Специалисты из High-Tech Bridge, ведущей швейцарской компании по информационной безопасности, провели интересное исследование. Ими были проверены домены из индекса NASDAQ NQCYBR, а также ряда частных предприятий, которые специализируются на информационной безопасности. С этой целью эксперты использовали сервис, позволяющий оперативно выявить фишинговые домены и проверить доменные имена на предмет тайпосквоттинга и киберсквоттинга.
Выяснилось, что чаще всего домены захватывают с целью хищения трафика (85%), вредоносной активности (7%), сквоттинга (6%), подделки торговых знаков (1%) и иных целей (1%).
Злоумышленники регистрируют модифицированные домены крупных организаций (например, junipernetworks.cn, akamai.ru, kasperskysupport.com или ciscogroup.com), после чего продают. Немалый заработок созидается на известности брендов, даже при том, что домены могут быть с очевидными ошибками. К примеру, junlper.net ранее использовались мошенниками в фишинговых атаках, а домен sytmantec.com перенаправляет на ресурсы с контентом для взрослых и вредоносным ПО.
В процессе исследования также были выявлены домены, которые имитируют легитимные бренды. Например, зарегистрированный через прокси действующий домен lifelock.org даже подкреплен SSL-сертификатом, тем не менее к компании LifeLock не имеет никакого отношения. Аналогичная ситуация с доменом paloaltonetworks.cz, который не является собственностью Palo Alto Networks, и, более того, перенаправляет пользователей на сайт одного из торговых посредников Fortinet – конкурента Palo Alto Networks.
По словам исследователей, весомую угрозу представляет сайт trendmicrow.com, имитирующий службу техподдержки организации Trend Micro, который используется для сбора персональных данных ее клиентов.
Источник http://www.securitylab.ru/
