به گفته یک شرکت اطلاعاتی تهدیدات و وب سایت امنیت سایبری، یک کمپین فیشینگ در مقیاس بزرگ که بر اساس typosquatting ساخته شده است، کاربران ویندوز و اندروید را با بدافزار هدف قرار می دهد.
این کمپین که در حال حاضر در حال انجام است از بیش از 200 دامنه typosquatting استفاده می کند که جعل هویت 27 برند هستند تا وب گردها را فریب دهند تا نرم افزارهای مخرب را در رایانه ها و تلفن های خود دانلود کنند. Bleeping Computer یکشنبه گزارش داد.
شرکت اطلاعاتی تهدید سیبل این کمپین را هفته گذشته در یک وبلاگ فاش کرد. گزارش شده است که وبسایتهای فیشینگ، بازدیدکنندگان را فریب میدهند تا برنامههای جعلی اندروید را دانلود کنند که جعل هویت Google Wallet، PayPal و Snapchat هستند که حاوی تروجان بانکی ERMAC هستند.
BleepingComputer توضیح داد که در حالی که Cyble بر بدافزار اندروید کمپین تمرکز کرده است، عملیات بسیار بزرگتری با هدف ویندوز توسط همان عوامل تهدید اجرا می شود. این کمپین دارای بیش از 90 وب سایت است که برای نفوذ بدافزارها و سرقت ساخته شده اند کلیدهای بازیابی ارزهای دیجیتال.
Typosquatting یک تکنیک قدیمی برای هدایت مسافران فضای مجازی به وب سایت های مخرب است. BleepingComputer توضیح داد که در این کمپین، دامنه های استفاده شده بسیار نزدیک به نسخه اصلی هستند، با یک حرف جابجا شده از دامنه یا یک “s” به آن اضافه شده است.
سایت های فیشینگ نیز معتبر به نظر می رسند. آنها یا شبیهسازیهای سایتهای واقعی هستند یا برای فریب دادن یک بازدیدکننده معمولی کافی هستند.
به طور معمول، قربانیان با ایجاد یک اشتباه تایپی در URL وارد شده در نوار آدرس مرورگر، به سایتها پایان میدهند، اما URLها گاهی اوقات در ایمیلها، پیامهای SMS و رسانههای اجتماعی نیز درج میشوند.
شرود دگریپو، معاون تحقیقات و شناسایی تهدیدات در این باره گفت: «Typosquatting چیز جدیدی نیست. اثبات، یک شرکت امنیتی سازمانی در Sunnyvale، کالیفرنیا.
DeGrippo به TechNewsWorld گفت: «Goggle.com بازدیدکنندگان تصادفی را به یک سایت مخرب با بارگیری بدافزارهای Drive-by در اوایل سال 2006 ارسال می کرد.
مقیاس غیر معمول
اگرچه این کمپین از تکنیک های فیشینگ آزمایش شده و واقعی استفاده می کند، اما دارای برخی ویژگی های متمایز است. کارشناسان امنیتی به TechNewsWorld گفتند.
مایک پارکین، مهندس فنی ارشد در مشاهده کرد: “اندازه این کمپین غیرعادی است، حتی اگر تکنیک قدیمی باشد.” Vulcan Cyber، ارائه دهنده SaaS برای اصلاح ریسک سایبری سازمانی، در تل آویو، اسرائیل.
جرود پیکر، تحلیلگر اطلاعاتی رقابتی، اضافه کرد: «به نظر میرسد که این کمپین خاص از نظر مقیاس بسیار بزرگتر از تلاشهای معمولی برای حذف تایپی باشد. غریزه عمیق، یک شرکت امنیت سایبری یادگیری عمیق در شهر نیویورک.
گریسون میلبورن، مدیر اطلاعات امنیتی در شرکت، خاطرنشان کرد: تمرکز بر برنامه های تلفن همراه یک انحراف دیگر از هنجار است. راه حل های امنیتی متن باز، یک شرکت جهانی شناسایی و پاسخ به تهدیدات.
