A adathalászat már régóta létezik, és a legfrissebb indexszámok szerint a támadók lelkesen használják.
- Infoblox DNS Threat Index, Q2 Quarterly Report 2015
- A generikus felső szintű domainek rövid története
- országkódos TLD-k
- Tudta? Ötvennégy ország döntött úgy, hogy engedélyezi ccTLD-jeik kereskedelmi célú használatát. Például a .co, Kolumbia ccTLD-je használható a .com helyett. A .com domain térhódítása miatt nagyon népszerű, és lehetővé teszi a vállalkozások számára, hogy alternatív módon alakíthassák ki a webhelyneveket. Láttad már a http://o.co URL-t? Ez az Overstock.com, amely alternatív módot biztosít arra, hogy a böngészőn keresztül elérje a vállalatot. Elképzelhető, hogy látta már a youtu.be-t. Ez egy legitim URL, amelyet a Google regisztrált Belgium .be ccTLD-jét használva. A szórakoztatóipar nagy része a Tavalu ccTLD-t, a .TV-t használja. A szigetországnak ez egy remek módja a pénzkeresésnek. Amikor megpróbáljuk megállapítani, hogy egy webhely legitim-e, vegyük figyelembe, hogy sok ccTLD-t kereskedelmi célokra is használnak. Ami gyanús webhelynek tűnik, az valójában lehet legitim is. A ccTLD-ket azonban adathalászoldalak neveinek kialakítására is használhatják, ezért ha kétségei vannak, ne kattintson!
- Hogyan alakulnak ki a linkek/URL-ek
- Példa linkek/URL-ek
- Tudtad? Meglátogatsz egy weboldalt, és az URL-ben “www1” vagy “www2” (vagy más szám) szerepel. Mit jelent ez? Egyes weboldalak nagyon népszerűek lehetnek, és ezért több kiszolgáló dolgozik terheléskiegyenlítő konfigurációban, hogy kérésre kiszolgálja a tartalmat. Egyes vállalatok úgy döntenek, hogy számozzák a szervereiket. Ha tehát egy www1 vagy www2 (vagy más www#) számot lát, akkor csak azt látja, hogy a több szerver közül melyik szerver # szolgáltatja a tartalmat. Az adathalászat tekintetében a www1, www2 stb. látása önmagában nem jelzi, hogy adathalász webhelyről van szó.
- Következtetés
Infoblox DNS Threat Index, Q2 Quarterly Report 2015
A hálózati végfelhasználók, mint első vonalbeli védők, a szervezet információbiztonsági programjának kritikus elemei. Az elmúlt néhány évben a hálózati végfelhasználók tudatosságának és képzésének témái között szerepelt az adathalászat, mind annak elburjánzása, mind az egyre kifinomultabb módszerek miatt, amelyeket az adathalászok az áldozatok becsalogatására használnak. Amikor tanácsadóink felmérik a kockázatot egy szervezeten belül, és megbeszélik velük az adathalászattal kapcsolatos tudatossági és képzési erőfeszítéseiket, olyan útmutatásokat láthatunk, mint például “ne kattintson gyanús linkekre” és “vigye az egérmutatót az e-mailben található linkek fölé, hogy ellenőrizze, hogy az jogos-e”. Hogyan lehet azonban megítélni, hogy egy link és a hozzá tartozó URL (Uniform Resource Locator) legitim webhelyre vezet-e vagy sem?
A linkek és URL-ek értékeléséhez meg kell ismerni az általános felső szintű tartományokat (gTLD-k), az országkódos TLD-ket (ccTLD-k) és az internetes tartományok egyéb típusait. E célból ez a cikk néhány magas szintű információt nyújt a linkek/URL-ek olvasásáról és értelmezéséről.
A generikus felső szintű domainek rövid története
A gTLD-ket már mindannyian megszoktuk. Szinte naponta használjuk a gTLD-ket, beleértve a számunkra legismertebbeket, mint például a .com, .gov és .edu. Ezek az internet szerkezetének kulcsfontosságú részét képezik. Az adathalászok is jól ismerik őket, akik csalárd módon manipulálják az URL-címeket. Az e-mailekben található linkek, valamint a böngészőkben található URL-címek legjobb értékeléséhez nem árt tudni, hogyan alakultak ki és hogyan működnek a különböző tartományok.
