Nätfiske har funnits länge och de senaste indexsiffrorna visar att angriparna använder sig entusiastiskt av det.
- Infoblox DNS Threat Index, Q2 Quarterly Report 2015
- En kort historia om generiska toppdomäner
- Länderkoder till toppdomäner
- Visste du det? Femtiofyra länder har valt att tillåta att deras ccTLD:er används för kommersiella ändamål. Till exempel kan .co, ccTLD för Colombia, användas i stället för .com. Det är mycket populärt på grund av den växande .com-domänen och gör det möjligt för företag att ha alternativa sätt att bilda webbplatsnamn. Har du sett webbadressen http://o.co? Det är Overstock.com som ger dig ett alternativt sätt att komma till företaget via din webbläsare. Du kanske har sett youtu.be. Det är en legitim URL som registrerats av Google med hjälp av Belgiens ccTLD .be. En stor del av underhållningsindustrin använder Tavalus ccTLD .TV. Det är ett bra sätt för önationen att tjäna pengar. När du försöker avgöra om en webbplats är legitim bör du inse att många ccTLD:er också används i kommersiellt syfte. Det som ser ut som en misstänkt webbplats kan i själva verket vara legitimt. Men ccTLD:er kan också användas för att bilda namn för nätfiskewebbplatser, så om du är osäker, klicka inte!
- Hur länkar/URL:er bildas
- Exempel på länkar/URL:er
- Visste du det? Du besöker en webbplats och ser ”www1” eller ”www2” (eller ett annat nummer) i webbadressen. Vad betyder detta? Vissa webbplatser kan vara mycket populära och har därför flera servrar som arbetar i en belastningsbalanserande konfiguration för att servera innehåll när det begärs. Vissa företag väljer att numrera sina servrar. Om du ser en www1 eller www2 (eller ett annat www#) ser du alltså bara vilken server # bland flera servrar som tillhandahåller innehållet. När det gäller phishing är det att se en www1, www2 etc. inte i sig självt en indikator på en phishing-webbplats.
- Slutsats
Infoblox DNS Threat Index, Q2 Quarterly Report 2015
Nätverkets slutanvändare är som frontlinjeförsvarare en kritisk komponent i en organisations informationssäkerhetsprogram. Under de senaste åren har medvetenhet och utbildning för nätverksanvändare inkluderat nätfiske, både på grund av dess utbredda karaktär och på grund av de alltmer sofistikerade metoder som nätfiskeföretag använder för att locka offer. När våra konsulter utvärderar riskerna inom en organisation och diskuterar med dem om deras medvetenhets- och utbildningsinsatser i fråga om nätfiske, kan vi se riktlinjer som ”klicka inte på misstänkta länkar” och ”håll muspekaren över länkar i ett e-postmeddelande för att kontrollera om det är legitimt”. Men hur utvärderar man om en länk och den tillhörande Uniform Resource Locator (URL) leder till en legitim webbplats eller inte?
För att utvärdera länkar och URL:er bör en person förstå generiska toppdomäner (gTLD:er), landskod-TLD:er (ccTLD:er) och andra typer av Internetdomäner. I den här artikeln ges därför viss information på hög nivå om hur man läser och tolkar länkar/URL:er.
En kort historia om generiska toppdomäner
Vi är alla vana vid att se gTLD:er. Nästan dagligen använder vi gTLD:er, inklusive de som är mest bekanta för oss, t.ex. .com, .gov och .edu. De är en viktig del av Internets struktur. De är också välkända av phishers, som manipulerar webbadresser för bedrägligt bruk. För att på bästa sätt kunna bedöma länkar i e-postmeddelanden och webbadresser i webbläsare är det bra att veta hur de olika domänerna har utvecklats och hur de fungerar.
1984 användes RFC 920 (Request for Comments) för att definiera de ursprungliga ”domänerna för allmänna ändamål” – .com, .gov, .mil, .edu och .org. Ytterligare en domän, .net, lades till i början av 1985 och anses också vara en av de ”ursprungliga” domänerna. År 1988 lades .int (internationell) till för att tillgodose Nordatlantiska fördragsorganisationens begäran om en domän. Under årens lopp har andra domäner lagts till, t.ex. .biz och .info (2001). I början av 2011 hade 22 gTLD:er inrättats. I juni 2011 röstade Internet Corporation for Assigned Names and Numbers (ICANN) för att avlägsna många av restriktionerna för ansökningar om och genomförande av gTLD:er, vilket i praktiken öppnade dörren för att nästan alla gTLD:er ska kunna användas. Enligt de nya reglerna hade i maj 2015 över 600 generiska toppdomäner, inklusive nya generiska toppdomäner som .auto, .computer, .network, .social, .pizza, .organic, registrerats och godkänts för användning på Internet. Enligt vissa säkerhetsexperter anses denna utveckling av gTLD:er vara en gåva till nätfiskare eftersom den kommer att göra det möjligt för dem att bilda en mängd nya nätfiskewebbplatser. En fullständig förteckning över de utökade gTLD:erna finns i IANA:s (Internet Assigned Numbers Authority) Root Zone Database (https://www.iana.org/domains/root/db).
