Phishing-ul există de mult timp, iar cele mai recente cifre de indexare arată că atacatorii îl folosesc cu entuziasm.
- Infoblox DNS Threat Index, Q2 Quarterly Report 2015
- Un scurt istoric al domeniilor generice de nivel superior
- Codurile de țară TLD
- Știați că? Cincizeci și patru de țări au ales să permită ca ccTLD-urile lor să fie folosite în scopuri comerciale. De exemplu, .co, ccTLD pentru Columbia, poate fi utilizat în locul lui .com. Este foarte popular, din cauza domeniului .com în plină expansiune, și permite întreprinderilor să aibă modalități alternative de a forma nume de site-uri web. Ați văzut URL-ul http://o.co? Acesta este Overstock.com care vă oferă o modalitate alternativă de a ajunge la companie prin intermediul browserului dumneavoastră. Poate ați văzut youtu.be. Acesta este un URL legitim, înregistrat de Google folosind ccTLD-ul Belgiei, .be. Mare parte din industria de divertisment folosește ccTLD-ul Tavalu, .TV. Este o modalitate excelentă pentru națiunea insulară de a face bani. Când încercați să determinați dacă un site este legitim, realizați că multe ccTLD-uri sunt, de asemenea, folosite în scopuri comerciale. Ceea ce pare a fi un site suspect ar putea fi, de fapt, legitim. Cu toate acestea, ccTLD-urile pot fi, de asemenea, folosite pentru a forma nume pentru site-uri de phishing, așa că atunci când aveți dubii, nu faceți clic!
- Cum se formează link-urile/URL-urile
- Exemple de linkuri/URL-uri
- Știați că? Vizitezi un site web și vezi „www1” sau „www2” (sau alt număr) în URL. Ce înseamnă acest lucru? Unele site-uri web pot fi foarte populare și, prin urmare, au mai multe servere care lucrează într-o configurație de echilibrare a sarcinii pentru a servi conținutul atunci când este solicitat. Unele companii aleg să își numeroteze serverele. Așadar, dacă vedeți un www1 sau www2 (sau alt www#), vedeți doar care server # din mai multe servere furnizează conținutul. În ceea ce privește phishing-ul, a vedea un www1, www2, etc., nu este în sine un indicator al unui site de phishing.
- Concluzie
Infoblox DNS Threat Index, Q2 Quarterly Report 2015
Utilizatorii finali ai rețelei, în calitate de apărători din prima linie, sunt o componentă critică a programului de securitate a informațiilor unei organizații. În ultimii ani, printre subiectele de conștientizare și formare pentru utilizatorii finali de rețea s-a numărat și phishing-ul, atât din cauza naturii sale galopante, cât și a metodelor din ce în ce mai sofisticate pe care le folosesc phisherii pentru a atrage victimele. Atunci când consultanții noștri evaluează riscurile din cadrul unei organizații și discută cu aceasta despre eforturile de conștientizare și formare în domeniul phishing-ului, este posibil să vedem îndrumări de genul „nu faceți clic pe link-uri suspecte” și „treceți cursorul mouse-ului peste link-urile dintr-un e-mail pentru a verifica dacă este legitim”. Cu toate acestea, cum se poate evalua dacă un link și Uniform Resource Locator (URL) asociat duce sau nu la un site legitim?
Pentru a evalua linkurile și URL-urile, o persoană ar trebui să înțeleagă domeniile generice de nivel superior (gTLD), domeniile de nivel superior cu cod de țară (ccTLD) și alte tipuri de domenii de internet. În acest scop, acest articol oferă câteva informații de nivel înalt despre citirea și interpretarea linkurilor/URL-urilor.
