Genom att registrera falska eller felstavade webbadresser som påminner eller efterliknar de som används av stora och välbesökta tjänster och sajter på nätet får cyberbrottslingar möjlighet att utföra ett flertal olika typer av bedrägerier och attacker.

IT-säkerhetsleverantören Palo Alto Networks rapporterar att de hittar så mycket som 450 nya felstavade eller ockuperade domäner varje dag. Även om alla inte har skadligt innehåll så handlar det idag om tusentals webbplatser som det kan innebära en risk att besöka.

När vi navigerar på nätet så använder vi webbadresser för att nå tjänster och information. Detta utnyttjas av bedragare och cyberbrottslingar som registrerar domännamn som påminner om och kan förväxlas med de som används av stora och välbesökta företag. Det kan handla om små stavfel i själva namnet eller att domännamnet är delvis riktigt, men får en annan så kallad toppdomän. Till exempel kan .info eller .co ersätta den riktiga sajtens .com.

Att registrera ett känt företagsnamn som internetdomän för att tjäna pengar på namnet eller lura besökare är ett fenomen som kallas för domänockupation eller domänrofferi och kan utgöra ett brott. Genom kontinuerlig övervakning av nyregistrerade domäner och en kategorisering av dessa utifrån hotnivå är det möjligt att tidigt identifiera och stoppa försök att använda domänockupation som medel för attacker.

Data från Palo Alto visar att bland de 20 mest utsatta domänerna finns ett flertal stora teknik- och underhållningsföretag som Netflix, Microsoft och Apple. Listan baseras på en sammanvägning av hur utbrett det är att bedragare försöker utnyttja domänen och en analys av allvaret i den typ av attack eller brottslighet som kopplas till domänockupationen. Av de 13 857 fall som Palo Altos system identifierade i december 2019 kategoriserades 2595 (19%) som allvarliga, till exempel avancerat nätfiske eller försök att sprida skadlig programvara. Hela 5104 (37%) av de identifierade domänerna medförde någon typ av risk för en oskyddad besökare.

Palo Altos övervakningssystem hittar många exempel på hur cyberbrottslingar försöker använda domänockupation i sin verksamhet. Bland exemplen som identifierats finns:

Nätfiske: Genom att använda domänen secure.wellsfargo.org, utan koppling till banken Wells Fargos officiella webbplats, gjordes försök att komma över känslig kundinformation, e-postadresser och PIN-koder till kundernas bankkort.

Distribution av skadlig programvara: Via domänen samsungeblyaiphone.com lyckades angripare sprida skadlig kod som gav tillgång till kreditkortsinformation från kunder vars datorer infekterades.

Försök att bygga botnät: Via domäner relaterade till Microsoft som microsoft-store-drm-server.com gjordes försök att infektera och ta kontroll över enskilda datorer för att sedan använda dem i koordinerade attacker.

Prenumerationsbedrägerier: En vanlig metod som bedragare använder är att få kunder att göra en första liten betalning för en prenumeration eller ett erbjudande om att testa en produkt. Erbjudandena återfinns ofta på sidor som efterliknar välkända varumärken för att ge trovärdighet till erbjudandet. Inom kort dras sedan betydligt större belopp från kortet om inte användaren observerat det finstilta och agerat för att prenumerationen ska avslutas.

Falska budskap om vinster: Ett försök att komma över uppgifter om kreditkort och koder gjordes från domänen facebookwinners2020.com. Besökare fick veta att de vunnit ett pris, men att de först måste lämna ifrån sig personuppgifter för att priset ska kunna levereras. Detta är en vanlig typ av bedrägeri.

Distribution av oönskad programvara: Besökare till webbplatserna samsungpr0mo.online och walrmart44.com uppmanades att ladda ner oönskad programvara som ändrade inställningar för webbläsaren och fick oönskade annonser att visas på användarnas datorer.

Falska erbjudanden om teknisk support: Från domäner som microsoft-alert.club görs försök att genom hot och falsk information få besökare att betala för teknisk support som naturligtvis inte kommer från det företag man försöker förknippa sig med.

Parkerade domännamn: Parkerade domännamn är domännamn som registreras utan att användas på riktigt. Ofta är de fyllda av annonser där den som registrerat domänen kan tjäna pengar på trafik som landar på sidan. Bedragarna registrerar ett stort antal domännamn innehållande vanliga stavfel som användare gör när de skriver adressen till den riktiga sidan. Trafiken som kommer från dessa felstavningar ger de parkerade domänerna sin trafik.

Palo Alto rekommenderar alla verksamheter att övervaka och blockera trafik till domäner som har identifierats som kopplade till domänockupation. Konsumenter bör alltid verifiera att de stavat rätt i sin webbläsare och att de webbsidor de besöker har en verifierad och betrodd avsändare. Fler tips om hur man kan skydda sig mot cyberattacker finns här.

Filed under: Utländsk Teknik