1984-ben az RFC 920-as kérvényt (Request for Comments) használták az eredeti “általános célú tartományok” – .com, .gov, .mil, .edu és .org – meghatározására. Egy másik tartományt, a .net-et 1985 elején adták hozzá, és szintén az “eredeti” tartományok között tartják számon. 1988-ban az Észak-atlanti Szerződés Szervezete kérésének eleget téve a .int (nemzetközi) tartományt is hozzáadták. Az évek során további domaineket adtak hozzá, például a .biz és a .info (2001). 2011 elejére 22 gTLD-t hoztak létre. 2011 júniusában az Internet Corporation for Assigned Names and Numbers (ICANN) megszavazta a gTLD-k kérelmezésére és bevezetésére vonatkozó számos korlátozás megszüntetését, és ezzel gyakorlatilag megnyitotta az utat szinte bármilyen gTLD előtt. Az új szabályok értelmében 2015 májusára több mint 600 gTLD-t – köztük olyan új gTLD-ket, mint a .auto, .computer, .network, .social, .pizza, .organic – regisztráltak és engedélyezték az internetes használatot. Egyes biztonsági szakértők szerint a gTLD-k ilyen mértékű fejlődése ajándéknak számít az adathalászok számára, mivel lehetővé teszi számukra, hogy új adathalász weboldalak sokaságát hozzák létre. A kibővített gTLD-k teljes listáját az Internet Assigned Numbers Authority (IANA) Root Zone Database (https://www.iana.org/domains/root/db) tartalmazza.
országkódos TLD-k
Az országkódos TLD-k is számos URL-nek részét képezik, ezért esetenként számíthatunk rá, hogy linkekben is találkozhatunk velük. Az országok azért rendelkeznek ccTLD-kkel, hogy segítsenek megkülönböztetni, hogy egy webhely melyik országban van bejegyezve, vagy melyik országból származik. Az Egyesült Államok ccTLD-jét, a .us-t például gyakran használják az állami és helyi önkormányzatok. További ccTLD példák: Ausztrália, .au; Japán, .jp; és az Egyesült Királyság, .uk. Egy link vagy URL olvasásakor vegye figyelembe, hogy a ccTLD helye az URL-en belül eltolódhat (az URL végén, például http://www.gov.uk, vagy az URL elején, például https ://uk.news.yahoo.com).
Tudta?
Ötvennégy ország döntött úgy, hogy engedélyezi ccTLD-jeik kereskedelmi célú használatát. Például a .co, Kolumbia ccTLD-je használható a .com helyett. A .com domain térhódítása miatt nagyon népszerű, és lehetővé teszi a vállalkozások számára, hogy alternatív módon alakíthassák ki a webhelyneveket.
Láttad már a http://o.co URL-t? Ez az Overstock.com, amely alternatív módot biztosít arra, hogy a böngészőn keresztül elérje a vállalatot.
Elképzelhető, hogy látta már a youtu.be-t. Ez egy legitim URL, amelyet a Google regisztrált Belgium .be ccTLD-jét használva.
A szórakoztatóipar nagy része a Tavalu ccTLD-t, a .TV-t használja. A szigetországnak ez egy remek módja a pénzkeresésnek.
Amikor megpróbáljuk megállapítani, hogy egy webhely legitim-e, vegyük figyelembe, hogy sok ccTLD-t kereskedelmi célokra is használnak. Ami gyanús webhelynek tűnik, az valójában lehet legitim is. A ccTLD-ket azonban adathalászoldalak neveinek kialakítására is használhatják, ezért ha kétségei vannak, ne kattintson!
Ötvennégy ország döntött úgy, hogy engedélyezi ccTLD-jeik kereskedelmi célú használatát. Például a .co, Kolumbia ccTLD-je használható a .com helyett. A .com domain térhódítása miatt nagyon népszerű, és lehetővé teszi a vállalkozások számára, hogy alternatív módon alakíthassák ki a webhelyneveket.
