller et andet www#), ser du blot, hvilken server # blandt flere servere der leverer indholdet. Med hensyn til phishing er det at se et www1, www2 osv. ikke i sig selv en indikator for et phishing-websted.
- Slutning
Infoblox DNS Threat Index, Q2 Quarterly Report 2015
Netværkets slutbrugere er som frontlinjeforsvarere en kritisk komponent i en organisations informationssikkerhedsprogram. I løbet af de sidste par år har emnerne bevidsthed og uddannelse for netværksslutbrugere omfattet phishing både på grund af dets udbredte karakter og de stadig mere sofistikerede metoder, som phishere bruger til at lokke ofre til. Når vores konsulenter evaluerer risikoen i en organisation og diskuterer med dem om deres phishing-opmærksomhed og uddannelsesindsats, kan vi se retningslinjer som “klik ikke på mistænkelige links” og “hold musemarkøren over links i en e-mail for at kontrollere, om den er legitim”. Men hvordan vurderer man, om et link og den tilhørende Uniform Resource Locator (URL) fører til et legitimt websted eller ej?
For at vurdere links og URL’er bør en person forstå generiske topdomæner (gTLD’er), landekode-TLD’er (ccTLD’er) og andre typer af internetdomæner. Med henblik herpå giver denne artikel nogle oplysninger på højt niveau om læsning og fortolkning af links/URL’er.
En kort historie om generiske topdomæner
Vi er alle vant til at se gTLD’er. Næsten dagligt bruger vi gTLD’er, herunder de mest velkendte for os, såsom .com, .gov og .edu. De er en vigtig del af internettets struktur. De er også velkendt af phishere, som manipulerer URL’er med henblik på svigagtig brug. For at kunne vurdere links i e-mails og URL’er i browsere bedst muligt, er det godt at vide, hvordan de forskellige domæner har udviklet sig, og hvordan de fungerer.
I 1984 blev Request for Comments (RFC) 920 brugt til at definere de oprindelige “domæner til generelle formål” – .com, .gov, .mil, .edu og .org. Et andet domæne, .net, blev tilføjet i begyndelsen af 1985 og anses også for at være et af de “oprindelige” domæner. I 1988 blev .int (international) tilføjet for at imødekomme anmodningen fra Den Nordatlantiske Traktatorganisation om et domæne. I årenes løb blev der tilføjet andre domæner, f.eks. .biz og .info (2001). I begyndelsen af 2011 var der blevet oprettet 22 gTLD’er. I juni 2011 stemte Internet Corporation for Assigned Names and Numbers (ICANN) for at fjerne mange af restriktionerne for gTLD-ansøgninger og -implementering, hvilket åbnede døren for næsten alle gTLD’er, der kan anvendes. I henhold til de nye regler var der i maj 2015 over 600 gTLD’er, herunder nye gTLD’er som .auto, .computer, .network, .social, .pizza, .organic, blevet registreret og godkendt til brug på internettet. Ifølge nogle sikkerhedseksperter betragtes denne udvikling i gTLD’er som en gave til phishere, fordi den vil give dem mulighed for at danne et væld af nye phishingwebsteder. En fuldstændig liste over de udvidede gTLD’er findes i Internet Assigned Numbers Authority (IANA) Root Zone Database (https://www.iana.org/domains/root/db).
Landekode-TLD’er
Landekode-TLD’er er også en del af mange URL’er, og derfor kan man forvente at se dem i links ved lejlighed. Lande har ccTLD’er for at hjælpe med at skelne mellem, hvilket land et websted er registreret i eller stammer fra. F.eks. anvendes ccTLD’et for USA, .us, ofte af statslige og lokale myndigheder. Andre eksempler på ccTLD’er er Australien, .au, Japan, .jp, og Det Forenede Kongerige, .uk. Når du læser et link eller en URL, skal du være opmærksom på, at placeringen af ccTLD’en i URL’en kan skifte (i slutningen af en URL, f.eks. http://www.gov.uk, eller tidligere i en URL, f.eks. https ://uk.news.yahoo.com).
Hvordan links/URL’er dannes
Så hvad er nøglen til at læse URL’er i links? Det grundlæggende svar er, at i et link ligger de vigtige ting mellem den dobbelte forward-slash “//” og den første enkelt slash, primært i det fremhævede område, der er vist nedenfor. For at fortolke URL’en skal du gå til den første enkelt forward slash og derefter gå tilbage derfra. Efter den første forward slash er der ting som mapper, undermapper, filnavne og filtyper anført.
OBS: Ovenstående ramme er den grundlæggende opdeling af URL’er. I stedet for http:// eller https:// kan du se ftp://, gopher:// eller news://. Der er tale om forskellige typer overførselsprotokoller. Selv om www forekommer i mange URL’er, er det desuden ikke en nødvendig komponent. Du kan se yderligere felter før gTLD og det sekundære domæne/servernavn. Efter den første forward slash kan du se felter, der angiver datoer eller andre oplysninger, der bruges til at identificere en ressource.
Eksempel på links/URL’er
Nu da vi er bevæbnet med nogle baggrundsoplysninger, lad os se på nogle eksempler.
