Sposobów na zarażanie złośliwym oprogramowaniem jest wiele. Exploitowanie usług na komputerze, exploitowanie przeglądarki internetowej czy innej aplikacji, fałszywe kodeki video, interesujące wiadomości e-mail, linki z komunikatorów czy nawet SMSów (czekam na masowe automatyczne komunikaty głosowe, odtwarzane przez telefon [voip?], nakłaniające do odwiedzenia witryny WWW [jakieś zalążki już się pojawiały ale nadal nie masowe :]), itd.
Skupię się na ciągle popularnym wykorzystywaniu błędów w przeglądarce stron WWW. W jaki jeszcze sposób można nakłonić użytkownika do odwiedzenia witryny, na której znajduje się złośliwy kod, próbujący zaatakować nasz system? Cytując przysłowie: Błądzić jest rzeczą ludzką…, może warto wykorzystać tę ludzką przywarę do niecnych celów. Proceder TypoSquattingu czyli zakupu domen różniących się zazwyczaj jedną literką (zbliżoną w odległości na klawiaturze), od popularnych, często odwiedzanych serwisów – jest wykorzystywany głównie do serwowania reklam w postaci wszelakiej czyli zarabiania na reklamach.
A dlaczego nie wykorzystać faktu, że wielu ludzi podczas wpisywania adresu do przeglądarki internetowej – zwyczajnie popełnia literówki i wpisuje zamiast: nasza-klasa.pl, coś na kształt: nasza-klada.pl czy nasza-klas.pl. Idealnym miejscem na serwowanie exploitów na stronie WWW, są według mnie takie właśnie miejsca. Zrobiłem szybkie i drobne badanie, jak wygląda aktualny stan kilku popularnych portali internetowych, aby wykazać dość dobitnie, że ta metoda jak najbardziej ma sens.
Jako, że PageRank firmy Google, dość mocno bierze pod uwagę odnośniki do danej strony, a nasze domeny zasadniczo nie pojawią się na żadnej ze stron (chyba, że dla zwiększenia populacji klikających w fałszywe strony za pomocą webspamingu) – sprawdzanie PageRanku mija się z celem. Natomiast korzystanie z serwisu www.alexa.com, wykorzystującego do mierzenia popularności adresu WWW, między innymi pasek narzędziowy przeglądarki po stronie klienta (legalnie instalowany:) – wydało mi się większym sensem.
Na początek z pomocą serwisu: http://typosquat24.com/, który to zajmuje się katalogowaniem typosquatterskich domen, zliczylem ilość domen o podobnie brzmiących nazwach:
allegro.pl – 62
google.pl – 61
money.pl – 36
nasza-klasa.pl – 59
pkobp.pl – 30
Czyli jest tego trochę i po 5 wybranych przykładów:
Allegra.pl, Allegrl.pl, Allgero.pl, Alllgro.pl, Sllegro.pl;
Goofle.pl, gougle.pl, goofle.pl, googoe.pl, goolle.pl;
mnoey.pl, monej.pl, moneyl.pl, mooney.pl, monye.pl;
nqsza-klasa.pl, nsasza-klasa.pl, nasze-klasa.pl, naszaa-klasa.pl, nasza-kpasa.pl;
pjobp.pl, pkobbp.pl, pkpbp.pl, pkoobp.pl, pkob.pl.
Ranking Alexa określa się w taki sposób, że im niższa liczba – tym częściej odwiedzana witryna (google.com – 2):
allegro.pl – 177
google.pl- 83
money.pl – 6 466
nasza-klasa.pl – 111
pkobp.pl – 7 449bothunters.pl – 23,790,658
Z podanych 5 przykładów wybranych przeze mnie na chybił trafił domen – wybrałem po dwie o najniższej (czyli największej popularności) wartości Alexa Ranking:
Allgero.pl – 1 957 459
Sllegro.pl – 4 087 693googoe.pl – 2 603 082
goofle.pl – 3 726 796monej.pl – 24 357 631
mooney.pl – 27 865 289naszaa-klasa.pl – 2 454 922
nasze-klasa.pl – 6 671 764pkpbp.pl – 3 382 304
pkob.pl – 6 127 662
Wyniki poniekąd zaskakujące!!! Dla znamienitej większości przykładów – potwierdza się reguła, że ludzie popełniają dość znaczną ilość błędów przy wpisywaniu adresu strony WWW. Możnaby więc wykorzystać ten fakt, pomagając sobie (i innym ;) w instalacji złośliwego oprogramowania.
Pomijam fakt, że takie domeny są gratką dla phisherów, gdyż jak pokazuje powyższe wyliczenie, opłaca się inwestować w podobnie brzmiące domeny. Obniżamy w ten sposób koszty i nie potrzebujemy rozsyłać e-maili nakłaniających do odwiedzenia stron serwisów bankowych: www.wbkbz.pl czy www.mbankk.pl.
A biorąc pod uwagę, że na chwilę obecną, dostępne są ataki łączące phishing z zarażaniem malwarem – technika ta może znacząco wspomóc atakujących.
Jedynym problemem staje się wykupienie domen przed osobami zarabiającymi na typosquattingu (reklamy) i znów dochodzimy do momentu walki zua ze zuem ;]