Při základních školeních informační bezpečnosti mají zpravidla lektoři (mne nevyjímaje) tendenci akcentovat u „lookalike“ domén, tedy doménových jmen, která jsou variací na doménová jména legitimních služeb, zejména nebezpečí spojené s phishingovými stránkami požadujícími zadání přihlašovacích údajů. Je samozřejmě pravdou, že riziko spojené právě s tímto typem podvodných stránek je pro koncové uživatele i organizace v kontextu lookalike domén zpravidla nejvýznamnější, neznamená to však, že bychom měli (nejen při bezpečnostních školeních) zapomínat na existenci dalších typů podvodných webů, které mohou překlepy v zadávání domén využívat.
Velmi dobrou ukázku nebezpečí, které mohou weby dostupné právě přes nekorektně napsané domény představovat, poskytuje například již dlouhou probíhající kampaň dobu (viz zprávy z konce roku 2019) využívající falešné stránky iPrima.cz se smyšleným rozhovorem s Petrem Kellnerem, v rámci něhož je propagována určitá investiční kryptoměnová platforma, „o které je prokázané, že z kohokoliv udělá za 3 až 4 měsíce milionáře“. Podvodné stránky využívané při této kampani jsou v současnosti dostupné například na URL hxxps[:]//finance[.]iprima[.]cz-clanky[.]investing-fund[.]com/petr-kellner-investuje-15-milionu-eur-do-startupu-a-rika-ze-zde-se-nachazi-budoucnost/.
Vzhledem k podobě stránek i na ně navázaných portálů lze usuzovat, že za nimi stojí skupina FizzCore, jejímž dílem byla i loňská podvodná kampaň využívající falešné stránky ČT24.
Výše vyobrazené stránky zaslouží v kontextu lookalike domén zmínku právě proto, že vedle podvodných reklam na sociálních sítích, které byly v rámci článků v různých médiích v souvislosti s nimi široce zmiňovány, je možné se na ně v současnosti dostat také přes řetězec přesměrování z určitých zajímavých domén. Konkrétně takových, které mohou vzniknout mj. jednoduchým překlepem při zadávání legitimního doménového jména.
Lookalike domény pro Amazon (amazon.com)
amagon[.]com
amagzon[.]com
amaźon[.]com (xn–amaon-7hb[.]com)
apmazon[.]com
Lookalike domény pro Audible (audible.com)
aujdible[.]com
audiblel[.]com
Lookalike domény pro Google (google.com)
goozgle[.]com
goowle[.]com
googlen[.]com
googlpe[.]com
googvle[.]com
goơgle[.]com (xn–gogle-vob[.]com)
Lookalike domény pro Humble Bundle (humblebundle.com)
hublebundle[.]com
humbblebundle[.]com
humbleebundle[.]com
humblbundle[.]com
humblebunndle[.]com
humblebundlle[.]com
humblebunddle[.]com
humblebundlee[.]com
humblebundke[.]com
humblebunfle[.]com
humblebbundle[.]com
huumblebundle[.]com
Všechny výše uvedené domény jsou aktuálně nasměrovány na IP adresy z rozsahů spadajících do AS 133618 (TRELLIAN-AS-AP Trellian Pty. Limited), odkud jsou návštěvníci přesměrováváni na službu bidr[.]trellian[.]com, která pak přes doménu protected-clicker[.]com zajišťuje přesměrování na samotné podvodné stránky. Z těch pak všechny odkazy vedou na web btcbillionaire-app[.]com vyobrazený níže.
Za zmínku stojí, že k přesměrování na falešné stránky slibující možnost rychlého zbohatnutí dochází pouze v případech, kdy IP adresa návštěvníka svou geolokací spadá do České republiky. Přestože na doméně investing-fund[.]com jsou hostovány i stránky s podobným obsahem v jiných jazycích (viz ukázka níže), nepodařilo se mi ani při přístupu k výše zmíněným doménám z IP adres z jiných geografických umístění (testoval jsem přístup z cca 20 různých států z celého světa) dosáhnout přesměrování na žádnou jinou jazykovou variantu stejné kampaně.
Přesměrování návštěvníků na různý obsah v návaznosti na geolokaci jejich IP adres je při podobných kampaních relativně časté (viz např. analýza podvodných kampaní z loňského února), většinou je však jeho cílem poskytnout uživateli odpovídající jazykovou mutaci podvodných stránek. V tomto případě se však zdá, že aktuální verze kampaně byla tímto způsobem zacílena výhradně na návštěvníky z České republiky. Při přístupu z jiných států totiž většinou dojde pouze ke zobrazení generické stránky podobné té vyobrazené níže.
Vzhledem k výše uvedenému (zdaleka ne vyčerpávajícímu) výčtu domén používaných v rámci diskutované kampaně je zjevné, proč může být v rámci bezpečnostních školení vhodné zmínit nebezpečí lookalike domén i v jiném kontextu, než jsou klasické phishingové stránky.
Zmíněné seznamy domén rovněž ukazují na nezbytnost kontinuálního monitorování a kontroly nově registrovaných domén podobných těm, které jsou organizacemi registrované a používané, ze strany jejich interních bezpečnostních týmů. Optimálně by tuto činnost měly do jisté míry zajišťovat automatizované nástroje využívané v rámci bezpečnostního dohledu, ale ani v případech, kdy podobné nástroje nejsou v organizacích implementované, nemusí být zajištění podobného „light-weight brand protection“ monitoringu nutně přehnaně komplikované. Pro menší počet domén je možné jej realizovat i manuálně. Jak pro automatizované, tak ruční ověřování mohou pomoci například nástroje dnstwist nebo dnstwister.
Výše popsaná kampaň také vhodně dokládá, proč by se členové bezpečnostních týmů při analýze lookalike domén neměli omezovat na přístup k nim pouze z jednoho regionu. V případě kampaní s geograficky omezeným cílením, jako je tato, by totiž nemuseli být schopní případné zneužívání daných domén identifikovat. Vždy je tedy na místě testovat přístup minimálně z těch států, v nichž daná organizace působí, nebo z nichž pocházejí její zákazníci/uživatelé jejích služeb.