facebook
Typosquatting: Szkodniki atakują przez literówki
14 kwietnia 2014

Zdarza się, że strony internetowe zostają zhakowane i rozprzestrzeniają szkodliwe oprogramowanie. Istnieje wiele metod, które mają na celu doprowadzenie użytkowników na szkodliwe witryny. Jedną z nich jest typosquatting.

Nie jest żadnym zaskoczeniem, że zdarza się nam robić błędy podczas wpisywania adresu internetowego w pasku przeglądarki. Cyberprzestępcy często wykorzystują ten fakt i przekierowują użytkowników na szkodliwe witryny. To zjawisko zostało nazwane „typosquatting” – jako połączenie słów „literówka” (typo) oraz „czaić się” (squat). Inną funkcjonującą nazwą jest również „porywanie URL” (URL hijacking). Wirtualni napastnicy rejestrują takie nazwy domen, które przypominają nazwy popularnych witryn, i czekają, aż roztargniony użytkownik błędnie wpisze ich nazwę. Sytuacja ta jest bardzo uciążliwym problemem dla firm i jeśli ich nazwy były nadużywane, wnoszą one oskarżenia do sądu przeciwko twórcom takich witryn.

Typosquatting stanowi również poważne zagrożenie dla samych konsumentów. Użytkownikom, którzy nieumyślnie wejdą na taką stronę, może wyświetlić się lawina niechcianych stron zawierających spam lub – co gorsza – mogą oni zostać zainfekowani szkodliwym oprogramowaniem. Przyjrzymy się takiej sytuacji, wykorzystując przykład z życia wzięty.

Typowy przypadek nadużycia Gmaila

W pierwszej kolejności wytłumaczę Wam, na czy polegają nasze działania mające na celu zmniejszenie liczby ofiar infekcji złośliwym oprogramowaniem. Kiedy na jakiejś stronie wykryjemy zagrożenie, staramy się skontaktować z jej administratorem i powiadamiamy go o tym. Ale może najlepiej przedstawimy prawdziwy przypadek, który miał miejsce niedawno. Poniższe informacje dotyczą danych ze strony WHOIS, na której znajdowało się szkodliwe oprogramowanie. W polu „Kontakt z administratorem” widnieje ciąg znaków „A***3JP”. Jest to firma „Handle JPNIC” zarządzana przez japoński system rejestracji domen (JPRS), który jest kluczową wskazówką mogącą pomóc w rozszyfrowaniu, kto jest administratorem strony internetowej (w innych przypadkach w tym polu widnieje adres email).

A więc sprawdźmy, kto zarządza opisywaną domeną „A***3JP”:

W polu „E-mail” widzimy adres osoby, którą moglibyśmy powiadomić o infekcji na danej stronie internetowej. Jest to oczywiście administrator. Zaalarmowanie niczego nieświadomych administratorów jest kluczowym elementem w procesie wstrzymania dalszego rozprzestrzeniania się szkodliwego oprogramowania.

Po bliższym przyjrzeniu się wpisanemu adresowi zauważyliśmy mały szczegół: z pozoru wyglądał on na adres w domenie Gmail (xxx@gmail.com), ale w rzeczywistości tak nie było. Zabrakło jednej litery …

W niektórych krajach poprawna i rzetelna rejestracja jest regulowana prawnie. Niemniej jednak w Japonii rejestrowane informacje są czasami niepoprawne, a co gorsza – ich niezgodność z prawdą może być zarejestrowana celowo. Jeżeli adres kontaktowy nie został zrejestrowany poprawnie, to nie jesteśmy w stanie powiadomić administratora strony o ewentualnych zagrożeniach. Tym samym nie ma on świadomości, że padł ofiarą cyberprzestępców oraz że może zainfekować wiele kolejnych osób.

Jednakże w przypadku, który opisaliśmy, pomysł na domenę podszywającą się pod Gmail miał oczywisty cel: była to niewątpliwie pułapka wykorzystująca typosquatting, czyhająca na użytkownika, aby zainstalować na jego urządzeniu szkodliwe opogramowanie.

Okazało się, że strona, która kryła się pod omyłkowym adresem Gmail, może być wyświetlana w wielu różnych językach w zależności od środowiska językowego odwiedzającego, między innymi po: japońsku, niemiecku, hiszpańsku, włosku, holendersku, polsku, portugalsku, rosyjsku, szwedzku oraz turecku. Język angielski, z nieznanych powodów, nie posiadał swojej wersji. Zwróć uwagę na przykłady zrzutów ekranu tej strony poniżej. Wygląd nie budził żadnych wątpliwości i zachęcał osoby przypadkowo odwiedzające stronę do pobrania i zainstalowania obiektu.

Język japoński:

Język rosyjski:

W tym artykule wykorzystałam przykład, na który natknęliśmy się podczas naszych badań, do wyjaśnienia mechanizmu prawidłowego rejestrowania domen oraz istoty typosquattingu. Wykorzystywanie literówek do niecnych celów nie jest zjawiskiem nowym: jest to raczej klasyczny sposób na wprowadzenie użytkowników w błąd. Mimo że w wirtualnym świecie jest już znany od wielu lat, ciągle wzrasta liczba jego ofiar na całym świecie. Ma on naturę pasywną – polega na czekaniu na pomyłkę ze strony użytkownika, a przecież wszyscy ludzie jednakowo są skłonni do ich popełniania. Aby nie stać się ofiarą szkodliwego oprogramowania rozsyłanego tą metodą, należy regularnie aktualizować swój system operacyjny oraz oprogramowanie antywirusowe, by mogły one zwalczać zagrożenia tego typu w czasie rzeczywistym.

Zostań naszym fanem!