Klaidinančios subdomenų struktūros
Phishing atakos dažnai pasitelkia subdomenus, kurie atrodo susiję su patikimomis svetainėmis, tačiau yra klaidinančiai sukonstruoti.
HTML pavyzdys:
<a href="http://www.google.com.info.net">Apsilankykite Google!</a>
Ką vartotojas mato:
Tekstas rodo „Google“, tačiau reali nuoroda nukreipia į info.net svetainę.
Paaiškinimas: Sukčiai naudoja subdomenus, kuriuose žinomų prekės ženklų pavadinimai dedami prieš tikrąjį domeną.
Homografų (IDN) atakos
Naudojant vizualiai panašias raides ar simbolius iš kitų abėcėlių (pvz., skaičiai vietoj raidžių), galima sukurti klaidinančius domenus. Pvz., rnicrosoft.com vietoj microsoft.com
HTML pavyzdys:
<a href="http://www.g00gle.com">Prisijunkite prie savo Google paskyros</a>
Ką vartotojas mato:
Nuoroda atrodo kaip „google.com“, tačiau „o“ pakeista skaičiumi „0“ (g00gle.com).
Paaiškinimas:
Tai dažnai naudojama su populiariais domenais, siekiant apgauti vartotojus, ypač kai nuorodos išdėstomos skubiai arba mobiliajame įrenginyje.
IDN (Internationalized Domain Name) – tai tarptautizuoti domenų vardai, leidžiantys naudoti specialius simbolius ar raides iš įvairių abėcėlių, kurie nėra įprasti anglų kalbos abėcėlėje (pvz., raidės su diakritiniais ženklais, hieroglifai, kirilica ir kt.).
Kaip veikia IDN?
Tradiciniai interneto domenų vardai naudoja tik anglų kalbos abėcėlės simbolius (A-Z), skaičius (0-9) ir brūkšnelį (-). Tačiau IDN leidžia naudoti papildomus simbolius, pvz.:
- š, ž, č, ū, ė (lietuviškos raidės)
- пример.com (kirilica)
- münchen.de (vokiškas umliautas)
Norint suderinamumo su DNS (domenų vardų sistema), IDN konvertuojami į ASCII simbolius naudojant Punycode.
Pavyzdžiui:
- šokoladas.lt tampa xn--okoladas-5wb.lt
- пример.com tampa xn--e1afmkfd.xn--com
IDN Homografų Ataka
Ši ataka naudojama phishing kampanijose, kai sukčiai kuria domenus, kurie atrodo vizualiai panašūs į gerai žinomus prekės ženklus ar svetaines, tačiau naudoja simbolius iš kitų abėcėlių. Tokiu būdu domenas atrodo patikimas, tačiau iš tikrųjų yra apgaulingas.
Pavyzdys:
- Tikras domenas: www.google.com
- Apgaulingas domenas: www.gоogle.com
Šiuo atveju, „о“ yra ne angliška raidė „o“, o kirilica „о“. Vartotojai sunkiai pastebi skirtumą, ypač jei nėra įpratę tikrinti nuorodų detalių.
Paslėptos nuorodos (angl. Hidden URLs)
Sukčiai naudoja tekstus ar paveikslėlius, kuriuose paslėptos nuorodos į kenksmingas svetaines.
HTML pavyzdys:
<a href="http://malicious-site.com">Spauskite čia</a>
Variantas su paveikslėliu:
<a href="http://phishing-website.com">
<img src="http://legit-image.com/logo.png" alt="Logotipas">
</a>
Ką vartotojas mato:
Tekstas „Spauskite čia“ arba net autentiškai atrodantis logotipas, kuris nukreipia į kenksmingą svetainę.
Paaiškinimas: Vartotojai dažnai neatkreipia dėmesio į URL adresą, ypač kai naudojami patikimų svetainių logotipai.
HTML „iframe“ naudojimas
Phishing atakose naudojami iframe, kad būtų galima įterpti suklastotą prisijungimo langą į patikimai atrodančią svetainę.
HTML pavyzdys:
<iframe src="http://malicious-site.com/login" width="500" height="400" style="border: none;">
Jūsų naršyklė nepalaiko iframe.
</iframe>
Ką vartotojas mato:
Atrodo kaip įprastas prisijungimo langas (pvz., banko ar kitos patikimos paslaugos), tačiau iš tikrųjų jis siunčia jūsų duomenis į sukčių serverį.
Paaiškinimas: iframe leidžia parodyti turinį iš kitos svetainės, todėl vartotojas gali patikėti, kad tai yra tikra prisijungimo forma.
5. HTML suklastotas el. laiškas
Sukčiai siunčia el. laiškus, kurie atrodo kaip patikimų įmonių, tačiau jų turinys ir nuorodos nukreipia į pavojingas svetaines.
HTML pavyzdys:
<!DOCTYPE html>
<html>
<body>
<p>Gerb. Kliente,</p>
<p>Pastebėjome neįprastą veiklą jūsų paskyroje. Prašome <a href="http://fakebank-login.com">prisijungti prie paskyros</a> ir patvirtinti savo informaciją.</p>
<p>Su pagarba,<br>Banko apsaugos komanda</p>
</body>
</html>
Ką vartotojas mato:
Laiškas atrodo profesionalus, tačiau nuoroda nukreipia į fakebank-login.com, o ne tikrą banko svetainę.
Paaiškinimas: Sukčiai dažnai sukelia skubėjimo jausmą, kad priverstų vartotojus veikti be papildomo apmąstymo.
Kaip identifikuoti tokias apgaules?
- Tikrinkite nuorodų adresus: Uždėkite pelės žymeklį ant nuorodos ir patikrinkite URL.
- Ieškokite rašybos klaidų: Ypač svarbu tikrinti domenus (pvz., rnicrosoft.com vietoj microsoft.com).
- Patikrinkite siuntėją: Suklastoti el. laiškai dažnai siunčiami iš adresų, kurie atrodo keistai (pvz., support@paypa1.com).
Apsisaugojimo būdai:
- Visada tikrinti siuntėjo adresą
- Nespausti pateiktų įtartinų nuorodų, nuorodą galite nukopijuoti ir galite patikrinti patikimumą su virustotal.com
- Nenaudoti pateiktų nuorodų – geriau atsidaryti svetainę tiesiogiai, pagal imituojamą domeną
- Įjungti dviejų ar daugiau faktorių autentifikaciją
- Naudoti patikimą antivirusinę programą su tinklo ir svetainių naršymo analize
- Reguliariai atnaujinti programinę įrangą