ИБ-компании пожаловались на захват Facebook доменов для фишинг-тестов

    Компания по обеспечению безопасности Proofpoint и ее дочерняя структура Wombat Security Technologies подали в суд на Facebook и Instagram. Они требуют вернуть доменные имена, используемые для тестирования безопасности.

    Proofpoint организует тренинги по кибербезопасности для организаций, в частности, тестирования на осведомленность о фишинге. Исследователи отправляют участвующим в тренировке сотрудникам фишинговые сообщения с похожих на известные доменов.

    Для этих целей компанией было зарегистрировано несколько доменов: facbook-login.com, facbook-login.net, instagrarn.ai, instagrarn.net и instagrarn.org.

    В иске, который Proofpoint подала в окружной суд США в Аризоне, говорится, что такие тесты помогают защитить как работодателя, так и владельцев законных доменных имен. Компания размещала на своих доменах плашку: «Этот веб-сайт принадлежит программе Proofpoint Security Awareness Training».

    Однако Facebook придерживается иной позиции. В ноябре прошлого года компания подала жалобу в соответствии с Единой политикой разрешения споров о доменных именах (UDRP) ICANN. В этой жалобе IT-гигант заявлял, что доменные имена Proofpoint сходны до степени смешения с собственными доменами компании, таким образом, они подпадают под действие закона о товарных знаках.

    Управление по товарным знакам США, на документы которого ссылается Facebook, разъясняло, что «владельцы товарных знаков в течение всего срока их регистрации должны контролировать и обеспечивать соблюдение своих прав».

    Арбитр UDRP встал на сторону Facebook и поручил регистратору этих доменных имен Namecheap из Аризоны передать контроль над ними соцсети.

    Теперь Proofpoint требует предотвратить передачу доменов и признать то, что они использовались компанией на законных основаниях. Компания утверждает, что аргументы Facebook являются неточными. Специалисты по безопасности отмечают, что перепутать зарегистрированные компанией домены с Facebook.com или Instagram.com невозможно.

    Facebook пока не комментирует ситуацию.

    В период пандемии, когда сотрудники переходили на удаленку, фишинговых атак стало значительно больше. Причем, на уловки хакеров попадались даже сотрудники известных IT-компаний. К примеру, внутренняя проверка на фишинг в GitLab показала, что каждый пятый ее участник согласился ввести свои учетные данные на поддельной странице.­ Специалисты компании тоже зарегистрировали поддельное доменное имя gitlab.company и рассылали с него письма от имени IT-отдела.

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 17

      –2
      А если бы они регистрировали домены, через — _
      insta-gramm.com (какие-то объёмы...)
      face-book.com (обложки книг...)
      Такие бы тоже не разрешили?
        0
        face-book.com перебрасывает на facebook.com
        +5
        Специалисты по безопасности отмечают, что перепутать зарегистрированные компанией домены с Facebook.com или Instagram.com невозможно.

        Тогда эти домены не нужны им для «тестирования безопасности».
          +3

          Тут речь о том что контент на доменах однозначно идентифицирует себя как не имеющий отношения к фейсбуку или инстаграму, а то что визуально или на слух похоже — был гораздо более интересный случай с доменом MikeRoweSoft.com.

            +1
            Но у Facebook нет контроля над ними и соотвественно они не могут гарантировать что завтра там не будет настоящего фишинг-сайта. Или сделать так, что бы он был фишингом только для каких-то регионов или IP, что бы Facebook не смог проверить.
            Потому они и хотят закрыть все варианты.
              0

              О, я про него ещё в ][ читал. Вроде, история мирно кончилась.

            +1

            Однозначно правда на стороне ФБ. Открой ящик пандоры, и все фишеры сразу обзаведутся карманными ИБ компаниями, делающими тренинги, зарегистрированными на бомжей. Примерно, как у олигархов есть свои нотариусы, реестродержатели, аудиторы, банки

              0

              По понятиям — да. Но сам по себе подход, на глаз определять схожесть доменов и потенциал для фишинга и на основании этого прессовать кого бы то ни было… Не годится это.

                +1
                Как же ещё определять? Тут важен человеческий фактор как раз, поэтому на глаз или на созвучие — самое оно.
                  0

                  Тут ошибка в постановке самой задачи. Проблему фишинга так не решить. Можно бесконечно гонять воробьев в поле, а можно кардинально изменить принцип авторизации.

                  0
                  Для сравнения «на глаз», можно применять opencv и процентную схожесть в изображений. Для определения на слух, таблица фонетики и перевод из текста в фонетический ряд, который так же на диф проверяется.
                  +1

                  А то что потом они крадут деньги у жертвы, так это не кража и не у жертвы, а оплата консультационных услуг клиентом. Согласно оферте, которую клиент принял вместе с отключением всплывашки про кукизы.

                  +1

                  Но если домены недоступны для ИБ контор, то и для злоумышленников недоступны и такого спама точно не будет! Нужно брать другие уловки мошенников, а это уже сложнее, видимо, чем десяток вариантов емейлов придумать.

                    0

                    Проблема в том, что злоумышленник всегда может регистрировать новый домен (возможно на левую карту), а ИБ контора обходились бы несколькими доменами, которые были бы вполне безопасны. И отобрали-то как раз именно эти несколько доменов, а не все подряд.

                    +4
                    Религия запрещает использовать субдомены типа facebook.com.login.auth-profile.id12345.com? У половины 90% фишеров такая петрушка и увы, довольно неплохо работает.
                      +3

                      Позиция FB в данном случае выглядит здравой

                        0
                        Пора уже валить с этого пропагандистского ресурса

                        Only users with full accounts can post comments. Log in, please.