Un scurt istoric al domeniilor generice de nivel superior
Suntem cu toții obișnuiți să vedem gTLD-uri. Aproape zilnic, folosim gTLD-uri, inclusiv cele care ne sunt cele mai familiare, cum ar fi .com, .gov și .edu. Acestea reprezintă o parte esențială a structurii internetului. Ele sunt, de asemenea, bine cunoscute de către phisheri, care manipulează URL-urile pentru utilizare frauduloasă. Pentru a evalua cel mai bine legăturile din e-mailuri, precum și URL-urile din browsere, este bine să știm cum au evoluat diferitele domenii și cum funcționează acestea.
În 1984, Request for Comments (RFC) 920 a fost folosit pentru a defini „domeniile de uz general” originale – .com, .gov, .mil, .edu și .org. Un alt domeniu, .net, a fost adăugat la începutul anului 1985 și este, de asemenea, considerat unul dintre domeniile „originale”. În 1988, a fost adăugat .int (internațional) pentru a răspunde solicitării Organizației Tratatului Atlanticului de Nord de a avea un domeniu. De-a lungul anilor, au fost adăugate și alte domenii, cum ar fi .biz și .info (2001). Până la începutul anului 2011, fuseseră create 22 de gTLD-uri. În iunie 2011, Internet Corporation for Assigned Names and Numbers (ICANN) a votat pentru a elimina multe dintre restricțiile privind aplicațiile și punerea în aplicare a gTLD-urilor, deschizând astfel ușa pentru aproape orice gTLD care poate fi utilizat. Conform noilor reguli, până în mai 2015, peste 600 de gTLD-uri, inclusiv noi gTLD-uri precum .auto, .computer, .network, .social, .pizza, .organic, au fost înregistrate și autorizate pentru utilizare pe internet. Potrivit unor experți în securitate, această evoluție a gTLD-urilor este considerată un cadou pentru phisheri, deoarece le va permite acestora să formeze o multitudine de noi site-uri de phishing. Pentru o listă completă a gTLD-urilor extinse, consultați Internet Assigned Numbers Authority (IANA) Root Zone Database (https://www.iana.org/domains/root/db).
Codurile de țară TLD
Codurile de țară TLD fac parte, de asemenea, din multe URL-uri și, prin urmare, ne putem aștepta să le vedem ocazional în link-uri. Țările au ccTLD-uri pentru a ajuta la distingerea țării în care un site este înregistrat sau din care provine. De exemplu, ccTLD pentru Statele Unite ale Americii, .us, este adesea folosit de guvernele locale și de stat. Alte exemple de ccTLD sunt Australia, .au; Japonia, .jp; și Regatul Unit, .uk. Atunci când citiți un link sau un URL, realizați că locația ccTLD-ului în cadrul URL-ului ar putea să se schimbe (la sfârșitul unui URL, cum ar fi http://www.gov.uk, sau mai devreme într-un URL, cum ar fi https ://uk.news.yahoo.com).
Știați că?
Cincizeci și patru de țări au ales să permită ca ccTLD-urile lor să fie folosite în scopuri comerciale. De exemplu, .co, ccTLD pentru Columbia, poate fi utilizat în locul lui .com. Este foarte popular, din cauza domeniului .com în plină expansiune, și permite întreprinderilor să aibă modalități alternative de a forma nume de site-uri web.
Ați văzut URL-ul http://o.co? Acesta este Overstock.com care vă oferă o modalitate alternativă de a ajunge la companie prin intermediul browserului dumneavoastră.
Poate ați văzut youtu.be. Acesta este un URL legitim, înregistrat de Google folosind ccTLD-ul Belgiei, .be.
Mare parte din industria de divertisment folosește ccTLD-ul Tavalu, .TV. Este o modalitate excelentă pentru națiunea insulară de a face bani.
Când încercați să determinați dacă un site este legitim, realizați că multe ccTLD-uri sunt, de asemenea, folosite în scopuri comerciale. Ceea ce pare a fi un site suspect ar putea fi, de fapt, legitim. Cu toate acestea, ccTLD-urile pot fi, de asemenea, folosite pentru a forma nume pentru site-uri de phishing, așa că atunci când aveți dubii, nu faceți clic!
