Phishing istnieje od dawna, a najnowsze liczby indeksu pokazują, że atakujący wykorzystują go z entuzjazmem.
- Infoblox DNS Threat Index, Q2 Quarterly Report 2015
- Krótka historia generycznych domen najwyższego poziomu
- Country Code TLDs
- Czy wiesz, że? Pięćdziesiąt cztery kraje zdecydowały się zezwolić na używanie swoich domen ccTLD do celów komercyjnych. Na przykład, .co, ccTLD dla Kolumbii, może być używana zamiast .com. Jest ona bardzo popularna, ze względu na rozwijającą się domenę .com, i pozwala firmom na alternatywne sposoby tworzenia nazw stron internetowych. Widziałeś adres URL http://o.co? To jest Overstock.com zapewniając alternatywny sposób, aby dostać się do firmy za pośrednictwem przeglądarki. Może widziałeś youtu.be. To legalny adres URL, zarejestrowany przez Google przy użyciu belgijskiej ccTLD, .be. Większość przemysłu rozrywkowego używa ccTLD Tavalu, .TV. To świetny sposób, aby naród wyspiarski zarabiał pieniądze. Próbując określić, czy dana witryna jest legalna, zdaj sobie sprawę, że wiele ccTLD jest również używanych do celów komercyjnych. To, co wygląda jak podejrzana witryna, może być w rzeczywistości legalne. Jednak ccTLD mogą być również używane do tworzenia nazw witryn phishingowych, więc w razie wątpliwości nie klikaj!
- Jak tworzone są linki/URL
- Przykładowe linki/URL
- Czy wiesz, że? Odwiedzasz witrynę internetową i widzisz „www1” lub „www2” (lub inną liczbę) w adresie URL. Co to oznacza? Niektóre strony internetowe mogą być bardzo popularne i dlatego mają wiele serwerów pracujących w konfiguracji równoważenia obciążenia, aby służyć treści, gdy jest to wymagane. Niektóre firmy decydują się na numerowanie swoich serwerów. Tak więc, jeśli widzisz www1 lub www2 (lub inny www#), po prostu widzisz, który serwer # spośród wielu serwerów dostarcza treść. W odniesieniu do phishingu, zobaczenie www1, www2 itp. nie jest samo w sobie wskaźnikiem strony phishingowej.
- Podsumowanie
Infoblox DNS Threat Index, Q2 Quarterly Report 2015
Użytkownicy końcowi sieci, jako obrońcy pierwszej linii, są krytycznym elementem programu bezpieczeństwa informacji w organizacji. W ciągu ostatnich kilku lat, tematyka świadomości i szkoleń dla użytkowników końcowych sieci obejmowała phishing, zarówno ze względu na jego powszechność, jak i coraz bardziej wyrafinowane metody wykorzystywane przez phisherów do wabienia ofiar. Kiedy nasi konsultanci oceniają ryzyko w organizacji i omawiają z nimi ich działania uświadamiające i szkoleniowe w zakresie phishingu, możemy spotkać się z takimi wskazówkami, jak „nie klikaj na podejrzane linki” i „najedź kursorem myszy na linki w wiadomości e-mail, aby sprawdzić, czy jest ona legalna”. Jak jednak ocenić, czy odsyłacz i powiązany z nim Uniform Resource Locator (URL) prowadzi do legalnej witryny, czy nie?
Aby ocenić odsyłacze i adresy URL, osoba powinna rozumieć ogólne domeny najwyższego poziomu (gTLD), krajowe domeny TLD (ccTLD) i inne rodzaje domen internetowych. W tym celu, ten artykuł dostarcza pewnych wysokopoziomowych informacji o czytaniu i interpretowaniu linków/URL.
Krótka historia generycznych domen najwyższego poziomu
Wszyscy jesteśmy przyzwyczajeni do oglądania gTLD. Niemal codziennie używamy gTLD, w tym tych najbardziej nam znanych, takich jak .com, .gov i .edu. Stanowią one kluczową część struktury Internetu. Są one również dobrze rozumiane przez phisherów, którzy manipulują adresami URL w celu dokonania oszustwa. Aby jak najlepiej ocenić łącza w wiadomościach e-mail, a także adresy URL w przeglądarkach, dobrze jest wiedzieć, jak różne domeny ewoluowały i jak działają.
