מה זאת התקפת שכפול דומיין ואיך אפשר להתגונן מפניה?

פורסם ביום חמישי, 22 בספטמבר, 2011

Typosquatting הנו מונח לתיאור רישום שמות דומיין הקרובים באיותם לשמות דומיין לגיטימיים בבעלות חברות, על מנת לנצל טעויות הקלדה תמימות לצרכים לא לגיטימיים כהשגת אינפורמציה (Phishing) או התקפה ישירה של תוכנות זדוניות (Malware).

החודש פורסם מחקר של חברת אבטחת המידע Godai Group העוסק בסוג אחד של Typosquatting הנקרא Doppelganger ("כפיל" או "שכפול"). "שכפול" הוא רישום של דומיין באיות זהה לדומיין רשום ולגיטימי תוך השמטת הסימן ".", המציין סב-דומיין, לשימושים לא לגיטימיים. באמצעות שכפול גופים זרים יכולים לאסוף מידע רגיש מחברות כשמות משתמשים וסיסמאות, פרטי עובדים, פרטים סודיים על החברה וכל מידע רגיש אחר.

החוקרים אפיינו את החברות ברשימת ה- Fortune 500, שהן החברות הגדולות ביותר, וכביכול אמורות להיות המאובטחות ביותר, אם הן פגיעות להתקפות שכפול או לא. על פי המחקר כ- 30% מהחברות (151 חברות) התגלו כפגיעות להתקפות כאלה. בחברות כל כך גדולות נעשה שימוש יומיומי נרחב ביותר בדואר אלקטרוני, ובכך עולה הסבירות לשליחת הודעות לכתובות דוא"ל שגויות (טעויות הקלדה או חוסר תשומת לב למיקום של ".") ולדליפת מידע החוצה מהחברה.

ישנן שתי שיטות להתקפות שכפול מבוססות דואר אלקטרוני:

1. התקפה פסיבית – לאחר רישום דומיין משוכפל וקביעת הגדרות הדואר האלקטרוני, מקבל בעל הדומיין המשוכפל כל תכתובת דואר אלקטרוני לכתובות שהוגדרו. ארגונים גדולים מוציאים ומקבלים כמות גדולה מאוד של דואר אלקטרוני. אחוז מסוים מהדוא"ל נשלח לכתובת לא נכונה בגלל שגיאות של משתמשים (טעויות כתיב של שולחי הדוא"ל). התוקפים מסתמכים על כך ואוספים תכתובות שנשלחו לכתובות השגויות.

החוקרים מקבוצת גודאי אספו בשיטה זאת למעלה מ- 120,000 הודעות דואר אלקטרוני (מעל 20GB של מידע) במשך חצי שנה. הודעות שנאספו הכילו סודות מקצועיים, חשבוניות, פרטי עובדים, שמות משתמשים וסיסמאות ועוד.

2. התקפה אקטיבית – בהתקפה מסוג זה, המבוססת על הנדסת אנוש, התוקפים מתחזים לרוב לאדם או לתפקיד מסוימים. דומיין משוכפל עשוי להיות דומה מאוד לדומיין לגיטימי, וכך גם כתובות הדואר האלקטרוני. התוקפים מתחזים לבעל תפקיד מסוים. השיטה עובדת כך: באמצעות שכפול דומיין מתקבלת הודעת דוא"ל לידי התוקפים. התוקפים משכפלים את הדומיין של שולח ההודעה, וממנו מעבירים את ההודעה לכתובת הנכונה על ידי תיקון השגיאה. כאשר מקבל ההודעה הלגיטימי משיב על ההודעה שנשלחה (באמצעות "Reply" או "השב"), הוא בעצם שולח הודעת דוא"ל, לעיתים עם אינפורמציה סודית, לדומיין המשוכפל.

נדגים את השיטה: תכתובת לגיטימית בין משתמש א' עם כתובת דוא"ל שמסתיימת ב- @us.company.com למשתמש ב' עם כתובת דוא"ל שמסתיימת ב- @ru.bank.com. משתמש א' שולח הודעת דוא"ל עם בקשה לאינפורמציה למשתמש ב', אבל קצת טועה באיות, כך שההודעה נשלחת למשתמש חיצוני בעל דומיין משוכפל, זהה למעט תו אחד: @rubank.com (התקפה פסיבית). כעת התוקף יעביר את ההודעה מדומיין משוכפל אחר, הפעם שכפול של הדומיין של משתמש א' - @uscompany.com, לכתובת הלגיטימית של משתמש ב' - @ru.bank.com. משתמש ב' משיב על ההודעה, כאשר לרוב הוא ישיב מבלי לשים לב לטעות קטנה בכתובת השולח. התוקפים יעבירו את ההודעה מהדומיין המשכופל של משתמש ב' לכתובת הנכונה של משתמש א', וההתקפה עברה מבלי שאחד מהמשתמשים ישים לב שמשהו קרה. כעת, התוקפים נמצאים במרכז התכתובת (נקרא גם: Man in the MailBox) בין משתמש א' ל- ב', ויכולים ליזום התכתבויות ודליפת מידע, או לחכות לתכתובת הבאה בין שני המשתמשים.

ממצאי המחקר מראים שאין תעשייה חסינה מהתקפות אלו, ודווקא תעשיות שנתפסות כבעלות רמת אבטחה גבוהה לעיתים סובלות יותר מחברות אחרות מהתקפות שכפול. כך למשל יותר חברות מתחום הבנקאות וגם מתחום התעשיות הצבאיות נמצאו כפגיעות להתקפות שכפול מחברות בתעשיות אחרות.

אז מה אפשר לעשות?

יש כמה דברים שחברות יכולות לעשות בכדי להתגונן מפני התקפות שכפול. רצוי להשתמש בשירותי DBS (אבטחת מותגים ברשת), בכדי למצוא את נקודות התורפה של הארגון להתקפות שכפול והתקפות מסוגים אחרים.

1. בכדי להתגונן מהתקפות שכפול בצורה יעילה כדאי לחברות לרשום בעצמן את שמות הדומיין המשוכפלים. ניתן להגדיר אותם כך, ששליחת דוא"ל לדומיין שכזה תקפיץ הודעת שגיאה לשולח.

2. אם דומיין משוכפל כבר נרשם על ידי גוף אחר, כדאי לעתור לבוררות (UDRP) נגד התוקפים כדי להשיג את הבעלות על הדומיין המשוכפל.

3. ניתן להגדיר את שרתי ה- DNS (בתוך החברה עצמה), כך שהודעות דוא"ל שיוצאות מהחברה לדומיין משוכפל יחסמו, גם אם הדומיין המשוכפל לא בבעלות החברה. זה פיתרון המסייע רק במצבים של שליחת דוא"ל מתוך החברה לדומיין משוכפל של החברה, כלומר תכתובת פנים-ארגונית.

4. ניתן גם להגדיר את שרת הדואר לחסום מיילים יוצאים לשמות דומיין משוכפלים.

5. הגברת המודעות בקרב עובדים, לקוחות, שותפים עסקיים וכל גוף שלחברה יש קשר עסקי איתו להתקפות מבוססות שכפול שמות דומיין. ככל שהמודעות תעלה יעלה, כך החברה תהיה פחות חשופה להתקפות שכפול.