او گفت: «هدف قرار دادن برنامههای تلفن همراه و وبسایتهای مرتبط با هدف توزیع برنامههای مخرب اندروید چیزی است که جدید نیست، اما به اندازه تایپسکوت که وبسایتهای نرمافزار ویندوز را هدف قرار میدهد، رایج نیست».
هنک شللس، مدیر ارشد راه حل های امنیتی در این باره می گوید، آنچه در مورد کمپین جالب است، اتکای آن به اشتباهات تایپی توسط کاربران و تحویل عمدی URL های مخرب به اهداف است. مراقب باش، ارائه دهنده راه حل های فیشینگ تلفن همراه مستقر در سانفرانسیسکو.
“به نظر می رسد که این یک کمپین خوب است [a] اگر یک فرد یا سازمان امنیت مناسبی نداشته باشد، شانس موفقیت بالایی دارد.»
چرا Typosquatting کار می کند؟
راجر گرایمز، مبشر دفاعی در این باره گفت: کمپین های فیشینگ که از typosquatting سوء استفاده می کنند، برای موفقیت نیازی به نوآوری ندارند. KnowBe4، یک ارائه دهنده آموزش آگاهی امنیتی در کلیرواتر، فلوریدا.
او به TechNewsWorld گفت: «همه کمپینهای typosquatting بدون نیاز به ترفندهای پیشرفته یا جدید نسبتاً مؤثر هستند. و بسیاری از ترفندهای پیشرفته مانند حملات هموگلیفیک وجود دارد که لایه دیگری را اضافه می کند که می تواند حتی متخصصان را فریب دهد.
هموگلیف ها کاراکترهایی هستند که شبیه یکدیگر هستند، مانند حرف O و صفر (0)، یا حرف بزرگ I و حرف کوچک l (EL) که در فونت sans serif مانند Calibri یکسان به نظر می رسند.
گریمز ادامه داد: «اما شما تعداد زیادی از این حملات پیشرفتهتر را در آنجا پیدا نمیکنید، زیرا برای موفقیت به آنها نیازی ندارند». “چرا وقتی می توانی راحت کار کنی سخت کار کنی؟”
Abhay Bhargav، مدیر عامل شرکت، گفت که تایپسکوت به دلیل اعتماد کار می کند AppSecEngineer، یک ارائه دهنده آموزش امنیتی در سنگاپور.
بهارگاو به TechNewsWorld گفت: «مردم آنقدر به دیدن و خواندن نامهای معروف عادت کردهاند که فکر میکنند یک سایت، برنامه یا بسته نرمافزاری تقریباً مشابه و با آرم مشابه با محصول اصلی یکسان است.
او گفت: «مردم از فکر کردن به تفاوتهای املایی جزئی یا مغایرتهای دامنهای که محصول اصلی را از جعلی متمایز میکند، فکر نمیکنند.
برخی از ثبت کنندگان دامنه قابل سرزنش هستند
Piker توضیح داد که هنگام تایپ یک URL بسیار آسان است که “انگشت چاق” شود، بنابراین PayPal تبدیل به PalPay می شود.
او گفت: «این مورد بازدیدهای زیادی را به همراه خواهد داشت، به ویژه از آنجایی که حملات تایپسکوتینگ معمولاً صفحهای وب را ارائه میدهند که اساساً شبیهسازی شده از صفحه اصلی است».
او اضافه کرد: «حملهکنندگان همچنین چندین دامنه مشابه را ربودهاند تا اطمینان حاصل کنند که بسیاری از اشتباهات تایپی با هم مطابقت دارند.
گریمز اظهار داشت که سیستمهای ثبت دامنه فعلی نیز کمکی به مسائل نمیکنند.
