Tag Archive for: lookalike domain spoofing

DMARC i Lookalike Domains: Jak możesz chronić swoich klientów?

W idealnym świecie DMARC mógłby być ostatecznym rozwiązaniem dla bezpieczeństwa poczty elektronicznej, ale wraz z pojawieniem się DMARC i domen typu lookalike, nawigowanie po zagrożeniach cybernetycznych stało się trudniejsze niż kiedykolwiek. 

Wraz z rosnącą zależnością od komunikacji e-mail w świecie biznesu i pojawiającymi się nowymi usługami opartymi na chmurze, e-maile stały się głównym wektorem, który atakujący biorą na cel. Chociaż większość firm wdraża uwierzytelnianie wiadomości e-mail protokoły uwierzytelniania wiadomości e-mail, aby zmniejszyć ryzyko takich ataków, ataki podszywające się pod domeny mogą umknąć ich uwadze.

W tym artykule zbadamy zagrożenia związane z DMARC i domenami lookalike oraz poznamy inne sposoby ochrony klientów przed atakami domen lookalike.

Co to jest Lookalike Domain?

Aby zrealizować swoje złośliwe cele, cyberatakerzy często wykorzystują taktykę podszywania się, taką jak wyglądające domeny, aby oszukać swoje cele w przekonaniu, że wiadomość e-mail pochodzi z legalnego źródła. Chociaż istnieje szeroki zakres ataków podszywania się technik ataków podszywania się, które napastnicy stosują w celu obejścia struktur bezpieczeństwa firm, domeny look-alike, znane również jako domeny kuzynów lub domeny doppelgänger, zajmują czołowe miejsce na listach przebojów.

Domeny podobne do wyglądu to domeny, które są celowo stworzone tak, aby ściśle przypominały domenę legalną, ale posiadają niewielkie zmiany, które są ledwo zauważalne, dopóki nie przyjrzymy się im z bliska. Na przykład, jako strategiczna technika oszustwa, domeny lookalike często zawierają zmiany typograficzne, takie jak zastąpienie litery "I" cyfrą "1", zmiana pozycji lub powtórzenie, lub po prostu dodanie symboli lub słów.

Dodatkowo, oszuści zamieniają TLD (domeny najwyższego poziomu), gdzie .com autentycznej domeny jest zastąpione .net lub odwrotnie, aby zmylić odbiorców i uniknąć wykrycia.   

Tak więc, poprzez upodobnienie adresu "Od" do domeny podszytej marki, phisher próbuje zwabić docelowych użytkowników do podania wrażliwych informacji, takich jak dane uwierzytelniające do logowania, szczegóły finansowe lub dane osobowe. 

Przykłady domen typu Lookalike

Aby lepiej zrozumieć, jak te domeny lookalike manifestują się w sferze cyfrowej, oto kilka przykładów takich domen:

  • Facebook.com- faceb00k.com lub faceboook.com
  • Netflix.com- netfliix.com lub netflix-login.com.
  • Microsoft.com- rnicrosoft.com lub rnicrosoftstore.com
  • Apple.com- App!e.org

Dlaczego Lookalike Domains są niebezpieczne?

Nic dziwnego, że domeny typu lookalike stały się poważnym zagrożeniem dla osób i organizacji, ponieważ cyberprzestępcy często wykorzystują je do przeprowadzania nielegalnych działań, takich jak phishing, kradzież tożsamości i oszustwa. Problem polega na tym, że te spoofy mogą być trudne do odróżnienia od legalnych, a naiwni użytkownicy mogą nieświadomie paść ofiarą ich taktyki. 

Niektóre z najczęstszych zagrożeń związanych z domenami typu lookalike obejmują: 

Cybersquatting

Cybersquatting jest formą cyberprzestępczości, w której sprawca rejestruje lub wykorzystuje nazwę domeny, która jest identyczna lub podobna do nazwy handlowej lub nazwy marki z zamiarem wykorzystania własności intelektualnej właściciela marki. Często ci napastnicy pozyskują domeny po taniości, a później żądają wygórowanej ceny za ich przekazanie. The Sprawa Schweppes jest przykładem cybersquattingu, gdzie cybersquatter zarejestrował domenę Schweppes.ca, zamierzając sprzedać ją z zyskiem.