Láttad már a http://o.co URL-t? Ez az Overstock.com, amely alternatív módot biztosít arra, hogy a böngészőn keresztül elérje a vállalatot.
Elképzelhető, hogy látta már a youtu.be-t. Ez egy legitim URL, amelyet a Google regisztrált Belgium .be ccTLD-jét használva.
A szórakoztatóipar nagy része a Tavalu ccTLD-t, a .TV-t használja. A szigetországnak ez egy remek módja a pénzkeresésnek.
Amikor megpróbáljuk megállapítani, hogy egy webhely legitim-e, vegyük figyelembe, hogy sok ccTLD-t kereskedelmi célokra is használnak. Ami gyanús webhelynek tűnik, az valójában lehet legitim is. A ccTLD-ket azonban adathalászoldalak neveinek kialakítására is használhatják, ezért ha kétségei vannak, ne kattintson!
Hogyan alakulnak ki a linkek/URL-ek
Mi a kulcs a linkekben szereplő URL-ek olvasásához? Az alapvető válasz az, hogy egy hivatkozáson belül a fontos dolgok a dupla “//” és az első szimpla kötőjel között helyezkednek el, elsősorban az alább látható kiemelt területen. Az URL értelmezéséhez menjünk az első egyszerű előremenő kötőjelig, majd onnan vissza. Az első egyenesvessző után olyan dolgok vannak felsorolva, mint a könyvtárak, alkönyvtárak, fájlnevek és fájltípusok.
Megjegyzés: A fenti keret az URL alapvető felosztása. A http:// vagy https:// helyett szerepelhet a ftp://, a gopher:// vagy a news://. Ezek különböző típusú átviteli protokollok. Ezenkívül, bár a www sok URL-ben szerepel, nem kötelező összetevő. A gTLD és a másodlagos domain/szerver név előtt további mezőket láthat. Az első perjel után láthat dátumokat vagy más, az erőforrás azonosítására használt információkat jelző mezőket.
Példa linkek/URL-ek
Most, hogy felvérteztük magunkat néhány háttérinformációval, nézzünk néhány példát.
-
Meglehetősen megszoktuk, hogy kereskedelmi oldalakat látunk és használunk, mint például: http://www.amazon.com
Ez egy jól ismert webhely, és az URL nem tartalmaz semmilyen gyanús módosítást.
Az értékelés: -
Az URL-ek szinte bármilyen módon kialakíthatók. Ez megkönnyíti a webhelytulajdonosok számára az egyedi webhelynevek kialakítását. Az adathalászok számára is megkönnyíti ugyanezt, ami azt jelenti, hogy olyan webhelyneveket hozhatnak létre, amelyek nagyban hasonlítanak a legális webhelynevekhez. Nézze meg például, mit tehet egy egyszerű pont egy webhelynévvel: http://www.ama.zon.com/gp/cart/view.html/ref=nav_cart
Ha valaki a fenti linkre kattintana, az amazon.com helyett a zon.com webhelyre jutna, ami egy adathalászok által regisztrált webhely lehet.
Értékelés: -
Hogyan tetszik ez a link? http://This Az e-mail cím a szpemrobotok elleni védelem alatt áll. You need JavaScript enabled to view it./catalog
Ez esetben egy személyt a 66.161.153.155 IP-címre irányítanának, nem pedig az amazon.com-ra. Ha “@” jellel ellátott linket/URL-t lát, legyen különösen óvatos. Az adathalászok rendszeresen használják ezt az URL-manipulációs taktikát.
Értékelés: -
Mi van, ha ezt az URL-t látja egy linkben? http://209.131.36.158/amazon.com/index.jsp
Ez az URL némileg hasonló funkciójú, mint a fenti #3-ban szereplő URL. Egy személyt az IP-címre irányítanánk, nem pedig az amazon.com-ra, amely az első egyetlen átlós írásjel után szerepel.
