211service.com
Spåra falska nätfiskewebbplatser
I en värld av onlinebedrägerier, som i det verkliga livet, ju längre skurkarna kan arbeta utan att bli gripna, desto mer pengar kan de tjäna. Och experter har upptäckt att många nätfiskare – skurkar som använder falska webbplatser för att lura användare att ge upp värdefull personlig information – har hittat ett knep som gör det svårare för bra killar att blockera eller stänga av dem.
Bort nätfiske: Forskare från Indiana University – från vänster till höger, Andrew Kalafut, Youngsang Shin och Minaxi Gupta – studerar ett knep som används för att göra nätfiskewebbplatser svårare att upptäcka och blockera.
Tricket, kallat flux, tillåter en falsk webbplats att ändra sin adress på Internet mycket snabbt, vilket gör det svårt för försvarare att blockera dessa webbplatser eller varna intet ont anande användare. Enligt forskning som nyligen publicerats i tidskriften IEEE säkerhet och integritet , använder cirka 10 procent av nätfiskewebbplatserna flux för att gömma sig.
Flux använder sig av Internets domännamnssystem, som ansvarar för att matcha en webbadress som skrivits in i en webbläsare med servern som faktiskt är värd för en webbplats. När en användare försöker besöka en webbsida dirigerar domännamnssystemet först användaren till en namnserver, som upprätthåller en uppdaterad lista över webbplatsadresser. Denna namnserver talar om för användarens webbläsare var den önskade webbplatsen ska hittas.
Normalt är det bara ett litet antal maskiner som har kopior av en webbplats – precis tillräckligt för att hålla igång den om något går fel. Bedrägliga webbplatser är dock en annan historia. Nätfiskewebbplatser är ofta värd genom botnät – tusentals kapade maskiner distribuerade över hela världen.
Dessa maskiner tillhör inte elakarna, de tillhör dig och jag och våra mormödrar, säger Minaxi Gupta , en biträdande professor i datavetenskap vid Indiana University som var involverad i forskningen. Eftersom nätfiskare har tillgång till så många maskiner, förklarar hon, kan de använda dem alla för att snabbt flytta runt en webbplats, vilket gör att försvarare släpper doften samtidigt som webbplatsen är tillgänglig.
För att använda flux måste en nätfiskare kontrollera ett domännamn, vilket ger honom rätt att kontrollera dess namnserver. Nätfiskaren ställer sedan in namnservern så att den dirigerar varje ny besökare till en annan uppsättning maskiner och cyklar snabbt genom de tusentals adresser som finns tillgängliga inom botnätet. Gupta noterar att flödet är mest effektivt när nätfiskaren också ändrar platsen för namnservern. Om namnservern också flyttar till olika platser på Internet är det dubbelt svårt för försvarare att hitta en central plats där den falska webbplatsen kan stängas av. Guptas grupp fann att 83 procent av nätfiskewebbplatserna som använde flöde på detta sätt varade mer än en dag innan de blockerades, jämfört med en överlevnadsfrekvens på 65 procent för webbplatser som inte använde flöde.
Gruppen identifierar också metoder för att detektera flöde och föreslår att flödesdetektering bör byggas in i själva domännamnssystemet. Eftersom användningen av tekniken sannolikt innebär att en webbplats är bedräglig, kan systemet i sig hjälpa till att skydda intet ont anande användare från att besöka dessa webbplatser.
Att förkorta upptäcktstiden med några timmar kan göra en betydande skillnad, säger Alper Caglayan, president för Milcord , ett företag baserat i Waltham, MA, som samlar in realtidsdata om botnät. Om de kan fungera ens en dag har de redan tjänat för mycket pengar, tillägger han.
Caglayan noterar att det finns några legitima sätt att använda flux – till exempel för att leverera multimediainnehåll effektivt – men säger att hur ett botnät använder flux borde se annorlunda ut. Till exempel är ett botnäts maskiner utspridda runt om i världen i ett mönster som inte skulle vara vettigt för ett legitimt företag.
Vissa experter tror att det behövs ett mångsidigt tillvägagångssätt för att stoppa nätfiskewebbplatser. Caglayans företag tillhandahåller en tjänst som hjälper Internetleverantörer och andra stora nätverksadministratörer att hitta och stänga av infekterade maskiner i sina nätverk.
Vissa webbläsare använder också svarta listor för att varna användare från bedrägliga webbplatser. Men knep som flux gör det nästan omöjligt för de svarta listorna att hålla sig tillräckligt uppdaterade för att vara användbara. Caglayan förväntar sig att webbläsare i framtiden kommer att behöva bygga in system som kan upptäcka bedrägerier på egen hand.
Att upptäcka flux kommer bara att hjälpa människor som använder blockeringstjänster av något slag, säger Srivastava händer , teknisk chef för Cyveillance , ett säkerhetsföretag baserat i Arlington, VA. För att effektivt kunna hantera en attack som involverar snabba flöden är det nödvändigt att ta bort domänen från Internet, och det kräver att man arbetar med antingen registratorn eller registret för den domänen, säger han. Detta kan vara svårt eftersom vissa domäner finns i länder med lösa regler för internetbedrägeri. Enklare hinder som en språkbarriär kan också lämna en bedräglig webbplats i drift under en längre tid.
Gupta säger att, som med de flesta internetbrottsligheter, är flux bara en komponent i ett större katt- och råttspel. Du kan inte vinna den här matchen, säger hon. Du måste bara ständigt upptäcka deras medel och anpassa dig till dem.