Typosquatting

Typosquatting to forma cybersquattingu, która polega na rejestracji nazwy domeny zawierającej błędną pisownię lub błąd typograficzny nazwy legalnej marki lub strony internetowej. Strona internetowa typosquattera jest zaprojektowana tak, aby naśladować oryginalną stronę, a jej ostatecznym celem jest oszukanie niczego niepodejrzewających użytkowników, aby odwiedzili fałszywą stronę i wygenerowali dochód za pomocą nielegalnych środków. 

Zgodnie z amerykańską ustawą o ochronie konsumentów w zakresie antycybersquattingu, w 2013 r, Facebook był pierwszą dużą firmą, która wygrała odszkodowanie z tytułu odpowiedzialności za pozwy przeciwko typosquatterom i uzyskała kontrolę nad ponad 100 domenami. Firma zarobiła sowitą wypłatę w wysokości prawie 2,8 miliona dolarów przeciwko tym błędnie napisanym domenom, które obejmowały między innymi dacebook.com, facebokook.com i faceboocklogin.com.

Strony Gripe

Gripe sites to strony internetowe stworzone w celu wyrażenia żalu, krytyki lub skargi na osoby, firmy, organizacje lub produkty. Są one tworzone przez niezadowolonych klientów, niezadowolonych pracowników lub aktywistów, którzy używają Internetu do wyrażania swoich opinii i dzielenia się negatywnymi doświadczeniami. Strony te mogą być wykorzystywane jako platforma do rozpowszechniania fałszywych lub oszczerczych informacji o firmie lub osobie, niszcząc ich reputację lub prowadząc do strat finansowych.

Spoofing domen Lookalike

Lookalike domain spoofing to rodzaj cyberataku, w którym złośliwy aktor tworzy fałszywą domenę e-mail, która ściśle przypomina legalną. Chodzi o to, aby oszukać odbiorców wiadomości e-mail, aby myśleli, że otrzymują wiadomość od prawdziwego nadawcy, podczas gdy w rzeczywistości wiadomość została wysłana z fałszywej domeny.

Atakujący zazwyczaj tworzy domenę e-mail o nazwie podobnej do oryginalnej domeny, z niewielkimi różnicami, które nie są łatwo zauważalne. Na przykład, mogą stworzyć domenę e-mail z nazwą bardzo podobną do prawdziwej, taką jak "microsof.com" zamiast "microsoft.com".

Celem spoofingu domeny lookalike jest kradzież wrażliwych informacji od odbiorców wiadomości e-mail, takich jak dane uwierzytelniające do logowania, numery kart kredytowych i inne dane osobowe. Osoby atakujące mogą następnie wykorzystać te informacje do kradzieży tożsamości lub oszustwa finansowego.

Czy DMARC wystarczy, aby chronić Twoich klientów przed atakami Lookalike Domain?

Biorąc pod uwagę, jak cyberataki ewoluowały, aby stać się bardziej wyrafinowane, można bezpiecznie powiedzieć, że standardowe protokoły uwierzytelniania poczty elektronicznej nie mogą wytrzymać ciosu tych ataków. Pomimo tego, że jest to wszechstronne narzędzie, skuteczność DMARC przeciwko domenom typu lookalike jest często zagrożona. Aby zapobiec podszywaniu się pod markę za pośrednictwem poczty elektronicznej, firmy muszą zrobić dodatkowy krok, niż tylko zastosować DMARC, ponieważ spoofy domen lookalike często obchodzą jego zakres.

Dzieje się tak dlatego, że wdrożenie DMARC we wszystkich domenach w portfolio marki może być wyzwaniem, szczególnie dla dużych firm z wieloma działami, oddziałami i partnerami, którzy wysyłają e-maile w ich imieniu. Poza tym, ponieważ właściciele domen muszą określić, które serwery poczty elektronicznej są upoważnione do wysyłania wiadomości w imieniu ich domeny, proces ten może być skomplikowany w przypadku zarządzania wieloma domenami.

 Chociaż wiele firm rejestruje liczne "domeny obronne", nie jest to niezawodny sposób na utrzymanie tych ataków na dystans, ponieważ zabezpieczenie nieskończonych możliwości domen jest po prostu niemożliwe. 

