Тайпосквотинг: коли одна неправильна літера передає ваші облікові дані

Введіть “gogle.com” у ваш браузер. Ви помилились. Двадцять років тому ця помилка привела б вас на сторінку з рекламою. Сьогодні вона може привести вас на піксельно-точну копію сторінки входу Google, яка захопить ваше ім’я користувача та пароль перед перенаправленням на справжній сайт. Ви б ніколи не дізнались.

Це тайпосквотинг, і він існує з тих пір, як доменні імена стали цінними. Що змінилось, так це витонченість. Сучасні тайпосквотинг-кампанії не просто купують очевидні помилки. Вони реєструють домени з використанням символьних підстановок, які майже невидимі для людського ока, доповнюють їх дійсними HTTPS-сертифікатами та розгортають як частину цільових операцій зі збору облікових даних проти конкретних компаній.

Unit 42 від Palo Alto Networks виявив, що приблизно 13 857 сквотинг-доменів реєструвались щомісяця у 2023 році, причому тайпосквотинг та комбосквотинг становили більшість. Це не опортуністичні припарковані сторінки. Багато з них є активними фішинговими сайтами з терміном життя, виміряним годинами, достатнім для збору партії облікових даних перед виявленням та закриттям.

Тайпосквотинг — це практика реєстрації доменних імен, дуже близьких до легітимних, що таргетує користувачів, які роблять помилки при наборі, неправильно читають URL або натискають на схоже посилання без уважної перевірки. Зловмисник контролює адресу призначення, якою може бути що завгодно: від сторінки збору облікових даних до сайту розповсюдження шкідливого ПЗ до фальшивого корпоративного порталу.

Атака успішна, тому що люди погано читають URL символ за символом. Ми розпізнаємо доменні імена так само, як розпізнаємо обличчя: за загальною формою та контекстом, а не розглядаючи кожен піксель. Домен типу “rnicrosoft.com” (з “rn” замість “m”) виглядає правильним на швидкий погляд. Так само “arnazon.com” або “linkedln.com” (з “l” замість “I”). Зловмисники це знають і обирають підстановки спеціально для експлуатації того, як наші очі обробляють текст.

Техніки поділяються на кілька категорій, кожна з яких таргетує різний тип збою в людському сприйнятті.

Найпростіший підхід: зареєструвати домени, де один символ замінений на суміжну клавішу QWERTY-клавіатури. “Gogle.com” (пропущена ‘o’), “Gmial.com” (переплутані ‘a’ та ‘i’), “Anazon.com” (пропущена ‘m’). Це таргетує людей, які набирають URL з пам’яті та роблять одну помилку натискання.

Заміна одного символу на візуально схожий. “rn” замість “m” — класика. “l” (мала L) замість “I” (велика i). “1” (одиниця) замість “l” (мала L). “0” (нуль) замість “O”. У багатьох шрифтах ці символи нерозрізнені при розмірі основного тексту. Лист, що каже “Будь ласка, увійдіть на rnicrosoft.com”, виглядає правильно в більшості рендерерів поштових скриньок.

Це символьна підстановка, доведена до крайнощів, з використанням символів Unicode з нелатинських алфавітів, які виглядають ідентично до латинських літер. Кирилична “а” (U+0430) візуально ідентична латинській “a” (U+0061) у більшості шрифтів. Зловмисник може зареєструвати домен з кириличними символами, який побайтово відрізняється від легітимного домену, але рендериться ідентично на екрані.

Сучасні браузери захищаються від цього за допомогою політик відображення інтернаціоналізованих доменних імен (IDN). Chrome та Firefox показують представлення Punycode (xn—…) для доменів, що змішують алфавіти. Але не всі додатки рендерять URL через браузер. Поштові клієнти, месенджери та банери мобільних сповіщень можуть відображати Unicode-версію безпосередньо.

Замість помилки в домені зловмисник додає правдоподібне слово. “microsoft-login.com”, “google-security.com”, “amazon-delivery-status.com”. Технічно це не помилки, тому вони не спрацьовують на той самий когнітивний сигнал тривоги. Вони виглядають як субдомени або мікросайти, які велика компанія дійсно може використовувати.

Дослідники з Georgia Tech виявили у дослідженні 2017 року, що комбосквотинг-домени були в 100 разів поширенішими за традиційний тайпосквотинг і використовувались у значно більшій кількості активних атакуючих кампаній. Ця тенденція лише прискорилась.