Értékelés: -
Mi van, ha az alábbi URL-hez hasonló URL-t lát, vagy ha egy weboldal betöltését figyelve valami ehhez hasonlót lát az URL-sávban? http://www.google.com/url?q=http://www.badsite.com
Ez a példa egy olyan URL-t mutat, amely egy személyt egy webhelyről (ebben az esetben a google.com-ról) egy másik webhelyre, a badsite.com-ra irányítana (vegye figyelembe az ezt lehetővé tevő “=http://” nómenklatúrát). Az átirányítás önmagában nem rossz, de az átirányítás egy adathalász webhelyre vezethet. Ebben az esetben a badsite.com nem tűnik legitimnek.
Felmérés:
Tudtad?
Meglátogatsz egy weboldalt, és az URL-ben “www1” vagy “www2” (vagy más szám) szerepel. Mit jelent ez? Egyes weboldalak nagyon népszerűek lehetnek, és ezért több kiszolgáló dolgozik terheléskiegyenlítő konfigurációban, hogy kérésre kiszolgálja a tartalmat. Egyes vállalatok úgy döntenek, hogy számozzák a szervereiket. Ha tehát egy www1 vagy www2 (vagy más www#) számot lát, akkor csak azt látja, hogy a több szerver közül melyik szerver # szolgáltatja a tartalmat. Az adathalászat tekintetében a www1, www2 stb. látása önmagában nem jelzi, hogy adathalász webhelyről van szó.
Meglátogatsz egy weboldalt, és az URL-ben “www1” vagy “www2” (vagy más szám) szerepel. Mit jelent ez? Egyes weboldalak nagyon népszerűek lehetnek, és ezért több kiszolgáló dolgozik terheléskiegyenlítő konfigurációban, hogy kérésre kiszolgálja a tartalmat. Egyes vállalatok úgy döntenek, hogy számozzák a szervereiket. Ha tehát egy www1 vagy www2 (vagy más www#) számot lát, akkor csak azt látja, hogy a több szerver közül melyik szerver # szolgáltatja a tartalmat. Az adathalászat tekintetében a www1, www2 stb. látása önmagában nem jelzi, hogy adathalász webhelyről van szó.
Az URL-en belüli legfelső szintű és másodlagos tartományok gyors meghatározásának elősegítésére egyes vállalatok és szervezetek elkezdték használni a “tartománykiemelést”. Amikor a felhasználó meglátogat egy webhelyet, az URL egy része néhány másodperc múlva elsötétül, a legfelső szintű és másodlagos tartományok pedig sötétben maradnak. Például:
A törvényes, biztonságos webhely jeleit mindig érdemes keresni: zárt lakat, https:// és az URL-en belül zölddel kiemelt cégnév (mint például a fenti PayPal példában). Ha egy webhely tanúsítványa lejárt vagy más módon érvénytelen, egyes böngészők, például az Internet Explorer és a Firefox, vagy biztonsági szolgáltatások figyelmeztetik a felhasználókat. Az ember elgondolkodhat azon, hogy a figyelmeztetés hatására biztonságosan továbbmehet-e. Ebben az esetben használjon más rendelkezésre álló mutatókat (tekintse át újra az URL-címet) annak megállapításához, hogy a webhely legitim-e. Ha kétségei vannak, ne folytassa.
Következtetés
Az adathalászat továbbra is globális probléma, amelyet súlyosbítanak az adathalász taktikákkal nem tisztában lévő felhasználók, az egyre kifinomultabb adathalász módszerek és most már az általános felső szintű tartományok növekvő száma. Bár az e-mailekben található linkek nem az egyetlen módszer, amelyet az adathalászok alkalmaznak, mégis nagyon gyakori. Az adathalászat által jelentett kockázatok csökkentése érdekében tudni kell, hogyan kell értelmezni a linkeket és a kapcsolódó URL-címeket.
Ha többet szeretne megtudni a social engineeringről, a tudatosságról és a képzésről, valamint a kockázatértékelési szolgáltatásokról, kérjük, még ma lépjen kapcsolatba velünk.