Related Read: Przed jakimi atakami nie chroni DMARC?

Cyberataki, przed którymi chroni DMARC

DMARC to kompleksowe narzędzie, które służy jako krytyczna warstwa ochrony przed oszustwami e-mailowymi i innymi cyberatakami, umożliwiając organizacjom weryfikację, że przychodzące wiadomości e-mail pochodzą z legalnych źródeł i nie zostały zmanipulowane przez oszustów. Wdrażając DMARC, firmy mogą chronić siebie i swoich klientów przed cyberatakami, utrzymać swoją reputację i zabezpieczyć swoje zasoby cyfrowe.

Oto kilka cyberataków, przed którymi DMARC chroni:

Direct Domain Spoofing

DMARC pomaga chronić przed bezpośrednim spoofingiem domeny, gdzie atakujący wysyłają e-maile, które wydają się być z legalnej domeny. DMARC weryfikuje, że wiadomości pochodzą z autoryzowanych serwerów, utrudniając atakującym sfałszowanie domeny i wysłanie fałszywych wiadomości.

Ataki phishingowe 

Poprzez weryfikację, że wiadomości e-mail pochodzą z legalnych źródeł, DMARC pomaga w zapobieganiu atakom typu phishing. Ten proces weryfikacji pomaga uniknąć sytuacji, w których napastnicy zwodzą użytkowników do udostępnienia poufnych informacji lub pobrania złośliwego oprogramowania.

Ransomware 

DMARC jest ważnym elementem obrony przed atakami ransomware ponieważ pomaga zapobiegać podszywaniu się pod Twoją markę w e-mailach phishingowych. Poprzez uwierzytelnianie wiadomości e-mail w oparciu o standardy uwierzytelniania SPF i DKIM, DMARC może filtrować złośliwe adresy IP, fałszerstwa i podszywanie się pod domeny.

Sposoby ochrony klientów przed atakami typu Lookalike Domain 

Teraz, gdy jesteśmy świadomi niezdolności DMARC do zwalczania domen lookalike, firmy muszą wdrożyć proste, ale ważne techniki, aby chronić swoją reputację i zaufanie klientów. 

Oto jak możesz chronić swoją firmę przed atakami typu lookalike domains:

Kupuj domeny internetowe

Aby chronić się przed tymi atakami, firmy mogą rozważyć zakup głównych nazw domen, takich jak te z domenami najwyższego poziomu (.com, .net, .org, .ca, .io itp.), aby utrudnić atakującym tworzenie fałszywych domen.

Uwierzytelnianie dwuskładnikowe

Włączenie dwuskładnikowego uwierzytelniania jest kluczowe dla poczty elektronicznej, bankowości i stron internetowych zawierających dane klientów. Dodaje dodatkową warstwę ochrony w przypadku, gdy ktoś przypadkowo wprowadzi dane logowania na fałszywej domenie, uniemożliwiając hakerom uzyskanie dostępu do konta. 

Rozprzestrzenianie świadomości 

Ważne jest, aby edukować swój zespół na temat różnych cyberataków i technik zapobiegania im, takich jak DMARC i domeny lookalike. Kiedy będą dobrze poinformowani o potencjalnych zagrożeniach, będą bardziej czujni w identyfikowaniu i zgłaszaniu podejrzanych wiadomości e-mail, wzmacniając tym samym postawę bezpieczeństwa Twojej organizacji.

W skrócie

Podczas gdy wdrożenie DMARC jest niezbędne, obrona domen lookalike jest również kluczowa dla złagodzenia ataków phishingowych i pełnej ochrony cyfrowych aktywów i wizerunku marki. W PowerDMARC oferujemy kompleksowe rozwiązania w zakresie uwierzytelniania poczty elektronicznej, pozwalając Ci zabezpieczyć najważniejszy kanał komunikacyjny Twojej firmy. Potrzebujesz solidnej ochrony przed podszywaniem się? Skontaktuj się z nami, aby skorzystać z naszych usług i dowiedzieć się więcej o atakach DMARC i lookalike domain.  

dmarc i domeny podobne

/przez

Przed jakimi atakami nie chroni DMARC?

