Згідно з новим дослідженням Bitdefender Labs, усі програми MS Office (включно з Outlook, Word, Excel, OneNote і PowerPoint) уразливі до фішингових атак омографів міжнародних доменних імен (IDN), щоб перенаправляти користувачів на інші адреси.
Bitdefender протягом кількох місяців постійно спостерігав за подібним омографічним фішингом і настійно рекомендує компаніям вживати контрзаходів, щоб уникнути пов’язаних з цим ризиків. Лабораторії Bitdefender повідомили про цю проблему Microsoft у жовтні 2021 року, і Microsoft Security Response Center підтвердив результати як дійсні. Поки що незрозуміло, чи вирішить цю проблему Microsoft і коли це буде.
Домен IDN підроблено для атаки
На практиці ці можливості атаки означають наступне: Домен IDN також складається з символів, які не належать до стандартного набору символів ASCII і містять умляути або спеціальні символи. Цей домен може стати ідеальною маскою для оригінального легітимного домену, який, на думку користувача, він відвідує. Регулярні омографічні фішингові атаки базуються на тому факті, що зовні ідентичні символи, такі як кириличне «a» та латинське «a», є різними символами відповідно до стандарту Unicode. Стандарт Unicode визначає, як символ зберігається в електронному вигляді. Латинське «a» має код «U+0061», кириличне «a» — «U+0430». Тому IDN «apple.com» не може містити кириличний «a» або кириличний «e». Кожен, хто натискає на них, потрапляє не до виробника апаратного забезпечення, а скоріше до веб-сайту, яким керують і користуються хакери.
Наприклад, у попередньому перегляді Word відображаються омографічні IDN, які нібито вказують на законні веб-сайти, а насправді вказують на підроблений веб-сайт. Легітимний веб-сайт і фальшивий IDN неможливо розрізнити та залишаються замаскованими в Office навіть під час попереднього перегляду, що значно підвищує ймовірність клацання зловмисного посилання.
Неправильні домени в Microsoft Office залишаються замаскованими
Ідея не нова. Однак тепер це впливає на весь пакет Microsoft Office. Хоча ризик омографічних атак IDN у веб-браузерах зріс, Bitdefender виявив, що зловмисні IDN залишаються замаскованими в програмах MS Office, збільшуючи ймовірність того, що навіть користувач, який піклується про безпеку, натисне не той домен. (Малюнки 1-3). Потім перегляд у браузері викриває шкідливий сайт, але лише в більшості випадків. Крім того, неспокійні або швидкодіючі користувачі можуть не помітити демаскування у веб-переглядачі або можуть помітити це надто пізно, зробити помилку та фактично відкрити раніше закамуфльований веб-сайт.
Bitdefender протестував програми, окрім Microsoft Office, зі змішаними результатами: деякі завжди помітно відображали фактичну, тобто шкідливу, адресу, на яку потрапив користувач, тоді як інші відображали омограф.
Microsoft Office зазвичай відображає IDN у Unicode, але без екранування в ASCII це шкідливо. (Зображення: Bitdefender).
Орієнтація на фінансові установи та криптобіржі
Атаки на основі омографічних IDN здійснити нелегко. Однак вони є ефективним інструментом для кіберзлочинців, які хочуть запускати складні атаки за допомогою своїх Advanced Persistent Threats (APT) і програм-вимагачів як послуги. Bitdefender спостерігав спуфінг проти фінансових установ і бірж криптовалют.
Рекомендації щодо безпеки Bitdefender
Компанії та користувачі можуть захистити себе від атак із омографічними IDN за допомогою таких заходів:
- Підвищення обізнаності: Компанії повинні звернути особливу увагу на небезпеку для тих співробітників, які через свою посаду можуть стати жертвами фішингових атак. У цьому випадку перевірки URL-адреси та значка замка недостатньо.
- Endpoint Protection: Endpoint Detection and Response виявляє та блокує шкідливі веб-сайти.
- Перевірка репутації: служби репутації IP та URL мають працювати на всіх пристроях. Емпіричне правило: якщо URL-адреса починається з xn--, веб-сайт є підозрілим.
- Багатофакторна ідентифікація на сторінках, що належать компанії, означає, що така атака марна, і хакери більше не можуть отримати доступ до інформації для входу.
- Оновлення веб-переглядача: веб-браузери та інші інструменти продуктивності завжди мають бути оновленими.
- Слідкуйте за ланцюгом постачання: омографи можуть потрапити в ІТ компанії через ланцюг постачання. Тому необхідно перевіряти документи від постачальників, клієнтів або партнерів.
- Широко реєструйте домени. Компанії повинні знати про всі домени в різних варіантах написання Unicode, які можуть бути пов’язані з вашим бізнесом. Тоді хакери не зможуть монополізувати ці сторінки для себе. Оскільки IDN обмежені одним набором символів Unicode, можливі комбінації та, отже, кількість веб-сайтів, які потрібно зареєструвати, обмежені. Лабораторії Bitdefender виявили, що небагато компаній завчасно реєструють усі потенційно підроблені домени.
Про Bitdefender Bitdefender є світовим лідером у сфері рішень для кібербезпеки та антивірусного програмного забезпечення, що захищає понад 500 мільйонів систем у понад 150 країнах. З моменту заснування в 2001 році інновації компанії регулярно забезпечували відмінні продукти безпеки та інтелектуальний захист для пристроїв, мереж і хмарних сервісів для приватних клієнтів і компаній. Як найкращий постачальник, технологія Bitdefender міститься в 38 відсотках розгорнутих у світі рішень безпеки, їй довіряють і визнають професіонали галузі, виробники та споживачі. www.bitdefender.de