Cincizeci și patru de țări au ales să permită ca ccTLD-urile lor să fie folosite în scopuri comerciale. De exemplu, .co, ccTLD pentru Columbia, poate fi utilizat în locul lui .com. Este foarte popular, din cauza domeniului .com în plină expansiune, și permite întreprinderilor să aibă modalități alternative de a forma nume de site-uri web.
Ați văzut URL-ul http://o.co? Acesta este Overstock.com care vă oferă o modalitate alternativă de a ajunge la companie prin intermediul browserului dumneavoastră.
Poate ați văzut youtu.be. Acesta este un URL legitim, înregistrat de Google folosind ccTLD-ul Belgiei, .be.
Mare parte din industria de divertisment folosește ccTLD-ul Tavalu, .TV. Este o modalitate excelentă pentru națiunea insulară de a face bani.
Când încercați să determinați dacă un site este legitim, realizați că multe ccTLD-uri sunt, de asemenea, folosite în scopuri comerciale. Ceea ce pare a fi un site suspect ar putea fi, de fapt, legitim. Cu toate acestea, ccTLD-urile pot fi, de asemenea, folosite pentru a forma nume pentru site-uri de phishing, așa că atunci când aveți dubii, nu faceți clic!
Cum se formează link-urile/URL-urile
Cum se formează link-urile/URL-urile
Atunci care este cheia pentru a citi URL-urile din link-uri? Răspunsul de bază este că, în cadrul unui link, lucrurile importante se află între dubla bară oblică „//” și prima bară oblică simplă, în principal în zona evidențiată prezentată mai jos. Pentru a interpreta URL-ul, mergeți la prima bară oblică simplă și apoi mergeți înapoi de acolo. După prima bară oblică înainte, sunt enumerate lucruri precum directoare, subdirectoare, nume de fișiere și tipuri de fișiere.
Nota: Cadrul de mai sus reprezintă structura de bază a URL-ului. În loc de http:// sau https://, este posibil să vedeți ftp://, gopher:// sau news://. Acestea sunt tipuri diferite de protocoale de transfer. În plus, deși www se regăsește în multe URL-uri, nu este o componentă obligatorie. Este posibil să vedeți câmpuri suplimentare înainte de gTLD și de numele de domeniu/server secundar. După prima bară oblică directă, este posibil să vedeți câmpuri care indică date sau alte informații utilizate pentru a identifica o resursă.
Exemple de linkuri/URL-uri
Acum că suntem înarmați cu unele informații de bază, să analizăm câteva exemple.
-
Suntem destul de obișnuiți să vedem și să folosim site-uri comerciale, cum ar fi: http://www.amazon.com
Acesta este un site bine cunoscut, iar URL-ul nu include nicio modificare suspectă.
Evaluare: LEGIT! -
URL-urile pot fi formate în aproape orice mod. Acest lucru face ca proprietarilor de site-uri să le fie ușor să construiască nume de site-uri unice. De asemenea, facilitează și pentru phisheri să facă același lucru, ceea ce înseamnă că pot construi nume de site-uri care se apropie foarte mult de numele site-urilor legitime. De exemplu, priviți ce poate face un simplu punct la un nume de site: http://www.ama.zon.com/gp/cart/view.html/ref=nav_cart
Dacă o persoană ar face clic pe link-ul de mai sus, în loc să ajungă la amazon.com, persoana ar fi direcționată către site-ul zon.com, care ar putea fi un site înregistrat de phisheri.
Evaluare: SUSPECT! -
Ce părere aveți despre acest link? http://This Adresa de email este protejată contra spambots. Trebuie să activați JavaScript pentru a o vedea./catalog
În acest caz, o persoană ar fi direcționată către adresa IP 66.161.153.155, nu către amazon.com. Dacă vedeți un link/URL cu semnul „@”, fiți deosebit de atenți. Phisherii folosesc în mod obișnuit această tactică de manipulare a URL-urilor.