Зареєструвати той самий домен під іншим доменом верхнього рівня. “company.co” замість “company.com”. “company.org” замість “company.com”. “company.cam” замість “company.com”. Розповсюдження нових TLD (.app, .dev, .cloud, .team) значно розширило цю поверхню атаки, оскільки багато організацій не реєструють захисно своє ім’я на всіх доступних TLD.

Люди вважають, що тайпосквотинг ловить лише тих, хто вручну набирає URL. Раніше так і було. Тепер це лише одна з кількох поверхонь атаки.

Фішингові листи. Лист від “support@arnazon.com” з посиланням на фальшиву сторінку підтвердження замовлення. Домен проходить швидку візуальну перевірку, тому що підстановка тонка. Це безпосередньо перетинається зі стандартним email-фішингом, але схожість домену додає додатковий рівень довіри.

Реклама в пошукових системах. Зловмисники роблять ставки на брендові ключові слова в Google Ads та посилаються на тайпосквотинг-домени. Користувач, який шукає “Dropbox login”, бачить рекламу вгорі результатів, що посилається на “dr0pbox.com” або “dropbox-login.com”. Google має політики проти цього, але примус реактивний. Реклама працює годинами, перш ніж її позначать.

Маніпуляція посиланнями в документах. Спільний документ, вікі-сторінка або повідомлення в Slack містить гіперпосилання з текстом “company.com”, але фактично вказує на “cornpany.com”. Користувач бачить текст відображення, довіряє йому та натискає. Саме тому безпечні звички перегляду повинні виходити за межі браузера та поширюватися на кожен інструмент, де з’являються клікабельні посилання.

QR-коди. Атака QR-код фішингу, що кодує тайпосквотинг-URL. Домен виглядає достатньо схожим на короткому попередньому перегляді URL, що більшість користувачів натискають, не помічаючи різниці.

Підміна залежностей. У розробці ПЗ зловмисники публікують пакети в npm, PyPI або інших реєстрах, використовуючи назви, що відрізняються на один символ від популярних бібліотек. Розробники, які помиляються в назві пакета у файлі залежностей, підтягують шкідливу версію. Це тайпосквотинг, застосований до ланцюга поставок ПЗ, і він спричинив реальні інциденти. Інцидент з ua-parser-js 2021 року та атаки colors/faker.js 2022 року продемонстрували, наскільки крихкою є модель довіри ланцюга поставок.

Тайпосквотинг не є теоретичним ризиком. Він працює в промисловому масштабі.

У 2023 році Akamai ідентифікував понад 30 000 доменів, що таргетували топ-100 роздрібних брендів лише під час святкового шопінг-сезону. Багато з них були активними менше 48 годин. Вони збирали облікові дані, номери платіжних карток або розповсюджували шкідливе ПЗ, замасковане під рекламні додатки.

IRS попередив американських платників податків у 2024 році про тайпосквотинг-домени, що імітували офіційний сайт IRS.gov під час податкового сезону. Фальшиві сайти збирали номери соціального страхування та банківську інформацію під приводом “обробки відшкодувань”.

Фінансові установи стикаються з особливо агресивними кампаніями. Дослідження Infoblox 2022 року виявило, що середній банк з Fortune 500 мав понад 200 активних тайпосквотинг-доменів, зареєстрованих проти нього в будь-який момент часу. Деякі були для фішингу облікових даних. Інші були фальшивими порталами підтримки клієнтів, розробленими для атак соціальної інженерії по телефону.

Немає єдиного захисту, що усуває ризик. Захист вимагає нашарування технічних контролів та обізнаності працівників.

Захисна реєстрація доменів. Зареєструйте поширені помилки, помилки суміжних клавіш та TLD-варіанти вашого основного домену. Це дорого в масштабі, але запобігає найочевиднішим атакам. Перенаправте всі захисні реєстрації на ваш справжній сайт.

DNS-рівневе фільтрування. Налаштуйте корпоративні DNS-резолвери на блокування відомих тайпосквотинг-доменів. Сервіси типу Cisco Umbrella, Cloudflare Gateway та Zscaler підтримують потоки розвідки загроз, які включають нещодавно зареєстровані схожі домени.

Політики безпеки браузера. Використовуйте керований браузер або браузерне розширення, що попереджає користувачів при переході на домен, який дуже схожий на відомий корпоративний ресурс. Деякі платформи захисту кінцевих точок включають цю функціональність.

