Typosquatting – även kallat fulregistrering eller URL-kapning är en populär metod för illasinnade aktörer i ständig ökning. Det kan också vara svårt att skydda sig mot alla tänkbara felstavningar av ens namn och stoppa fulregistrering – om man inte använder tipsen vi beskriver i denna artikel
Typosquatting är en slags social manipulation som innebär att hotaktörer registrerar avsiktligt felstavade domännamn, som är snarlika kända varumärken eller webbplatser, ex. en bluffdomän, och hostar skadligt innehåll eller lockar besökare att mata in känslig information där. Attacken riktar sig mot mot internetanvändare som skriver in en felaktig URL i webbläsaren eller klickar på en URL i ett phishing-mail. För att öka sannolikheten att lyckas har webbplatsen en liknande design som den ursprungliga webbplatsen.
Typosquatting är inte begränsat till välkända varumärken och webbplatser; alla varumärken är måltavlor. Ibland är det lättare att genomföra attacken mot mindre kända varumärken eftersom det betyder att fler trovärdiga domännamn är tillgängliga för registrering. Det här är inte bara ett problem för användare, utan skadar också ryktet hos utsatta varumärken och organisationer.
Här tittar vi på hur du upptäcker typosquatting.
Detektionsverktyg mot Typosquatting
För att upptäcka URL-kapning använder vi ett verktyg som heter DNSTwist, som kommer från Marcin Ulikowski. Verktyget är skrivet i Python och genererar en lång lista på permutationer baserat på ett angivet domännamn och kontrollerar om någon av dessa används. På GitHub finns installationsinstruktioner. Eventuella krav på verktyget finns på requirements.txt.
Det finns två vägar till snabb installation med Pythons PIP:
pip install dnstwistpip install dnstwist[full]
Skillnaden är att den fullständiga versionen kommer att installera alla funktioner, medan övriga installerar funktioner på mininivå. Det går också att välja miniversionen och sedan addera de funktioner som just ni behöver.
Nu ska vi titta på vilka organisationer som utsätts för dylik URL-kapning. Du kan använda din egen domän, men här tittar vi på en populär domän: google.com.
Upptäck potentiellt domänmissbruk
Vi kör följande kommando
dnstwist --registered google.com
och använder
registered
för att endast spåra registrerade domäner. Det går också att välja bort det valet, verktyget matar då ut alla permutationer till din inmatning, oavsett om de är registrerade eller inte. Det kan vara användbart för att spåra liknande domäner som fortfarande är tillgängliga för köp.
DNSTwist erbjuder många fler alternativ som du kan prova. En intressant funktion ärssdeep
som upptäcker liknande HTML-källkod. För varje genererad domän kommer verktygen att hämta innehåll från den svarande HTTP-servern, normalisera HTML-koden och jämföra dess fuzzy hash med det ursprungliga domännamnet (din inmatning).
Om du inte är sugen på CLI-verktyg kan du prova webbläsarversionen, men tänk på att den inte tillåter någon avancerad användning.
Vad gör du för att stoppa fulregistering?
Eftersom Google är en populär webbplats fick vi många resultat. Om vi utgår från att du är Google och hittar exempelvis den här domänen på listan goog1e.com
och kan verifiera att den inte är registrerad av Google har vi hittat misstänkt typosquatting eller domänmissbruk.
För att stoppa fulregistrering ska du i dethär fallet begära ”domain takedown”. Det är en process där domäner som gör intrång tas bort från internet. Det sker vanligen på registrarnivå, men de kan ibland vara långsamma eller inte svara.
Conscia ThreatInsights upptäcker potentiellt domänmissbruk med en anpassad version av DNSTwist. Vid bekräftat domänmissbruk kan vi stoppa fulregistrering och begära att domänen tas bort å våra kunders vägnar.
För att mäta och höja er skyddsnivå rekommenderar vi att utgå från ett säkerhetsramverk, som CIS Controls. Missa inte vårt kostnadsfria whitepaper om CIS Controls:
Vill du veta mer?
