Фишинг в первую очередь ассоциируется с электронной почтой. Но, чтобы похитить данные, мошенники часто подделывают сайты известных брендов. Компании узнают о проблеме, когда клиенты начинают жаловаться, что у них украли деньги, а услугу не предоставили. Чаще всего страдает диджитал-сфера: злоумышленники могут скопировать сайты банка, интернет-магазина, сервиса доставки или покупки билетов.
Чтобы не потерять деньги, клиентов и репутацию, нужно мониторить мошеннические сайты в интернете. Все найти не получится, но внушительную часть фишинга можно заблокировать заранее. Мы в BI.ZONE как раз этим занимаемся, так что решили поделиться, как у нас устроен процесс. Если вы хотели знать, как ищут и блокируют фишинг, мы вам покажем.
Мы боремся с фишингом в рамках DRP-решения, платформы BI.ZONE Brand Protection. Она работает в трех направлениях:
Мошенничество: мониторим и блокируем фишинговые сайты.
Утечки информации: отслеживаем в даркнете слитые учетные записи и пароли сотрудников, базы с данными клиентов, фрагменты исходного кода и чувствительную информацию.
Инфополе: ищем фейковые новости, негативные публикации, следим за соцсетями, мессенджерами и СМИ.
В этой статье поговорим о том, как мы настроили процесс поиска и блокировки фишинговых сайтов.
Как устроен процесс
Чтобы автоматически находить фишинговые сайты, мы сделали свои инструменты: whitehole и phish-detector. Сервис whitehole собирает информацию о новых доменах, а сетевой сканер phish-detector проверяет эти домены и другие ссылки: скачивает их из интернета, анализирует, выдает вердикт. Результаты сканирования попадают в платформу BI.ZONE Brand Protection, где их проверяют аналитики. Если оказывается, что домен фишинговый, мы запускаем процедуру блокировки. Схематически процесс работы выглядит таким образом:
А теперь объясним все по порядку.
Откуда берутся сайты для проверки
Phish-detector анализирует несколько категорий ссылок. Объединив их, мы получаем список сайтов для проверки.
Недавно появившиеся сайты. Whitehole ежедневно собирает и сохраняет информацию о новых доменах.
Рефереры, то есть ссылки, с которых происходили редиректы на сайт клиентов или скачивания информации оттуда.
Жалобы от клиентов. Например, некоторые домены мы не можем обнаружить из-за короткой жизни URL. Такие ссылки мы получаем от клиентов.
Недавно появившиеся сайты. Whitehole
Сейчас у нас в базе 1,5 млрд уникальных доменов, и каждый день добавляется еще 1 млн. Информация о новых доменах поступает из следующих источников:
ICANN: файлы доменных зон для общих доменов верхнего уровня (gTLD).
Операторы зон: файлы доменных зон для национальных доменов верхнего уровня (ccTLD).
Регистраторы: информация о новых доменах, списки доменных имен.
Certificate transparency logs (CTL): список выпущенных сертификатов.
Источники passive DNS: много разной информации, но небольшой процент подходящих нам доменов.
ICANN — организация, которая регулирует все существующие доменные зоны. У нее мы получаем доступ к файлам доменных зон для общих доменов верхнего уровня (gTLD), например .com/.net/.org/.info. Информацию из файла можно использовать для преобразования доменного имени в IP. Еще здесь содержатся данные о name-серверах домена, а выглядит это так:
Операторы зон. Мы обращаемся к операторам зон, на которых чаще всего встречаем фишинговый контент. У них мы получаем файлы зон для национальных доменов верхнего уровня (ccTLD). Например, оператор для зоны .ru/.рф, Technical Center of Internet, предоставляет файлы за последние 7 дней.
Регистраторы. Некоторые регистраторы и сервисы DNS готовы делиться информацией. Например, мы с timeweb.com настроили обмен публичными сведениями о зарегистрированных доменах. Это позволяет нам быстро реагировать на новые фишинговые угрозы.
Российские регистраторы предоставляют файлы с информацией о доменах зон .ru/.рф/.su: их регистрантах, датах создания и удаления. Данные обновляются раз в сутки. Если смотреть со стороны списка доменов, файлы регистраторов аналогичны файлам зон, но содержат геодомены третьего уровня и другую метаинформацию (whois):
Certificate transparency logs. Мы парсим CTL, достаем список сертификатов, а из сертификатов берем домены, на которые они выписаны. Так мы получаем адреса всех сайтов с HTTPS. Здесь могут быть домены, которые были зарегистрированы и год назад, а сертификаты на них выписали недавно. Плюсы CTL в том, что данные обновляются в режиме реального времени и можно отследить историю домена.