W 1984 roku, Request for Comments (RFC) 920 został użyty do zdefiniowania oryginalnych „domen ogólnego przeznaczenia” – .com, .gov, .mil, .edu i .org. Kolejna domena, .net, została dodana na początku 1985 roku i jest również uważana za jedną z „oryginalnych” domen. W 1988 roku dodano domenę .int (international), aby spełnić prośbę Organizacji Traktatu Północnoatlantyckiego o domenę. Przez lata dodawano kolejne domeny, takie jak .biz i .info (2001). Do początku 2011 roku utworzono 22 gTLD. W czerwcu 2011 roku Internet Corporation for Assigned Names and Numbers (ICANN) zagłosowała za usunięciem wielu ograniczeń dotyczących wniosków i wdrażania gTLD, skutecznie otwierając drzwi dla prawie każdej gTLD do wykorzystania. Zgodnie z nowymi zasadami, do maja 2015 r. ponad 600 gTLD, w tym nowe gTLD, takie jak .auto, .computer, .network, .social, .pizza, .organic, zostało zarejestrowanych i zatwierdzonych do użytku w Internecie. Według niektórych ekspertów ds. bezpieczeństwa, ta ewolucja gTLD jest uważana za prezent dla phisherów, ponieważ pozwoli im na stworzenie wielu nowych stron phishingowych. Pełną listę rozszerzonych gTLDs można znaleźć w Internet Assigned Numbers Authority (IANA) Root Zone Database (https://www.iana.org/domains/root/db).
Country Code TLDs
Country code TLDs są również częścią wielu adresów URL, a zatem można się spodziewać, że czasami zobaczymy je w odsyłaczach. Kraje mają ccTLD, aby pomóc odróżnić, w jakim kraju dana strona jest zarejestrowana lub z jakiego pochodzi. Na przykład, ccTLD dla Stanów Zjednoczonych, .us, jest często używana przez rządy stanowe i lokalne. Inne przykłady ccTLD to Australia, .au; Japonia, .jp; i Wielka Brytania, .uk. Czytając łącze lub adres URL, należy pamiętać, że lokalizacja ccTLD w adresie URL może się zmieniać (na końcu adresu URL, np. http://www.gov.uk, lub wcześniej w adresie URL, np. https ://uk.news.yahoo.com).
Czy wiesz, że?
Pięćdziesiąt cztery kraje zdecydowały się zezwolić na używanie swoich domen ccTLD do celów komercyjnych. Na przykład, .co, ccTLD dla Kolumbii, może być używana zamiast .com. Jest ona bardzo popularna, ze względu na rozwijającą się domenę .com, i pozwala firmom na alternatywne sposoby tworzenia nazw stron internetowych.
Widziałeś adres URL http://o.co? To jest Overstock.com zapewniając alternatywny sposób, aby dostać się do firmy za pośrednictwem przeglądarki.
Może widziałeś youtu.be. To legalny adres URL, zarejestrowany przez Google przy użyciu belgijskiej ccTLD, .be.
Większość przemysłu rozrywkowego używa ccTLD Tavalu, .TV. To świetny sposób, aby naród wyspiarski zarabiał pieniądze.
Próbując określić, czy dana witryna jest legalna, zdaj sobie sprawę, że wiele ccTLD jest również używanych do celów komercyjnych. To, co wygląda jak podejrzana witryna, może być w rzeczywistości legalne. Jednak ccTLD mogą być również używane do tworzenia nazw witryn phishingowych, więc w razie wątpliwości nie klikaj!
Pięćdziesiąt cztery kraje zdecydowały się zezwolić na używanie swoich domen ccTLD do celów komercyjnych. Na przykład, .co, ccTLD dla Kolumbii, może być używana zamiast .com. Jest ona bardzo popularna, ze względu na rozwijającą się domenę .com, i pozwala firmom na alternatywne sposoby tworzenia nazw stron internetowych.
