Отчет Cofense обнаружил злоупотребление верхнеуровневыми доменами (TLD) для фишинга
- Значительное количество доменов .gov используется в атаках с открытым перенаправлением.
- Бразилия лидирует в злоупотреблении доменами .gov.
Киберпреступники взламывают легитимные правительственные сайты и сервисы, особенно те, которые используют домены верхнего уровня .gov.
Согласно отчету специалистов по кибербезопасности Cofense Intelligence, домены TLD используются для различных злонамеренных целей, таких как кража учетных данных и операции командования и управления (C2). В период с ноября по ноябрь злоумышленники воспользовались уязвимостями более чем в 20 странах, используя домены .gov.
Кража учетных данных
Один из методов, которые злоумышленники применяют, это открытые перенаправления, которые стали основным способом обхода безопасных почтовых шлюзов (SEG). Открытые перенаправления случаются, когда веб-приложения непреднамеренно разрешают перенаправление трафика на внешние сайты. С помощью этого подхода злоумышленники могут переправлять ничего не подозревающих жертв с легитимных правительственных сайтов на мошеннические страницы.
В США домены .gov наиболее часто эксплуатируются для таких перенаправлений. Более 77% атак связаны с уязвимостью, касающейся параметра «noSuchEntryRedirect». Эта уязвимость затрагивает платформы, такие как Liferay, широко используемые правительственными организациями. Хотя американские домены .gov составляют лишь 9% всех злоупотреблений, они занимают третье место по частоте использования.
Кража учетных данных остается самым распространенным видом злоупотребления доменами .gov. Большинство государственных доменов, используемых для фишинговых атак, содержат до девяти различных файлов в рамках различных кампаний. Эти фишинговые попытки часто имитируют легитимные сервисы, например, Microsoft, с письмами, которые выглядят как отправленные из доверенных источников.
Также было замечено, что злоупотребление доменами .gov для кражи учетных данных и перенаправления на вредоносные сайты происходит в нескольких странах. В частности, Бразилия выделяется как наиболее целевая страна, составляя значительную часть злоупотреблений доменами .gov. Однако небольшое количество доменов в Бразилии несет ответственность за большинство таких случаев, что указывает на то, что злоумышленники сосредоточены на нескольких важных правительственных сайтах.
Источник: TechRadar
