Что такое тайпсквоттинг

Новости Угрозы

В наше время нередки случаи, когда тот или иной сайт взламывается злоумышленниками и становится источником зловредов. Способов заманить пользователей на такие ресурсы существует немало, но один из них достоин особого внимания: речь идет о методе под названием «тайпсквоттинг».

Тайпсквоттинг

Опечатка при наборе адреса сайта — дело привычное и, казалось бы, ничем не примечательное, однако для киберпреступников такие ошибки только на руку. Этот метод получил название «тайпсквоттинг» (typosquatting), которое происходит от смеси двух английских слов: typo (опечатка) и squat (незаконное вселение в дом). По сути, этот способ представляет собой регистрацию доменных имен, близких по написанию с адресами популярных сайтов. Делается это с расчетом на то, что жертва некорректно наберет желаемый адрес и попадет не на искомый сайт, а прямиком в руки злоумышленников, которые в лучшем случае закидают спамом, а в худшем — отгрузят парочку троянцев, способных добраться до личных данных. За примерами далеко ходить не надо.

Вот, например, типичный случай с e-mail-адресом Gmail. В первую очередь подчеркнем, что мы всегда стараемся оградить пользователей от заражения: если мы обнаруживаем какой-либо скомпрометированный сайт, то немедленно выходим на связь с администратором ресурса и предупреждаем его об опасности. Вот реальный пример. На иллюстрации ниже изображена WHOIS-информация о домене сайта, который распространяет зловредное ПО. В поле «Administrative Contact» вместо адреса электронной почты мы видим строку «A***3JP». Она означает, что к администрированию данного домена имеет отношение японский национальный регистратор JPNIC, подчиняющийся компании Japan Registry Service (JPRS). Данная информация может помочь нам найти того, кто отвечает за сайт.

squat-01

Узнаем, кто администрирует домен A***3JP:

squat-02

Адрес почты в поле «E-mail», очевидно, должен принадлежать как раз тому, кого мы и должны предупредить о заражении сайта. Таким нехитрым образом мы обычно и выходим на ответственных администраторов, своевременное оповещение которых лежит в основе предотвращения дальнейшего распространения заразы. Впрочем, при более внимательном рассмотрении в e-mail обнаруживается подозрительная деталь: адрес выглядит так, будто расположен на популярном сервисе Gmail, но на самом деле это не так — в домене пропущена одна буква.

В некоторых странах правильность и достоверность регистрационных данных домена — вопрос, регулируемый законодательством. Тем не менее в Японии время от времени попадаются домены, регинформация о которых некорректна, а в ряде случае намеренно искажена. В случае с нашим примером мы не можем связаться с администратором, а значит, не можем предупредить его о том, что его ресурс распространяет заразу. Почему в адресе допущена ошибка — вполне ясно: злоумышленники зарегистрировали доменное имя, похожее на gmail.com, в надежде на то, что допустившие опечатку в наборе адреса пользователи попадут именно к ним, где и загрузят себе на компьютер вирус.

Позже выяснилось, что сайт, к которому привязан этот подозрительный e-mail, может отображать свое содержимое на разных языках, в зависимости от того, из какой страны на него зашел посетитель. Среди страниц обнаружились версии на японском, немецком, испанском, итальянском, русском и нескольких других языках (но почему-то не оказалось английского). Взгляните на скриншоты ниже: содержимое страницы выглядит вполне привычно, и многими пользователями предложение скачать некий плеер, вероятнее всего, будет принято без сомнений.

Японская версия:

squat-ja-08

Русская версия:

squat-ru-08

В этом посте мы рассказали о важном значении правильности доменных данных, а также о том, как работает тайпсквоттинг, используя реальный пример из практики. Впрочем, сам по себе тайпсквоттинг — занятие совсем не новое: этот метод используется мошенниками уже много лет. Тем, впрочем, удивительнее, что на эту удочку с каждым годом попадаются все больше пользователей.

Мы же надеемся, что вы не в их числе, потому что, во-первых, регулярно обновляете свою операционную систему, а во-вторых, не забываете о современной и надежной защите.