Chociaż DMARC chroni przed szerokim zakresem ataków cybernetycznych, nie jest srebrną kulą. Aby zachować solidną i wszechstronną ochronę przed zagrożeniami cybernetycznymi, należy dowiedzieć się, przed jakimi atakami DMARC nie chroni. Istnieją taktyki, które cyberprzestępcy mogą stosować w celu uniknięcia wykrycia i ominięcia kontroli uwierzytelniania. Ważne jest, aby zrozumieć, na czym one polegają i co można zrobić, aby im zapobiec. Wykorzystanie dodatkowych technologii wraz z DMARC tylko wzmocni bezpieczeństwo Twojej domeny i przeniesie je na wyższy poziom.

Krótkie wprowadzenie do DMARC

DMARC służy jako protokół weryfikacji poczty elektronicznej, który uniemożliwia wysyłanie złośliwych wiadomości e-mail próbujących podszywać się pod osoby prywatne i firmy. Działa on w celu ochrony wiadomości e-mail Twojej organizacji w ścisłym powiązaniu z protokołami Sender Policy Framework - SPF i Domain Keys Identified Mail - DKIM. 

Organizacje używają DMARC do obrony przed atakami typu BEC, spoofing i phishing. Jest on używany jako kontrola łagodząca, aby zapobiec takim atakom, chroniąc wiadomości e-mail wysyłane i odbierane przez organizację. Używając go, organizacja przejmuje kontrolę nad tym, co dzieje się z wiadomościami, które nie przejdą testów uwierzytelniania - czy takie wiadomości powinny być odrzucane, poddawane kwarantannie, czy dostarczane? 

Potrzeba DMARC

DMARC jest proponowanym standardem, który umożliwia nadawcom i odbiorcom poczty elektronicznej koordynację i wymianę informacji na temat wysyłanych do siebie wiadomości e-mail. Pomaga on w zwalczaniu złośliwych praktyk związanych z pocztą elektroniczną, które mogą stanowić zagrożenie dla organizacji. 

Podczas prowadzenia działalności biznesowej poczta elektroniczna jest podstawowym środkiem komunikacji z klientami, pracownikami i interesariuszami. Wiadomości, które nie zostały zabezpieczone, są łatwiejsze do sfałszowania, a hakerzy znajdują nowe i innowacyjne sposoby na wykorzystanie różnych oszustw związanych z pocztą elektroniczną. 

Protokół DMARC służy do zabezpieczania wiadomości e-mail wysyłanych i odbieranych przez organizację w celu zmniejszenia liczby przypadków phishingu, spoofingu i spamu. Dzięki temu nadawcy mogą ulepszyć infrastrukturę uwierzytelniania wiadomości e-mail i zapewnić, że wiadomości e-mail wysyłane z ich domeny są uwierzytelniane. 

Przed jakimi atakami nie chroni DMARC?

Mimo że DMARC stał się jednym z wiodących standardów uwierzytelniania i weryfikacji poczty elektronicznej, nadal istnieją ataki, przed którymi DMARC nie jest w stanie ochronić Twojej organizacji. Poniżej znajduje się lista ataków, przed którymi DMARC nie chroni:

DMARC nie chroni przed atakami typu phishing z domen Lookalike, domen zewnętrznych ani przed pośrednim podszywaniem się. 

Podczas włączania funkcji DMARC należy wymienić wszystkie domeny należące do organizacji. Wszystkie wymienione domeny są wtedy chronione przez DMARC, a hakerzy nie będą mogli wysyłać wiadomości phishingowych z wykorzystaniem tych domen. Hakerzy mogą jednak korzystać z domen, które bardzo przypominają nazwę Twojej domeny, a DMARC nie jest w stanie temu zapobiec. 

Na przykład,

Jeśli domena Twojej organizacji wygląda jak "organization.com" i wdrożysz ochronę DMARC dla tej domeny, hakerzy nadal mogą używać domen "organizations.com" lub "organizationadmin.com". 

