Naujas interneto svetainių klastojimo būdas

2017-04-19

Kibernetinio saugumo tyrinėtojas Xudong Zheng aprašė naują būdą, leidžiantį kurti klastotas svetaines, itin panašias į tikrąsias. Klastojimo ataka pagrįsta „Unicode“ simbolių naudojimu domeno pavadinime: skirtingų abėcėlių raidės gali atrodyti vienodai, bet raidžių kodai bus skirtingi. Šiuolaikinės naršyklės sėkmingai blokuoja domeno pavadinimus, sudarytus iš skirtingų abėcėlių. Pvz., domeno varde apple.com pakeitus lotyniškąją „a“ į kirilicos „a“, naršyklė svetainės neatidarys.

Pasirodo, norint apeiti tokį ribojimą, pakanka užregistruoti domeną, kuris sudarytas tik iš „Unicode“ simbolių. Metodo demonstacijai buvo registruotas domenas аррӏе.com, kuris ganėtinai panašus į korporacijai „Apple“ priklausantį domeną. Visi nurodyto domeno simboliai priklauso vienai abėcėlei, todėl esamos naršyklės neblokuotų tokios svetainės. Paminėtina, kad tokiam domenui nesunku gauti „SSL“ sertifikatą ir sustiprinti iliuziją, kad atidaryta tikroji svetainė apple.com.

Minėtas klastojimo metodas veikia naršyklėse „Chrome“, „Firefox“ ir „Opera“. Šios naršyklės netrukus turės reikiamus naujinius (pvz., „Chrome“ naršyklėje problema bus išspręsta, išleidus 58-ą jos versiją). Metodui atsparios naršyklės: „Edge“, „Internet Explorer“, „Safari“.

1-ą 2017 m. ketvirtį klastočių atvejų, tirtų CERT-LT specialistų, buvo 340. Tai – trigubai daugiau nei prieš metus (112 atvejų) ir gerokai daugiau nei 4-ą 2016 m. ketvirtį (143 atvejai). Dauguma tokių atvejų yra klastotės, veikiančios iš domeno, nepanašaus į tikrąjį. Kai kurios klastotės sudaro įspūdį, jog atidaryta tinkama svetainė (pvz., pavpal-support.com; žodyje „Paypal“ vietoj „y“ raidės yra „v“ raidė). Klastotės, veikiančios tarnybinėse stotyse Lietuvoje, uždaromos ganėtinai greitai. Jei klastotė veikia ne Lietuvoje, CERT-LT turimą informaciją apie klastotes perduoda valstybių, kuriose šie tinklalapiai skelbiami, atsakingoms institucijoms, kitų šalių CERT organizacijoms. Dėl šios priežasties pavojingos svetainės, veikiančios užsienyje, uždarymas trunka ilgiau.

 

CERT-LT rekomenduoja:

1. Įsidėmėti, kad bankai niekada neprašo klientų pateikti e-bankininkystės slaptažodžių ar mokėjimo kortelių duomenų (nei el. laiškais, nei telefonu, nei kitu būdu).
2. Susidūrus su svetainės klastote, atsiųsti informaciją adresu cert[eta]cert.lt.
3. Dažnai lankomas svetaines, kuriose naudojamas prisijungimas su slaptažodžiu, pasiekti naudojant mėgstamų svetainių sąrašą (angl. Favorites).
4. Jei naudojama naršyklė – „Firefox“, atidaryti konfigūravimo įrankį surinkus adreso eilutėje „about:config“ (be kabučių), į paieškos lauką įvesti „puny“. Liks vienintelė eilutė „network.IDN_show_punycode“, kurios reikšmė (angl. Value) turi būti „true“. Reikšmės keitimui reikia pelės žymekliu dukart paspausti ant eilutės. Atlikus šį keitimą, domenas аррӏе.com adreso eilutėje bus atvaizduojamas kaip www.xn—80ak6aa92e.com.

5. Kilus abejonei, pasižiūrėti svetainės SSL sertifikatą.

Daugiau informacijos:

1) apie aprašytą klastojimo metodą (anglų k.) – https://www.xudongz.com/blog/2017/idn-phishing/

2) apie klastotes – https://www.esaugumas.lt/lt/duomenu-vagystes-phishing/247

3) apie saugią el. bankininkystę: https://www.esaugumas.lt/lt/e.-bankininkyste/285, https://www.esaugumas.lt/lt/e.-bankininkyste/patikimas-banko-puslapis/289.

Visi pranešimai