Evaluare: SUSPECT! -
Ce se întâmplă dacă vedeți acest URL într-un link? http://209.131.36.158/amazon.com/index.jsp
Acest URL este oarecum similar ca funcție cu URL-ul de la punctul 3 de mai sus. O persoană ar fi direcționată către adresa IP, nu către amazon.com, care este listată după prima bară oblică simplă.
Evaluare: SUSPECT! -
Ce se întâmplă dacă vedeți un URL similar cu cel de mai jos sau, în timp ce urmăriți încărcarea unei pagini web, vedeți ceva similar cu acesta în bara URL? http://www.google.com/url?q=http://www.badsite.com
Acest exemplu arată un URL care ar trimite o persoană de la un site (în acest caz, google.com) la un alt site, badsite.com (observați nomenclatura „=http://” care permite acest lucru). Trimiterile nu sunt rele în sine, dar o trimitere ar putea duce la un site de phishing. În acest caz, badsite.com nu pare a fi legitim.
Evaluare: SUSPECT!
Știați că?
Vizitezi un site web și vezi „www1” sau „www2” (sau alt număr) în URL. Ce înseamnă acest lucru? Unele site-uri web pot fi foarte populare și, prin urmare, au mai multe servere care lucrează într-o configurație de echilibrare a sarcinii pentru a servi conținutul atunci când este solicitat. Unele companii aleg să își numeroteze serverele. Așadar, dacă vedeți un www1 sau www2 (sau alt www#), vedeți doar care server # din mai multe servere furnizează conținutul. În ceea ce privește phishing-ul, a vedea un www1, www2, etc., nu este în sine un indicator al unui site de phishing.
Vizitezi un site web și vezi „www1” sau „www2” (sau alt număr) în URL. Ce înseamnă acest lucru? Unele site-uri web pot fi foarte populare și, prin urmare, au mai multe servere care lucrează într-o configurație de echilibrare a sarcinii pentru a servi conținutul atunci când este solicitat. Unele companii aleg să își numeroteze serverele. Așadar, dacă vedeți un www1 sau www2 (sau alt www#), vedeți doar care server # din mai multe servere furnizează conținutul. În ceea ce privește phishing-ul, a vedea un www1, www2, etc., nu este în sine un indicator al unui site de phishing.
Pentru a ajuta utilizatorii să determine rapid domeniile de nivel superior și cele secundare dintr-un URL, unele companii și organizații au început să folosească „evidențierea domeniilor”. Atunci când un utilizator vizitează un site, o parte din URL se va atenua după câteva secunde, lăsând domeniile de nivel superior și cele secundare întunecate. De exemplu:
Este întotdeauna bine să căutați semnele unui site legitim și sigur: lacătul închis, https:// și numele companiei evidențiat în verde în cadrul URL-ului (cum ar fi în exemplul PayPal de mai sus). În cazul în care certificatul unui site a expirat sau este invalid în alt mod, unele browsere, cum ar fi Internet Explorer și Firefox, sau servicii de securitate, vor avertiza utilizatorii. O persoană ar putea să se întrebe dacă este sigur să continue prin intermediul avertismentului. În acest caz, utilizați alți indicatori disponibili (revedeți din nou URL-ul) pentru a determina dacă site-ul este legitim. Dacă aveți dubii, nu continuați.
Concluzie
Phishing-ul continuă să fie o problemă globală, exacerbată de utilizatorii care nu sunt conștienți de tacticile de phishing, de metodele de phishing din ce în ce mai sofisticate și, acum, de un set din ce în ce mai mare de Top-Level Domains generice. Deși linkurile din e-mailuri nu sunt singura metodă pe care o folosesc phisherii, aceasta este foarte frecventă. Pentru a reduce riscurile reprezentate de phishing, este necesar să știți cum să interpretați linkurile și URL-urile asociate.
Dacă sunteți interesat să aflați mai multe despre ingineria socială, servicii de conștientizare și formare și de evaluare a riscurilor, vă rugăm să ne contactați astăzi.
.