Länderkoder till toppdomäner
Länderkoder till toppdomäner ingår också i många webbadresser, och därför kan man förvänta sig att se dem i länkar vid enstaka tillfällen. Länder har ccTLD:er för att hjälpa till att särskilja vilket land en webbplats är registrerad i eller har sitt ursprung från. Till exempel används ccTLD för USA, .us, ofta av delstatliga och lokala myndigheter. Andra exempel på ccTLD:er är Australien, .au, Japan, .jp och Storbritannien, .uk. När du läser en länk eller webbadress bör du vara medveten om att platsen för ccTLD i webbadressen kan skifta (i slutet av en webbadress, t.ex. http://www.gov.uk, eller tidigare i en webbadress, t.ex. https ://uk.news.yahoo.com).
Visste du det?
Femtiofyra länder har valt att tillåta att deras ccTLD:er används för kommersiella ändamål. Till exempel kan .co, ccTLD för Colombia, användas i stället för .com. Det är mycket populärt på grund av den växande .com-domänen och gör det möjligt för företag att ha alternativa sätt att bilda webbplatsnamn.
Har du sett webbadressen http://o.co? Det är Overstock.com som ger dig ett alternativt sätt att komma till företaget via din webbläsare.
Du kanske har sett youtu.be. Det är en legitim URL som registrerats av Google med hjälp av Belgiens ccTLD .be.
En stor del av underhållningsindustrin använder Tavalus ccTLD .TV. Det är ett bra sätt för önationen att tjäna pengar.
När du försöker avgöra om en webbplats är legitim bör du inse att många ccTLD:er också används i kommersiellt syfte. Det som ser ut som en misstänkt webbplats kan i själva verket vara legitimt. Men ccTLD:er kan också användas för att bilda namn för nätfiskewebbplatser, så om du är osäker, klicka inte!
Femtiofyra länder har valt att tillåta att deras ccTLD:er används för kommersiella ändamål. Till exempel kan .co, ccTLD för Colombia, användas i stället för .com. Det är mycket populärt på grund av den växande .com-domänen och gör det möjligt för företag att ha alternativa sätt att bilda webbplatsnamn.
Har du sett webbadressen http://o.co? Det är Overstock.com som ger dig ett alternativt sätt att komma till företaget via din webbläsare.
Du kanske har sett youtu.be. Det är en legitim URL som registrerats av Google med hjälp av Belgiens ccTLD .be.
En stor del av underhållningsindustrin använder Tavalus ccTLD .TV. Det är ett bra sätt för önationen att tjäna pengar.
När du försöker avgöra om en webbplats är legitim bör du inse att många ccTLD:er också används i kommersiellt syfte. Det som ser ut som en misstänkt webbplats kan i själva verket vara legitimt. Men ccTLD:er kan också användas för att bilda namn för nätfiskewebbplatser, så om du är osäker, klicka inte!
Hur länkar/URL:er bildas
Vad är då nyckeln till att läsa URL:er i länkar? Det grundläggande svaret är att det viktiga i en länk ligger mellan det dubbla forward-slashet ”//” och det första enkla slashet, främst i det markerade området som visas nedan. För att tolka URL:n ska du gå till det första enkla framåtskjutande snedstrecket och sedan tillbaka uppåt därifrån. Efter det första forward slashet anges saker som kataloger, underkataloger, filnamn och filtyper.
Notera: Ramverket ovan är den grundläggande URL-uppdelningen. I stället för http:// eller https:// kan man se ftp://, gopher:// eller news://. Dessa är olika typer av överföringsprotokoll. Även om www förekommer i många webbadresser är det inte en obligatorisk komponent. Du kan se ytterligare fält före gTLD och det sekundära domän-/servernamnet. Efter det första snedstrecket kan du se fält som anger datum eller annan information som används för att identifiera en resurs.
Exempel på länkar/URL:er
Nu när vi är beväpnade med lite bakgrundsinformation kan vi titta på några exempel.
-
Vi är ganska vana vid att se och använda kommersiella webbplatser, t.ex: http://www.amazon.com
Detta är en välkänd webbplats och webbadressen innehåller inga misstänkta ändringar.
