Мошенники взяли под прицел домены известных ИБ-компаний

image

Теги: домен, фишинг, мошенничество, информационная безопасность

Чаще всего захваченные домены используются для хищения трафика и вредоносной активности.

На сегодняшний день киберсквоттинг (регистрация потенциально перспективных доменных имен, созвучных названиям известных компаний, и последующая их перепродажа в нужный момент) стал значительной проблемой для интернет-сообщества. По данным Всемирной организации интеллектуальной собственности (The World Intellectual Property Organization) количество связанных с захватом доменов инцидентов неуклонно растет, а злоумышленники активно применяют тайпсквоттинг (покупка доменных имен, очень схожих по графическому написанию с адресами наиболее посещаемых сайтов интернета) для инфицирования мобильных устройств и компьютеров пользователей.

Эксперты компании High-Tech Bridge провели интересное исследование, в ходе которого проверили домены компаний из индекса NASDAQ NQCYBR и ряда частных предприятий, специализирующихся на информационной безопасности. Для этой цели исследователи использовали сервис, позволяющий оперативно выявить фишинговые домены и проверить доменные имена на предмет тайпосквоттинга и киберсквоттинга.

Как выяснилось, чаще всего захваченные домены используются для хищения трафика (85%), вредоносной активности (7%), сквоттинга (6%), подделки торговых знаков (1%) и иных целей (1%).

Мошенники регистрируют модифицированные домены крупных компаний (например, akamai.ru, junipernetworks.cn, kasperskysupport.com или ciscogroup.com), а затем перепродают их, зарабатывая на известности брендов. Некоторые домены с очевидными ошибками, такие как junlper.net, ранее использовались злоумышленниками в фишинговых атаках. Домен sytmantec.com перенаправляет пользователей на сайты, содержащие контент для «взрослых» и вредоносное ПО.

В ходе исследования были обнаружены домены, имитирующие легитимные бренды. К примеру, зарегистрированный через прокси lifelock.org активен и даже использует доверенный SSL-сертификат, однако не имеет ничего общего с компанией LifeLock. Такая же ситуация с доменом paloaltonetworks.cz, не имеющим никакого отношения к компании Palo Alto Networks. Что интересно, сайт перенаправляет пользователей на ресурс одного из торговых посредников Fortinet – прямого конкурента Palo Alto Networks.

Большую опасность, по словам исследователей, представляют web-сайт trendmicrow.com, который имитирует службу техподдержки компании Trend Micro и используется для сбора персональных данных ее клиентов.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.