Widziałeś adres URL http://o.co? To jest Overstock.com zapewniając alternatywny sposób, aby dostać się do firmy za pośrednictwem przeglądarki.
Może widziałeś youtu.be. To legalny adres URL, zarejestrowany przez Google przy użyciu belgijskiej ccTLD, .be.
Większość przemysłu rozrywkowego używa ccTLD Tavalu, .TV. To świetny sposób, aby naród wyspiarski zarabiał pieniądze.
Próbując określić, czy dana witryna jest legalna, zdaj sobie sprawę, że wiele ccTLD jest również używanych do celów komercyjnych. To, co wygląda jak podejrzana witryna, może być w rzeczywistości legalne. Jednak ccTLD mogą być również używane do tworzenia nazw witryn phishingowych, więc w razie wątpliwości nie klikaj!
Jak tworzone są linki/URL
Więc jaki jest klucz do odczytywania adresów URL w linkach? Podstawową odpowiedzią jest to, że w łączu ważne rzeczy znajdują się pomiędzy podwójnym ukośnikiem „//” a pierwszym pojedynczym ukośnikiem, głównie w zaznaczonym obszarze pokazanym poniżej. Aby zinterpretować adres URL, przejdź do pierwszego pojedynczego ukośnika, a następnie cofnij się stamtąd. Po pierwszym ukośniku w przód, rzeczy takie jak katalogi, podkatalogi, nazwy plików i typy plików są wymienione.
Uwaga: Powyższe ramy to podstawowy podział URL. Zamiast http:// lub https:// możesz zobaczyć ftp://, gopher://, lub news://. Są to różne rodzaje protokołów transferu. Dodatkowo, chociaż www występuje w wielu adresach URL, nie jest to element wymagany. Możesz zobaczyć dodatkowe pola przed gTLD i wtórnej nazwy domeny/serwera. Po pierwszym ukośniku w przód, możesz zobaczyć pola wskazujące daty, lub inne informacje używane do identyfikacji zasobu.
Przykładowe linki/URL
Teraz, gdy jesteśmy uzbrojeni w pewne informacje ogólne, spójrzmy na kilka przykładów.
-
Jesteśmy dość przyzwyczajeni do oglądania i używania stron komercyjnych, takich jak: http://www.amazon.com
Jest to dobrze znana witryna, a adres URL nie zawiera żadnych podejrzanych modyfikacji.
Ocena: LEGIT! -
URL mogą być formowane w niemal dowolny sposób. Ułatwia to właścicielom witryn tworzenie unikalnych nazw stron. Ułatwia to również phisherom robienie tego samego, co oznacza, że mogą oni budować nazwy witryn, które są bardzo zbliżone do prawdziwych nazw witryn. Na przykład, spójrz, co prosta kropka może zrobić z nazwą witryny: http://www.ama.zon.com/gp/cart/view.html/ref=nav_cart
Jeżeli osoba kliknęłaby na powyższy link, zamiast przejść na stronę amazon.com, zostałaby przekierowana na stronę zon.com, która może być stroną zarejestrowaną przez phisherów.
Ocena: SUSPECT! -
A co powiesz na ten link? http://This Adres poczty elektronicznej jest chroniony przed robotami spamującymi. You need JavaScript enabled to view it./catalog
W tym przypadku, osoba zostałaby skierowana na adres IP 66.161.153.155, a nie amazon.com. Jeśli zobaczysz link/URL ze znakiem „@”, zachowaj szczególną ostrożność. Phisherzy nagminnie stosują tę taktykę manipulacji adresami URL.
Ocena: SUSPECT! -
Co zrobić, jeśli zobaczysz ten adres URL w odsyłaczu? http://209.131.36.158/amazon.com/index.jsp
Ten adres URL jest nieco podobny w funkcji do adresu URL z #3 powyżej. Osoba zostałaby skierowana na adres IP, a nie amazon.com, który jest wymieniony po pierwszym pojedynczym ukośniku w przód.
