Artikel top billede

Pas på: Hackere sætter jagten ind på disse domæner

Antallet af en særlig slags domæner brugt i angreb er steget voldsomt i år, advarer flere sikkerhedsleverandører. Der er en bestemt grund til, at hackerne især har kig på disse bestemte domæner.

Computerworld News Service: Datakriminelle gør i stigende omfang brug af .eu-domæner i deres angrebskampagner, viser data fra flere leverandører af it-sikkerhedsprodukter.

"I november er der blevet registreret mange skadelige .eu-domæner, som misbruges til at inficere pc'er med malware via angrebsværktøjet Blackhole," advarer Fraser Howard, der er ledende virusanalytiker hos sikkerhedsleverandøren Sophos, i et blogindlæg torsdag.

Blackhole er et webbaseret angrebsværktøj, der anvender forskellige exploits af sårbarheder i browser-udvidelser såsom Adobe Reader, Flash Player eller Java til at inficere computere med malware.

I et angreb, observeret af Sophos, havde datakriminelle deres Blackhole-angrebssider liggende på hvad, der så ud til at være tilfældige domæner, der alle endte med topdomænet .eu, og som alle pegede på en kendt skadelig server fysisk placeret i Tjekkiet.

Har kort liv

"Domænerne er kortlevede. De peger kun på en given server i en kort periode, før angriberne bevæger sig videre," forklarer Howard. "Denne taktik er ret almindelig og har til formål at undgå sikkerhedsfiltre."

Det er dog som regel andre toplevel-domæner end .eu, der misbruges i sådanne angreb, påpeger Howard.

Sophos kunne ikke umiddelbart oplyse nærmere om antallet af angreb i år, der gør brug for skadelige .eu-domæner, men ifølge data fra antivirussoftware-producenten Bitdefender er misbruget af .eu-topdomænet stigende.

"I løbet af andet halvår af 2012 har vi set stigende skadelig aktivitet på toplevel-domænet .eu," oplyser Bogdan Botezatu, der er senioranalytiker af e-trusler hos Bitdefender, fredag via e-mail.

"Sammenlignet med første halvår er antallet af skadelige .eu-domæner næsten tredoblet fra 0,53 procent af alle sikkerhedshændelser, der involverer TLD'er, til 1,38 procent."

I årets første seks måneder var .eu ifølge Botezatu det 11. mest misbrugte toplevel-domæne.

"Nu ligger det nummer otte." Det er stadig russiske domæner, .com og .info, der misbruges mest.

"Vi kan bekræfte den tendens, at .in- og .eu-domæner ofte bruges til at hoste skadelige websteder og spamkampagner," udtaler en repræsentant fra producenten af antivirussoftware Kaspersky Lab via e-mail.

"Begge topdomæner er blandt de 15 nationale domænezoner, der misbruges mest til skadelige websteder. Det bør også bemærkes, at det notoriske botnet HLUX (også kaldet Kelihos) brugte adskillige .eu-domæner."

Derfor vælger hackerne bestemte domæner

Datakriminelle bevæger sig meget rundt, forklarer Fraser Howard, der er ledende virusanalytiker hos sikkerhedsleverandøren Sophos.

Den eneste grund til, de vælger ét toplevel-domæne frem for et andet, er, fordi de finder en domæneregistrator, hvor det er lettere at registrere domæner under et bestemt toplevel-domæne, eller fordi de har en idé om, at et særligt toplevel-domænes omdømme er bedre end andres, forklarer han.

"Tillid er den eneste egentlige fordel ved at vælge ét TLD frem for et andet," påpeger han.

"Har brugerne mere tillid til visse TLD'er end andre? Hvis det er tilfældet, så er det en fordel for angriberne at bruge det TLD."

Omdømme og pris

Botezatu vurderer, at .eu-domæner imødekommer de kriminelles krav til både omdømme og pris.

"Da .eu-domænerne først for nylig er blevet populære hos de kriminelle, så associeres de ikke med misbrug," forklarer han.

"Ofre regner ikke med at blive angrebet ved at besøge et europæisk domæne og desuden forventer de her også, at indholdet er skrevet på engelsk. Eksempelvis russiske TLD'er derimod er kendt for at blive brugt til datakriminalitet og leverer desuden lokaliseret indhold, der er uforståeligt for personer, der ikke læser russisk."

"Det faktum, at .eu-domæner koster det samme som .com- og .info-domæner og kan købes på årsbasis er også en fordel for datakriminelle, som er ude efter de billigste domæner for den kortest mulige periode," fremhæver han.

Har handlet resulut

Nonprofit-organisationen EURid, der administrerer toplevel-domænet .eu under kontrakt med Europa-Kommissionen, har ifølge Howard historisk set handlet resolut for at beskytte toplevel-domænets omdømme.

EURid har ifølge Howard fortalt analytikerne fra Sophos, at organisationen har løst problemet efter at være blevet gjort opmærksom på det seneste Blackhole-angreb.

Det står dog ikke klart, om det blot betyder, at domænerne er blevet suspenderet, eller om organisationen har gjort noget for at forhindre de kriminelle i at registrere nye domæner, påpeger Howard.

EURid modtager fortsat kun meget få klager, oplyser generaldirektør Marc Van Wesemael fredag via e-mail.

"Vi har altid modtaget enkelte klager, hvilket vi sandsynligvis fortsat vil. Jeg vil dog gerne understrege, at vi har interne procedurer på plads til at bekæmpe misbrug af .eu."

EURid yder en stor indsats for at bekæmpe misbrug af .eu-domæner og har automatiserede værktøjer, der kan identificere misbrug så tidligt som muligt, skriver Van Wesemael.

"Vi samarbejder også tæt med adskillige sikkerhedsorganisationer, som giver os tidlige advarsler om misbrug af.eu-websteder/domænenavne."

Over 95 procent af de tilfælde af misbrug, som EURid behandler, indebærer dog legitime .eu-websteder, der er blevet hacket og inficeret med malware, oplyser Van Wesemael.

I disse tilfælde er det ifølge Van Wesemael ikke muligt blot at lukke de inficerede websteder, fordi de muligvis bruges af deres ejere til legitime forretningsmæssige formål.

"EURid meddeler den ansvarlige registrator og/eller registrant om enhver kendt hændelse og derefter følger vi op på sagen, indtil problemet er løst."

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Tieto Denmark A/S
Udvikler, sælger og implementerer software til ESDH, CRM og portaler. Fokus på detailhandel, bygge- og anlæg, energi og finans.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2021

En moderne digital vindervirksomhed bringer nye teknologier i spil, skaber digital innovation, udnytter data som styringsværktøj og ser verden som én stor markedsplads. Men succes kræver, at du ved, hvor den dyre teknologi kan gøre den største forskel i forretningen. Den kræver, at du ved i hvilken retning den øgede politiske regulering af teknologi og data bevæger sig hen. Og den succes kræver, at du kan udnytte teknologien til at automatisere og skalere til gavn for bundlinjen og budgettet.

26. oktober 2021 | Læs mere


CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere