הקלות הבלתי נתפסת של רישום דומיין זדוני
דו"ח של פאלו אלטו מציף את אחת הבעיות העיקריות כיום בעולם הסייבר - רישום דומיין זדוני. אלו משמשים למתקפות פישינג שמתחילות את מרבית מתקפות הסייבר על ארגונים
עמי רוחקס דומבה
| 23/04/2020
תמונה מתוך הדו"ח של פאלו אלטו
דו"ח של חברת פאלו אלטו חושף כי מתחילת משבר הקורונה בעולם נצפה גידול ניכר של מאות אחוזים ברישום דומיינים למטרות זדוניות אצל רשמי דומיינים מסביב לגלובוס. הדו"ח מציף את אחד מעקבי אכילס העיקריים בעולם ההגנה בסייבר - שם המתחם. על פי דיווחים גלויים, כמעט כל מתקפת סייבר מתחילה בפישינג, אשר חלקו הגדול מבוסס על שמות מתחם. בין שזו הפניה לשם מתחם זדוני לצורך הדבקת הקורבן , או שמדובר בשם מתחם ממנו נשלחת הודעת הפישינג.
"בליווי הגידול בעניין המשתמשים במשבר הקורונה, צפינו עלייה של 656% ברישומי שמות הדומיין היומיים הקשורים לוירוס לעומת הממוצע מפברואר עד מרץ. במסגרת זמן זה אנו עדים לגידול של 569% ברישומים זדוניים, כולל תוכנות זדוניות והתחזות; וצמיחה של 788% ברישומי "סיכון גבוה", כולל הונאות, כריית מטבעות לא מורשית ותחומים שיש בהם עדות לקשר עם כתובות אתרים זדוניות. בסוף חודש מרץ, זיהינו 116,357 שמות דומיין הקשורים לקורונה. מתוכם 2,022 הם זדוניים ו40,261 הם "בסיכון גבוה", כותבים בדו"ח.
"מצאנו שאמנם תחומים רבים רשומים למכירה חוזרת עם רווח, אך חלק ניכר מהם משמש הן לפעילויות זדוניות ידועות כמו גם לחנויות הונאה המוכרות פריטים הקשורים לקורונה. דומיינים אלו משמשים מגמות זדון מסורתיות כמו שמות מתחם המארחים תוכנות זדוניות, אתרי דיוג, אתרי הונאה, הזנת רעיונות, קריפטומינציה ואופטימיזציית 'כובע שחור' למנועי חיפוש לשיפור דירוג החיפוש באתרים. גילינו קבוצה של דומיינים עם נושא הקורונה, המגישים דפים חונים עם JavaScript העלולים בכל עת להתחיל להפנות משתמשים לתוכן זדוני."
הדו"ח של פאלו אלטו מציף כאמור את בעיית הקלות ברישום דומייינים זדוניים. מדובר באחד האתגרים אותם הרגולטורים מסביב לעולם טרם הצליחו לפתור. למרות ההמלצה ליישם DNSSEC, מידת היישום חלקית בלבד ובספק אם זהו פתרון שיכול להוות חלופה להקשחת תהליך רישום הדומיין.
דו"ח של פאלו אלטו מציף את אחת הבעיות העיקריות כיום בעולם הסייבר - רישום דומיין זדוני. אלו משמשים למתקפות פישינג שמתחילות את מרבית מתקפות הסייבר על ארגונים
תמונה מתוך הדו"ח של פאלו אלטו
דו"ח של חברת פאלו אלטו חושף כי מתחילת משבר הקורונה בעולם נצפה גידול ניכר של מאות אחוזים ברישום דומיינים למטרות זדוניות אצל רשמי דומיינים מסביב לגלובוס. הדו"ח מציף את אחד מעקבי אכילס העיקריים בעולם ההגנה בסייבר - שם המתחם. על פי דיווחים גלויים, כמעט כל מתקפת סייבר מתחילה בפישינג, אשר חלקו הגדול מבוסס על שמות מתחם. בין שזו הפניה לשם מתחם זדוני לצורך הדבקת הקורבן , או שמדובר בשם מתחם ממנו נשלחת הודעת הפישינג.
"בליווי הגידול בעניין המשתמשים במשבר הקורונה, צפינו עלייה של 656% ברישומי שמות הדומיין היומיים הקשורים לוירוס לעומת הממוצע מפברואר עד מרץ. במסגרת זמן זה אנו עדים לגידול של 569% ברישומים זדוניים, כולל תוכנות זדוניות והתחזות; וצמיחה של 788% ברישומי "סיכון גבוה", כולל הונאות, כריית מטבעות לא מורשית ותחומים שיש בהם עדות לקשר עם כתובות אתרים זדוניות. בסוף חודש מרץ, זיהינו 116,357 שמות דומיין הקשורים לקורונה. מתוכם 2,022 הם זדוניים ו40,261 הם "בסיכון גבוה", כותבים בדו"ח.
"מצאנו שאמנם תחומים רבים רשומים למכירה חוזרת עם רווח, אך חלק ניכר מהם משמש הן לפעילויות זדוניות ידועות כמו גם לחנויות הונאה המוכרות פריטים הקשורים לקורונה. דומיינים אלו משמשים מגמות זדון מסורתיות כמו שמות מתחם המארחים תוכנות זדוניות, אתרי דיוג, אתרי הונאה, הזנת רעיונות, קריפטומינציה ואופטימיזציית 'כובע שחור' למנועי חיפוש לשיפור דירוג החיפוש באתרים. גילינו קבוצה של דומיינים עם נושא הקורונה, המגישים דפים חונים עם JavaScript העלולים בכל עת להתחיל להפנות משתמשים לתוכן זדוני."
הדו"ח של פאלו אלטו מציף כאמור את בעיית הקלות ברישום דומייינים זדוניים. מדובר באחד האתגרים אותם הרגולטורים מסביב לעולם טרם הצליחו לפתור. למרות ההמלצה ליישם DNSSEC, מידת היישום חלקית בלבד ובספק אם זהו פתרון שיכול להוות חלופה להקשחת תהליך רישום הדומיין.