Ocena: SUSPECT! -
Co jeśli widzisz URL podobny do tego poniżej, lub, gdy obserwujesz ładowanie strony internetowej, widzisz coś podobnego do tego w pasku URL? http://www.google.com/url?q=http://www.badsite.com
Ten przykład pokazuje adres URL, który skierowałby osobę z jednej strony (w tym przypadku, google.com) do innej strony, badsite.com (zwróć uwagę na nomenklaturę „=http://”, która na to pozwala). Odsyłacze same w sobie nie są złe, ale odesłanie może prowadzić do strony phishingowej. W tym przypadku, badsite.com nie wygląda na legalną.
Ocena: SUSPECT!
Czy wiesz, że?
Odwiedzasz witrynę internetową i widzisz „www1” lub „www2” (lub inną liczbę) w adresie URL. Co to oznacza? Niektóre strony internetowe mogą być bardzo popularne i dlatego mają wiele serwerów pracujących w konfiguracji równoważenia obciążenia, aby służyć treści, gdy jest to wymagane. Niektóre firmy decydują się na numerowanie swoich serwerów. Tak więc, jeśli widzisz www1 lub www2 (lub inny www#), po prostu widzisz, który serwer # spośród wielu serwerów dostarcza treść. W odniesieniu do phishingu, zobaczenie www1, www2 itp. nie jest samo w sobie wskaźnikiem strony phishingowej.
Odwiedzasz witrynę internetową i widzisz „www1” lub „www2” (lub inną liczbę) w adresie URL. Co to oznacza? Niektóre strony internetowe mogą być bardzo popularne i dlatego mają wiele serwerów pracujących w konfiguracji równoważenia obciążenia, aby służyć treści, gdy jest to wymagane. Niektóre firmy decydują się na numerowanie swoich serwerów. Tak więc, jeśli widzisz www1 lub www2 (lub inny www#), po prostu widzisz, który serwer # spośród wielu serwerów dostarcza treść. W odniesieniu do phishingu, zobaczenie www1, www2 itp. nie jest samo w sobie wskaźnikiem strony phishingowej.
Aby pomóc użytkownikom szybko określić domeny najwyższego poziomu i domeny drugorzędne w adresie URL, niektóre firmy i organizacje zaczęły używać „wyróżniania domen”. Kiedy użytkownik odwiedza witrynę, część adresu URL po kilku sekundach zostaje przyciemniona, pozostawiając domeny najwyższego poziomu i domeny drugorzędne ciemne. Na przykład:
Zawsze dobrze jest szukać znaków legalnej, bezpiecznej witryny: zamkniętej kłódki, https:// i nazwy firmy podświetlonej na zielono w adresie URL (jak w przykładzie PayPal powyżej). Jeśli certyfikat witryny wygasł lub jest w inny sposób nieważny, niektóre przeglądarki, takie jak Internet Explorer i Firefox, lub usługi bezpieczeństwa, ostrzegają użytkowników. Osoba może się zastanawiać, czy jest bezpiecznie kontynuować przez to ostrzeżenie. W takim przypadku należy skorzystać z innych dostępnych wskaźników (ponownie przejrzeć adres URL), które pomogą określić, czy dana strona jest legalna. Jeśli masz wątpliwości, nie kontynuuj.
Podsumowanie
Phishing nadal stanowi globalny problem, pogłębiany przez użytkowników, którzy nie są świadomi taktyk phishingowych, coraz bardziej wyrafinowane metody phishingu, a obecnie coraz większy zestaw generycznych domen najwyższego poziomu. Chociaż odsyłacze w wiadomościach e-mail nie są jedyną metodą wykorzystywaną przez phisherów, jest ona bardzo powszechna. Aby zmniejszyć ryzyko związane z phishingiem, należy wiedzieć, jak interpretować odsyłacze i powiązane z nimi adresy URL.
Jeśli jesteś zainteresowany dowiedzeniem się więcej na temat inżynierii społecznej, świadomości i szkoleń oraz usług oceny ryzyka, skontaktuj się z nami już dziś.