او توضیح داد: «مشکل بدتر میشود زیرا برخی از سرویسها به وبسایتهای بد اجازه میدهند گواهیهای دامنه TLS/HTTPS را دریافت کنند، که بسیاری از کاربران معتقدند به این معنی است که وبسایت امن و مطمئن است». بیش از 80 درصد از وب سایت های بدافزار دارای گواهی دیجیتال هستند. این کل سیستم زیرساخت کلید عمومی را به سخره می گیرد.”
گریمز ادامه داد: «علاوه بر آن، سیستم نامگذاری دامنه اینترنتی خراب است، و به ثبتکنندگان دامنه اینترنتی بدیهی اجازه میدهد تا دامنههای ثبتکنندهای غنی داشته باشند که به راحتی قابل مشاهده هستند، در نوعی حمله اشتباه استفاده میشوند. مشوقهای سود، که به ثبتکنندگان برای نگاه کردن به سمت دیگر پاداش میدهد، بخش بزرگی از مشکل است.»
مرورگرهای موبایل حساس تر هستند
عوامل شکل سخت افزاری نیز می توانند به این مشکل کمک کنند.
Schless توضیح داد: “Typosquatting به دلیل نحوه ساخت سیستم عامل های تلفن همراه برای ساده سازی تجربه کاربر و به حداقل رساندن شلوغی در صفحه نمایش کوچکتر، در دستگاه های تلفن همراه بسیار موثرتر است.”
او ادامه داد: «مرورگرها و برنامههای تلفن همراه برای بهبود تجربه کاربری، URLها را کوتاه میکنند، بنابراین قربانی ممکن است در وهله اول نتواند URL کامل را ببیند، حتی کمتر متوجه اشتباه تایپی در آن شود. «افراد معمولاً یک URL را در تلفن همراه پیشنمایش نمیکنند، این کاری است که ممکن است در رایانه با نگه داشتن ماوس روی آن انجام دهند».
Szilveszter Szebeni، CISO و یکی از بنیانگذاران، موافق هستند که تایپسکوت برای فیشینگ در تلفن های همراه موثرتر است زیرا URL ها به طور کامل قابل مشاهده نیستند. Tresorit، یک شرکت راه حل های امنیتی مبتنی بر رمزگذاری ایمیل در زوریخ.
او به TechNewsWorld گفت: «برای اجرای تروجانها، نه چندان، زیرا مردم معمولاً از برنامه یا فروشگاههای بازی استفاده میکنند.
چگونه در برابر تایپوسکوات محافظت کنیم
برای محافظت از خود در برابر تبدیل شدن به قربانی فیشینگ تایپی، Piker به کاربران توصیه کرد هرگز پیوندهای موجود در پیامهای SMS یا ایمیلهای فرستنده ناشناس را دنبال نکنند.
او همچنین توصیه کرد هنگام تایپ URL ها، به ویژه در دستگاه های تلفن همراه، مراقب باشید.
DeGrippo افزود: “در صورت شک، کاربر می تواند به جای کلیک بر روی یک لینک مستقیم، نام دامنه ایجاد شده را مستقیماً در گوگل جستجو کند.”
در همین حال، Schless پیشنهاد کرد که مردم کمی کمتر به دستگاه های تلفن همراه خود اعتماد کنند.
او گفت: “ما می دانیم که راه حل های ضد بدافزار و ضد فیشینگ را روی رایانه های خود نصب کنیم، اما به دستگاه های تلفن همراه اعتماد ذاتی داریم، به طوری که فکر می کنیم لازم نیست همین کار را در دستگاه های iOS و Android انجام دهیم.”
او خاطرنشان کرد: «این کمپین یکی از نمونههای بیشماری است که نشان میدهد چگونه عوامل تهدید از اعتماد ما علیه ما استفاده میکنند، که نشان میدهد چرا داشتن یک راهحل امنیتی بهطور خاص برای تهدیدات تلفن همراه در گوشیهای هوشمند و تبلتهای شما حیاتی است.»
منبع: https://www.technewsworld.com/story/massive-typosquatting-racket-pushes-malware-at-windows-android-users-177301.html?rss=1