-
Vi er ret vant til at se og bruge kommercielle websteder, som f.eks: http://www.amazon.com
Dette er et velkendt websted, og URL-adressen indeholder ikke nogen mistænkelige ændringer.
Vurdering: LEGIT! -
URL’er kan dannes på næsten enhver måde. Det gør det nemt for webstedsejere at opbygge unikke webstedsnavne. Det gør det også let for phishere at gøre det samme, hvilket betyder, at de kan opbygge webstedsnavne, der ligger tæt op ad legitime webstedsnavne. Se for eksempel, hvad et simpelt punktum kan gøre ved et webstednavn: http://www.ama.zon.com/gp/cart/view.html/ref=nav_cart
Hvis en person klikker på ovenstående link, vil vedkommende i stedet for at gå til amazon.com blive sendt til webstedet zon.com, som kan være et websted, der er registreret af phishere.
Bedømmelse: Hvis en person klikker på ovenstående link, vil vedkommende i stedet for at gå til amazon.com blive sendt til webstedet zon.com, som kan være et websted, der er registreret af phishere: SUSPECT! -
Hvad med dette link? http://This e-mail-adresse bliver beskyttet mod spambots. Du skal have JavaScript slået til for at kunne se den. /catalog
I dette tilfælde ville en person blive henvist til IP-adressen 66.161.153.155, ikke amazon.com. Hvis du ser et link/URL med et “@”-tegn, skal du være særlig forsigtig. Phishere bruger rutinemæssigt denne URL-manipulationstaktik.
Vurdering: SUSPECT! -
Hvad sker der, hvis du ser denne URL i et link?
Denne URL har nogenlunde samme funktion som URL’en i nr. 3 ovenfor. En person ville blive henvist til IP-adressen og ikke amazon.com, som er anført efter den første enkelte skråstreg.
Vurdering: SUSPECT! -
Hvad sker der, hvis du ser en URL, der ligner den nedenfor, eller hvis du, mens du ser en webside blive indlæst, ser noget, der ligner dette i URL-linjen? http://www.google.com/url?q=http://www.badsite.com
Dette eksempel viser en URL, der ville henvise en person fra et websted (i dette tilfælde google.com) til et andet websted, badsite.com (bemærk “=http://”-nomenklaturen, der tillader dette). Henvisninger er ikke i sig selv dårlige i sig selv, men en henvisning kan føre til et phishing-site. I dette tilfælde ser badsite.com ikke ud til at være legitimt.
Vurdering: SUSPECT!
Vidste du det?
Du besøger et websted og ser “www1” eller “www2” (eller et andet nummer) i URL-adressen. Hvad betyder det? Nogle websteder kan være meget populære og har derfor flere servere, der arbejder i en load-balancing-konfiguration for at levere indhold, når der anmodes om det. Nogle virksomheder vælger at nummerere deres servere. Så hvis du ser et www1 eller www2 (eller et andet www#), ser du blot, hvilken server # blandt flere servere der leverer indholdet. Med hensyn til phishing er det at se et www1, www2 osv. ikke i sig selv en indikator for et phishing-websted.
Du besøger et websted og ser “www1” eller “www2” (eller et andet nummer) i URL-adressen. Hvad betyder det? Nogle websteder kan være meget populære og har derfor flere servere, der arbejder i en load-balancing-konfiguration for at levere indhold, når der anmodes om det. Nogle virksomheder vælger at nummerere deres servere. Så hvis du ser et www1 eller www2 (eller et andet www#), ser du blot, hvilken server # blandt flere servere der leverer indholdet. Med hensyn til phishing er det at se et www1, www2 osv. ikke i sig selv en indikator for et phishing-websted.
For at hjælpe brugerne med hurtigt at bestemme top-level- og sekundære domæner i en URL er nogle virksomheder og organisationer begyndt at bruge “domain highlighting”. Når en bruger besøger et websted, vil en del af URL’en blive dæmpet efter nogle få sekunder, så topniveau- og sekundære domæner forbliver mørke. For eksempel:
Det er altid godt at kigge efter tegn på et legitimt, sikkert websted: lukket hængelås, https:// og virksomhedens navn fremhævet med grønt i URL’en (som i PayPal-eksemplet ovenfor). Hvis et webstedets certifikat er udløbet eller på anden måde er ugyldigt, vil nogle browsere, f.eks. Internet Explorer og Firefox, eller sikkerhedstjenester advare brugerne. En person kan spekulere på, om det er sikkert at fortsætte gennem advarslen. I dette tilfælde skal du bruge andre tilgængelige indikatorer (gennemgå URL-adressen igen) til at afgøre, om webstedet er legitimt. Hvis du er i tvivl, skal du ikke fortsætte.
Slutning
Phishing er fortsat et globalt problem, som forværres af brugere, der ikke er opmærksomme på phishingtaktik, stadig mere sofistikerede phishingmetoder og nu et stigende antal generiske top-level-domæner. Selv om links i e-mails ikke er den eneste metode, som phishere bruger, er den meget almindelig. For at reducere risikoen ved phishing er det nødvendigt at vide, hvordan man fortolker links og de tilhørende URL’er.
Hvis du er interesseret i at få mere at vide om social engineering, bevidstgørelse og uddannelse samt risikovurderingstjenester, så kontakt os i dag.