Примус автентифікації email. DMARC, DKIM та SPF не запобігатимуть зловмиснику надсилати email з тайпосквотинг-домену, але ускладнять проходження цим листом перевірок автентифікації. Суворі DMARC-політики на вашому власному домені також захищають ваш бренд, запобігаючи підробці саме вашого домену.

Моніторинг прозорості сертифікатів. Моніторте логи прозорості сертифікатів на TLS-сертифікати, видані для доменів, схожих на ваші. Якщо хтось реєструє “yourcompany-login.com” і отримує сертифікат, це ранній сигнал попередження.

Технічні контролі виявляють багато тайпосквотинг-доменів, але не можуть виявити всі. Працівники повинні самі розпізнавати шаблон атаки.

Навчіть читання URL як навички. Більшість працівників ніколи не навчались фактично читати URL символ за символом. Вони поглядають і роблять миттєве судження. Навчання повинно включати вправи, де працівники порівнюють легітимні та тайпосквотинг-URL пліч-о-пліч, оскільки різниця часто в одному символі. Наша вправа з обізнаності про тайпосквотинг проводить працівників через саме такі порівняння в реалістичних сценаріях.

Закріпіть пряму навігацію. Найбезпечніша звичка — набирати відомі URL безпосередньо або використовувати закладки, ніколи не переходити за посиланнями в листах або повідомленнях для входу в конфіденційні сервіси. Ця порада рівнозначно стосується захисту облікових даних та безпеки паролів.

Поясніть звичку закладок. Для сервісів, які працівники використовують щодня (пошта, хмарне сховище, внутрішні інструменти), вони повинні створити закладку сторінки входу та використовувати тільки цю закладку. Це повністю усуває вектор неправильно набраного URL.

Охопіть мобільний аспект. Мобільні браузери показують менше URL, а мобільні клавіатури збільшують кількість помилок. Працівники, які отримують доступ до корпоративних сервісів з телефонів, більш вразливі як до тайпосквотингу, так і до смішинг-атак, що посилаються на схожі домени.

Тайпосквотинг — одна з кількох технік, що експлуатують довіру до доменів. Розуміння відмінностей допомагає побудувати правильний захист.

Спільна нитка: всі п’ять технік таргетують ту саму людську слабкість: ми довіряємо URL на основі розпізнавання патернів, а не посимвольної верифікації. Навчання повинно адресувати цю базову звичку, а не лише конкретну техніку.

Обізнаність про тайпосквотинг вимагає іншого підходу до навчання, ніж стандартне навчання з фішингу. Атака не залежить від терміновості, страху чи соціального тиску. Вона залежить від неуважності. Крихітна візуальна різниця, яку мозок пропускає.

Використовуйте вправи візуального порівняння. Покажіть працівникам пари URL та попросіть ідентифікувати фальшивий. Починайте легко (“faceboook.com” проти “facebook.com”) та прогресивно збільшуйте складність (“rn” проти “m”, “l” проти “I”, кириличні гомогліфи). Це розвиває звичку фактично читати URL, а не розпізнавати їх за шаблоном.

Демонструйте реальні приклади. Покажіть працівникам фактичні тайпосквотинг-домени, що були зареєстровані проти вашої організації. Якщо можете, покажіть фішингові сторінки, які ці домени обслуговували. Побачити, що зловмисники конкретно таргетують вашу компанію, робить загрозу конкретною.

Пов’яжіть це зі звичками браузера. Навчання з тайпосквотингу природно вписується поруч з навчанням безпеки браузера. Навчіть працівників перевіряти повний URL після завантаження сторінки, а не тільки перед натисканням. Деякі тайпосквотинг-сайти перенаправляють через кілька доменів, тому URL у листі може відрізнятися від URL, який зрештою завантажується.

Зробіть це частиною програми симуляцій. Включіть тайпосквотинг-домени у ваші симуляційні фішингові листи. Лист від “hr@yourcompnay.com” (переставлені літери) з посиланням на схожий портал тестує, чи працівники помічають невідповідність домену. Наша вправа з обізнаності про тайпосквотинг та вправа з безпечного серфінгу охоплюють ці сценарії конкретно.

Навчіть вашу команду виявляти URL, що відрізняються на одну літеру. Спробуйте нашу безкоштовну вправу з обізнаності про тайпосквотинг та подивіться, скільки схожих доменів можуть помітити ваші працівники. Також перегляньте вправи з безпеки браузера, HTTPS та верифікації веб-сайтів та повний каталог навчання з кібербезпеки.