Aby temu zapobiec, zaleca się, aby wszystkie takie domeny były kupowane przez organizację i parkowane. Następnie można ustawić politykę DMARC dla zaparkowanych domen, aby powstrzymać atakujących przed używaniem ich do złych celów. Uniemożliwi to hakerom wykorzystywanie takich domen do wysyłania wiadomości phishingowych do klientów lub pracowników.

Hakerzy mogą wykorzystywać domeny zewnętrzne do przeprowadzania ataków phishingowych 

Duży odsetek transakcji biznesowych pochodzi ze źródeł zewnętrznych. Ponieważ jest mało prawdopodobne, aby inne organizacje, z którymi Twoja firma ma do czynienia, stosowały standardy uwierzytelniania, Twoi pracownicy są narażeni na podszywanie się pod osoby pochodzące ze źródeł zewnętrznych. 

Nadużywanie nazwy domeny

Podczas gdy nadużywanie nazwy domeny może również obejmować naruszenie znaku towarowego - na przykład, jeśli zarejestrujesz domenę, która narusza znak towarowy innej firmy, w tym przypadku odnosi się to do domen, które są wykorzystywane do phishingu, złośliwego oprogramowania, botnetów lub innych działań, które są powszechnie uznawane za nielegalne lub co najmniej szkodliwe.

Jednak termin "nadużycie domeny" jest również używany do opisania wielu innych rodzajów "złych" rejestracji domen. Obejmuje to cybersquatting lub rejestrację domeny, która jest łudząco podobna do istniejącego znaku towarowego, jak również rejestrację złośliwej literówki nazwy popularnej witryny. Innym rodzajem nadużyć jest rejestrowanie dużej liczby domen w celu ich późniejszej odsprzedaży niczego niepodejrzewającym nabywcom.

Jeśli uważasz, że rejestracja Twojej domeny została dotknięta tym rodzajem nadużycia, możesz skontaktować się z rejestratorem domeny, aby zgłosić ten fakt.

Haker może uzyskać fizyczny dostęp do zasobów informatycznych organizacji 

Standardy DMARC, nawet jeśli zostaną prawidłowo wdrożone, nie mogą zastąpić zapory sieciowej. Podczas gdy zapora ogniowa monitoruje dane wymieniane między komputerami w organizacji a Internetem w celu wykrycia złośliwego oprogramowania, DMARC monitoruje wysyłane lub otrzymywane wiadomości w odniesieniu do zarejestrowanych domen. Jeśli więc haker uzyska fizyczny dostęp do zasobów informatycznych w organizacji, uwierzytelnianie DMARC nie będzie pomocne. 

Ataki typu Man-in-the-Inbox

Wreszcie, DMARC nie może chronić organizacji lub pracowników przed atakami phishingowymi lub złośliwymi wiadomościami e-mail, jeśli haker uzyskał dostęp do skrzynki pocztowej użytkownika. Ponieważ poczta pochodzi z legalnego konta, SPF i DKIM dla tej poczty są sprawdzone, a sama poczta wydaje się autentyczna. 

Kluczowe wnioski

Ustanowienie standardów DMARC dla Twojej organizacji to dopiero początek ochrony przed możliwymi atakami phishingowymi. Niezwykle istotne jest poznanie funkcjonalności oraz ograniczeń standardu DMARC, aby lepiej bronić się przed cyberzagrożeniami. Mimo że DMARC nie zapobiega wszystkim rodzajom ataków, które mogą dotknąć Twoją organizację, służy jako skuteczne narzędzie do blokowania wszystkich fałszywych wiadomości e-mail, poprawy wizerunku marki i zwiększenia dostarczalności. 

Technologia DMARC w połączeniu z programem antywirusowym i zaporą sieciową może stanowić podstawę kompleksowego i nieprzeniknionego systemu bezpieczeństwa poczty elektronicznej w organizacji. 

Częścią działań PowerDMARC jest zapewnienie, że każda domena używana przez Twoją organizację jest chroniona przez DMARC, aby pomóc Twojej organizacji w zapobieganiu próbom phishingu i zabezpieczeniu Twojej poczty. Nasze dostosowane do potrzeb pulpity nawigacyjne pozwalają firmom analizować i utrzymywać politykę DMARC, SPF i DKIM oraz monitorować Raporty DMARC.

dmarc i domeny podobne

/przez