Bedömning: LEGIT! -
URL:er kan utformas på nästan vilket sätt som helst. Detta gör det lätt för webbplatsägare att skapa unika webbplatsnamn. Det gör det också lätt för phishers att göra detsamma, vilket innebär att de kan skapa webbplatsnamn som ligger nära legitima webbplatsnamn. Se till exempel vad en enkel punkt kan göra med ett webbplatsnamn: http://www.ama.zon.com/gp/cart/view.html/ref=nav_cart
Om en person klickar på länken ovan skulle personen i stället för att gå till amazon.com hänvisas till webbplatsen zon.com, som kan vara en webbplats som registrerats av phishers.
Bedömning: -
Vad sägs om den här länken? http://This E-postadressen skyddas mot spambots. Du måste tillåta JavaScript för att se den. /catalog
I det här fallet skulle en person hänvisas till IP-adressen 66.161.153.155, inte till amazon.com. Om du ser en länk/URL med ett ”@”-tecken ska du vara särskilt försiktig. Phishers använder sig rutinmässigt av denna taktik för att manipulera webbadresser.
Bedömning: -
Vad händer om du ser denna URL i en länk?
Den här URL:n har en liknande funktion som URL:n i punkt 3 ovan. En person skulle hänvisas till IP-adressen, inte till amazon.com, som anges efter det första enskilda snedstrecket.
Bedömning: -
Vad händer om du ser en URL som liknar den nedan, eller om du, när du tittar på en webbsida som laddas, ser något som liknar detta i URL-fältet? http://www.google.com/url?q=http://www.badsite.com
Detta exempel visar en URL som skulle hänvisa en person från en webbplats (i det här fallet google.com) till en annan webbplats, badsite.com (observera ”=http://”-nomenklaturen som tillåter detta). Hänvisningar är inte dåliga i sig själva, men en hänvisning kan leda till en nätfiskewebbplats. I det här fallet ser badsite.com inte ut att vara legitim.
Bedömning:
Visste du det?
Du besöker en webbplats och ser ”www1” eller ”www2” (eller ett annat nummer) i webbadressen. Vad betyder detta? Vissa webbplatser kan vara mycket populära och har därför flera servrar som arbetar i en belastningsbalanserande konfiguration för att servera innehåll när det begärs. Vissa företag väljer att numrera sina servrar. Om du ser en www1 eller www2 (eller ett annat www#) ser du alltså bara vilken server # bland flera servrar som tillhandahåller innehållet. När det gäller phishing är det att se en www1, www2 etc. inte i sig självt en indikator på en phishing-webbplats.
Du besöker en webbplats och ser ”www1” eller ”www2” (eller ett annat nummer) i webbadressen. Vad betyder detta? Vissa webbplatser kan vara mycket populära och har därför flera servrar som arbetar i en belastningsbalanserande konfiguration för att servera innehåll när det begärs. Vissa företag väljer att numrera sina servrar. Om du ser en www1 eller www2 (eller ett annat www#) ser du alltså bara vilken server # bland flera servrar som tillhandahåller innehållet. När det gäller phishing är det att se en www1, www2 etc. inte i sig självt en indikator på en phishing-webbplats.
För att hjälpa användarna att snabbt avgöra toppdomäner och sekundära domäner i en webbadress har vissa företag och organisationer börjat använda sig av ”domain highlighting”. När en användare besöker en webbplats kommer en del av webbadressen att dimmas efter några sekunder, vilket gör att toppdomänerna och de sekundära domänerna blir mörka. Till exempel:
Det är alltid bra att leta efter tecken på en legitim och säker webbplats: stängt hänglås, https:// och företagsnamnet som är grönt markerat i URL:en (som i PayPal-exemplet ovan). Om en webbplats certifikat har löpt ut eller på annat sätt är ogiltigt varnar vissa webbläsare, t.ex. Internet Explorer och Firefox, eller säkerhetstjänster användarna. En person kan undra om det är säkert att fortsätta genom varningen. Använd i så fall andra tillgängliga indikatorer (granska webbadressen igen) för att avgöra om webbplatsen är legitim. Om du är osäker, fortsätt inte.
Slutsats
Phishing fortsätter att vara ett globalt problem, som förvärras av användare som inte är medvetna om phishingtaktik, alltmer sofistikerade phishingmetoder och nu en ökande uppsättning generiska toppdomäner. Även om länkar i e-postmeddelanden inte är den enda metod som nätbedragare använder är den mycket vanlig. För att minska riskerna med phishing är det nödvändigt att veta hur man tolkar länkar och tillhörande webbadresser.
Om du är intresserad av att lära dig mer om social ingenjörskonst, medvetenhet och utbildning samt riskbedömningstjänster, vänligen kontakta oss redan idag.