Есть HTTPS-сертификаты, для которых с какого-то момента необходимо находиться в CTL, иначе они не будут считаться валидными. К ним относятся:
EV, высокой надежности;
OV, валидирующий организацию;
DV, валидирующий домен.
Большая часть доменов, которые мы получаем, второго уровня. Это значит, что если злоумышленник зарегистрирует домен phishing[.]ru, мы найдем его, в том числе с помощью файлов зон. При этом бывает, что на самом домене нет контента. Злоумышленник может создать поддомен энного уровня на своем домене второго уровня, например example4.example3.example2.example1.phishing[.]ru, и невозможно будет узнать, какой поддомен он создал. CTL помогает находить домены любого уровня всех зон, но только на сайтах с HTTPS-сертификатами.
Портят картинку только wildcard-сертификаты, которые выписываются на целый уровень поддоменов, например *.phishing[.]ru. В этом случае мы не сможем узнать о существовании сайтов вроде example1.phishing[.]ru, example2.phishing[.]ru, example3.phishing[.]ru и т. д.
Источники passive DNS. Это еще один способ получить информацию о доменах. Мы используем его редко, но упомянем — вдруг кому-то пригодится. Суть метода в том, чтобы пассивно собирать обращения к DNS-серверу с просьбой разрезолвить домен.
Рефереры
Некоторые фишинговые ресурсы в коде страницы используют ссылки, которые обращаются к оригинальному сайту. Есть, к примеру, официальный сайт Сбера, а есть фишинговый сайт sberbankololo[.]ru. Злоумышленник может использовать не скачанный логотип Сбера, а ссылку на него — изображение подгрузится с официального сайта, когда жертва зайдет на фишинговую страницу.
В этом случае на сервере официального сайта в запросе на скачивание логотипа в заголовке referer отобразится URL фишингового сайта. Некоторые клиенты отправляют нам все обращения сторонних сайтов к официальному, а мы автоматически проверяем эти ссылки через phish-detector.
Жалобы от клиентов
Бывает так, что фишинговый контент можно увидеть, только перейдя по определенному URL. Чаще всего такой прием используют в фишинговых схемах с маркетплейсами. Например, мошенники генерируют ссылки типа https://marketplace.oplata3ds[.]ru/sell?id=82078664, где для каждой жертвы создается свой id. Такие ссылки сложно сбрутить и обнаружить, потому что путь содержит большое количество символов. Мы сможем обнаружить сам сайт marketplace.oplata3ds[.]ru, но не узнаем путь к фишинговому контенту — тогда не будет и оснований для досудебной блокировки. А клиент может узнать о таких доменах, если получит жалобу от пользователя. Когда такое происходит, компании-клиенты отправляют фишинговые ссылки через платформу BI.ZONE Brand Protection.
Как phish-detector анализирует домены
Аналитики создают для phish-detector правила, основываясь на своем опыте и представлении о том, как выглядят различные фишинговые страницы. У нас есть несколько сотен активных правил, по которым phish-detector проверяет домены из whitehole.
Phish-detector анализирует код страницы, а также проверяет совпадения фавиконок на разных сайтах. Чтобы это сделать, инструмент скачивает фавиконки с фишинговых и официальных сайтов, а затем сравнивает их похожесть с помощью перцептивного хеша. Если хеш совпадает — считаем, что сработка успешная.
Некоторые доменные зоны нужно проверять чаще других, потому что там чаще появляются фишинговые домены. Бывает и так, что фишинговый контент появляется на домене не сразу, поэтому одной проверкой не обойтись. Например, phish-detector каждые 12 часов проверяет все домены, зарегистрированные за последние 60 дней в зоне .ru.
Еще phish-detector проверяет доменные имена, в которых содержатся слова, похожие на названия наших клиентов, например sber. Это помогает в тех случаях, когда домен есть, а сайта нет — то есть с помощью проверки контента фишинг не обнаружить. Если имя выглядит подозрительно, например sberbank100official[.]ru, мы ставим домен на постоянный мониторинг: когда бы ни появилось там мошенническое содержимое, мы об этом узнаем. Проще говоря, phish-detector сканирует все домены из whitehole, но подозрительные сканирует с пристрастием.
После проверки phish-detector выносит вердикт. Если сигнатура не сработала — значит, со ссылкой все в порядке, а если сработала — индикатор попадает в платформу.
