2. Hírek
  3. Biztonság

Egy karaktert elgépelsz, és már meg is szívtad

A doménekkel való visszaélés témájában a közelmúltban több közlemény is megjelent, de a legérdekesebb valóban tartalmaz nóvumot is. A már jó ideje ismert és nem keveset tárgyalt problémára hívta fel szeptember 6-án megjelent tanulmányában két kutató a figyelmet: a Godai Group biztonsági tanácsadói, Peter Kim és Garrett Gee a gyakorlatban bizonyították be, hogy milyen veszélyes lehet az, ha a felhasználó csak „majdnem pontosan” gépeli be a levelezést biztosító szerver címét. Elegendő egyetlen karakternyi tévedés, és az esetleg bizalmas adatokat tartalmazó elektronikus levél máris a kiberbűnözők által létrehozott postaládában landol.

Ez a fajta bűncselekménytípus („typosquatting”) és alfajai már rég ismertek. Az eddig leggyakoribbak azonban nem a levelezési protokollokat használták ki, hanem a böngészőbe tévesen begépelt címekre hajtottak rá: a bűnözők megszerezték a nagy látogatottságú és/vagy fontos szolgáltatásokat végző weboldalak doménjeinek változatait (például: goggle.com vagy googl.com, google.org stb.), létrehozták a kamuoldalaikat, majd a hibás irányítás miatt ide tévedők gépeit általában egy felhasználói beavatkozás nélkül települő, célzott tevékenységet végző vírussal fertőzték meg. Ezek ellen a trükkök ellen nagyon nehéz védekezni, a legbiztosabb módszer az, ha maga a márkát birtokló cég szerzi meg a leggyakoribb félregépelésekből adódó doménneveket is (a Google ebből a szempontból már nem igazán jó példa, mivel sok ezer, az ő eredeti címeikhez hasonló nevet vásároltak már meg, hogy megelőzzék a visszaéléseket, illetve a téves gépelésnél is magukhoz irányítsák a felhasználókat).

A most napvilágra került tanulmány azonban komoly újdonságokat is tartalmaz, pontosabban egy olyan területre világít rá, amelyre eddig sem a biztonsági szakemberek, sem a felhasználók nem fordítottak kellő figyelmet. A Fortune magazin listája alapján a világ 500 legnagyobb vállalatát véve célba adathalászati tesztjük során ugyanis nem a weboldalak „doppelgängereit” használták, hanem a nagy cégek levelezési címeit. A teszt során döbbenetes eredményre jutottak: hat hónap alatt több mint 120 ezer, a hamis e-mailcímekre küldött levelet szereztek meg, melyek jelentős része tartalmazott bizalmas információkat: üzleti titkokat, személyes adatokat, felhasználói neveket és jelszavakat stb,, összesen 20 gigabájtnyi felhasználható információhoz jutottak hozzzá. Pedig a sok lehetséges közül „csak egyetlen kis trükköt” alkalmaztak: a doménrészeket elválasztó pontot elhagyva hoztak létre hamis postacímeket, például: mail.yahoo.com helyett mailyahoo.com; ha a felhasználó véletlenül lefelejtette a pontot a címből, levele máris a kutatóknál landolt.

mitmb

A kutatás rámutatott, hogy az említett 500 kiemelt cég közül 151, vagyis kb. 30 százalékuk esetében működött a „man-in-the-mailbox” támadás valamelyik fajtája. A két szakember ezért ugyanazt tanácsolja a nagyvállalatoknak, amit a weboldalak esetében már sokan meg is tettek: szerezzék meg a hasonló címeket (és persze utalnak a felhasználói tudatosság és figyelmesség növelésének szükségességére is). Ezt a tanácsot azzal a ténnyel is alátámasztják, hogy néhány céges doménnek utánanéztek (például: Cisco, Dell, Yahoo! stb.), és azt tapasztalták, hogy ezek az alig eltérő címek már regisztrálva vannak, sokuk Kínában, és bizonyítható, hogy a regisztrálók vírusterjesztésre és adathalászatra használják őket.

Azóta történt

Előzmények