Как работают аналитики
В платформу практически каждую минуту попадают индикаторы. Их круглосуточно разбирают аналитики: смотрят, есть ли фолзы или нет. Если все сигнатуры сработали верно, аналитик отправляет запрос на блокировку домена регистратору и хостинг-провайдеру сайта.
Иногда мы встречаем ни на что не похожие фишинговые домены, для которых у нас нет сигнатур. Такое случается, когда поступает жалоба от клиента или попадается домен с подозрительным именем. В этом случае аналитик сам пишет правило, чтобы в дальнейшем мы смогли находить подобные страницы.
Мы не стремимся минимизировать процент ложных срабатываний, и вот почему. Можно писать правила двумя способами, в зависимости от цели:
Меньше ложных сработок. В таком случае пишется точечное правило на конкретный шаблон фишингового сайта. Минусы такого подхода:
злоумышленникам достаточно немного изменить контент, и мы перестанем их детектить;
мы не найдем похожие мошеннические сайты.
Больше фишинговых сайтов. Для этого нужно написать более широкое правило, которое будет находить различные вариации известного фишингового шаблона. Тогда мы не перестанем находить злоумышленников, даже если они попытаются скрыться, незначительно изменив контент. Из минусов — будет больше ложных сработок.
Мы придерживаемся подхода: лучше что-то найти и при этом побольше поработать, чем поменьше поработать и что-то пропустить. Поэтому пишем для наших инструментов широкие правила.
Как мы блокируем сайты
Когда аналитик подтверждает сработку, мы начинаем процесс блокировки.
1. Сначала отправляем запрос на блокировку регистратору и хостинг-провайдеру домена. Прикладываем ссылку на форму для фишинга, скриншот с нарушением, указываем на правила регистрации, запрещающие размещать фишинговый контент. В некоторых случаях регистратор или хостер требует доверенность на право действовать от лица компании-клиента. А еще мы всегда напоминаем, что фишинговые ссылки долго не живут: к тому моменту, когда аналитик на стороне регистратора или хостера перейдет по ссылке, злоумышленники могут уже удалить контент.
2. Если в течение пары дней мы не получаем ответа, отправляем запрос администратору доменов верхнего уровня: .top/.xyz/.site. Большинство из таких админов блокируют ресурс.
3. Если и это не помогает, пишем в ICANN и уведомляем о бездействии регистратора доменного имени.
В некоторых случаях мы направляем обращение в сертифицирующую компанию с просьбой отозвать SSL-сертификат. Домен от этого не заблокируют, зато пометят плашкой «небезопасно».
Также у нас есть статус CERT, и мы можем попросить о помощи CERT страны, в которой находится регистратор или хостинг-провайдер домена. И наоборот, другие CERT иногда приходят к нам с просьбой помочь заблокировать фишинговые сайты в Рунете.
Бороться с нарушениями в Рунете нам чуть проще, потому что мы входим в число компетентных организаций Координационного центра доменов .ru/.рф. Для таких организаций центр разработал платформу «Доменный патруль» — она помогает блокировать фишинг. Все домены в зонах .ru/.рф/.su мы блокируем через эту платформу.
Домены не блокирутся моментально. Время зависит от разных факторов: в каком часовом поясе находится регистратор, как трактуются правила регистрации доменных имен, сколько работает служба поддержки. По нашему опыту, 80% фишинговых доменов в зоне .ru/.рф блокируются в течение 24 часов, а в зарубежных зонах — 48 часов.
Есть проблемы с блокировкой некоторых ccTLD. Например, зоны .pw/.ml/.gq абузоустойчивые — это значит, что операторы не реагируют или долго реагируют на жалобы и отказываются предоставлять файлы зон. Поэтому здесь часто регистрируются мошенники.
В некоторых случаях домен не получается заблокировать. Но если сайт использует товарный знак нашего клиента, мы подчеркиваем это в жалобе. Тогда домен обезличат: хостер обяжет владельца убрать товарные знаки бренда.
В общем, много всего происходит под капотом BI.ZONE Brand Protection, но для пользователей платформы блокировка сайта — это один клик.
Итог
Несмотря на проблемы с блокировкой некоторых доменов, нам удается расправиться с подавляющим большинством фишинговых сайтов, которые мы находим. Например, за 2021 год мы заблокировали больше 70 тыс. ссылок. Это не все, что есть в интернете, но, по нашему мнению, никто не может дать 100%-ю гарантию находить все.
Теперь вы знаете, что нужно для мониторинга фишинга, и можете попробовать настроить его у себя. Расскажите потом, что получилось.
Автор: Григорий Бершацкий, главный специалист по защите бренда в BI.ZONE
