Zaštita klijenata od sajber-kriminala: zaključavanje domena

Tehnike “kidnapovanja” i “pecanja"

Razmere kriminala koji se izvršava digitalnim putem postale su tolike da su kompanije, vladine institucije i druge organizacije prinuđene da temeljno menjaju svoje politike upravljanja i zaštite informacija koje se kreiraju, razmenjuju i skladište u elektronskom obliku, dajući informacionoj bezbednosti prioritet najvišeg stepena.

Metode sajber-napada su mnogobrojne, a u poslednje vreme prednjače ucenjivački napadi (ransomware) i tzv. “pecanje” (phishing).

Ucenjivački softver je vrsta štetnog (malicioznog) softvera koji ograničava pristup računarskom sistemu ili uskladištenim podacima i traži otkupninu od žrtve da bi joj bio vraćen pristup tim podacima.

Neki tipovi ovakvog softvera blokiraju računar tako da se žrtvi samo pojavi ucenjivačka poruka koju korisnik ne može da ukloni bez plaćanja otkupnine, dok drugi mogu da šifruju datoteke u kom slučaju se od korisnika traži otkup u zamenu za otključavanje podataka sa diskova.

Pecanje predstavlja pokušaj krađe podataka korisnika interneta putem falsifikovane veb-stranice. Obično se takva lažna stranica prezentuje potencijalnoj žrtvi putem posebno pripremljene e-poruke kojom pošiljalac (napadač) navodi (“peca”) žrtvu da mu preko lažne stranice čija je hiperveza data u poruci otkrije poverljive informacije.

Te informacije mogu se iskoristiti u razne svrhe, ali najčešće se upotrebljavaju za krađu novca sa bankovnog računa ili za provalu u e-poštu žrtve, odakle joj se kradu druge poverljive informacije, pa čak i čitav digitalni identitet napadnute osobe.

Čovek kao najslabija karika

Samo sajber-pecanje zapravo predstavlja tehniku društevnog inžinjeringa, jer je inicijalna meta napada živ čovek, a ne automatizovani računarski sistem. Žrtva je najčešće referent poslova koje obavlja za kompjuterom ili menadžer srednjeg nivoa koji na početku napada biva doveden u zabludu. On, naime, prima naizgled benignu poruku elektronske pošte koja liči na legitimno i uredno obaveštenje iz banke, kurirske službe, kartičarske kompanije, od poslovnog partnera kompanije ili neke internet prodavnice, na primer, kojom se on navodi da klikne na hipervezu koja vodi na lažnu (prevarnu) internet stranicu i da na njoj upiše poverljive informacije. Čim korisnik popuni tražena polja, informacije stižu do vlasnika lažne stranice.

Lažna veb stranica izgleda skoro istovetno kao i prava, ali se od nje razlikuje po veb-adresi, odnosno nazivu domena, na šta žrtva najčešće ne obrati pažnju, jer je dovedena u teško uočljivu zabludu da se čitava komunikacija odvija sa drugom stranicom, koja je od poverenja.

Zahvaljujući preusmeravanju saobraćaja na lažni sajt identičnog izgleda, veliki broj korisnika hakerima dobrovoljno ustupa parametre (kredencijale) za svoj pristup servisima banaka ili drugim servisima za poslovanje na internetu i time nesvesno čini svojoj organizaciji štetu izuzetno velikog obima.

Kidnapovanje naziva domena

Da bi čitava prevara uspela, hakeri napadaju DNS servere i vrše kidnapovanje naziva domena. Manipulacijom DNS zapisa, oni preusmeravaju korisnike ka serverima koji su pod njihovom kontrolom. Ali, tu se priča sa kidnapovanjem domena ne završava, jer pored veb saobraćaja može biti pogođen i servis elektronske pošte, kao i svi drugi internet servisi, što često dovodi do krađe osetljivih poslovnih i privatnih podataka, pa i kompletnog digitalnog identiteta žrtve.

Postoji mnoštvo tehnika za neovlašćeno preuzimanje naziva domena i većina njih ne zahteva posebno umeće napadača, već samo dovoljan stepen nebrige korisnika naziva domena i zanemarivanje bezbednosti domena i DNS servisa. DNS, uz protokol rutiranja, predstavlja osnovu internet komunikacija, ali se njemu se sa aspekta sigurnosti često ne pridaje dovoljno pažnje. Štaviše, mnogobrojne analize nakon napada pokazale su da kidnapovani domeni neretko nisu imali nijednu aktivnu vrstu zaštite.

Finansijska i šteta u reputaciji

Ovakvo kidnapovanje (otmica, krađa) naziva domena predstavlja noćnu moru za njegovog vlasnika i čini mu teško popravljivu štetu. Nazivi domena su kritična i vredna imovina koja mora biti adekvatno zaštićena. U protivnom, servisi i korisnici vlasnika domena mogu biti izloženi zloupotrebi, a njegove kompanije suočene sa ozbiljnim finansijskim gubicima i gubitkom poverenja klijenata koje je najteže vratiti.

Tipičan primer se javlja ukoliko je veb-sajt koji je bio hostovan na određenom domenu služio kao osnovno sredstvo za generisanje prihoda, tri vrste zaštite domena sa klijentima i partnerima. Šteta može biti i dodatno uvećana gubitkom posetilaca tj. publike koja je dolazila na oteti sajt i na njemu eventualno formirala i negovala društvenu zajednicu, kao i uništenjem reputacije vlasnika domena kao nekoga ko ne vodi računa o svojoj i bezbednosti svojih klijenata.

Kada se oteti sajt nađe u rukama kriminalaca, oni ga mogu koristiti za dalje pecanje, masovno slanje neželjene e-pošte (spamovanje) ili kao „leglo“ drugih zlonamernih programa kojima se vrše dalji napadi putem interneta.

Zaštita od kidnapera

Pomenuta tehnika društvenog inžinjeringa - pecanje - jedan je od često korišćenih alata u praksi otmičara domena. Ukoliko hakeri, naime, uspeju da ukradu digitalni identitet vlasnika određenog domena i pristupe njegovom nalogu e-pošte, oni će sa tog naloga (koji je registru domena naveden kao zvaničan kontakt) poslati zahtev da se izmene podaci o registraciji domena. Ukoliko registar ne posumnja u dobijeni zahtev (a nema razloga za to, jer dolazi sa legitimne adrese) i izvrši tražene modifikacije, domen prelazi pod kontrolu otmičara i on tada sa njim može da radi šta mu je volja.

Najveći broj vodećih svetskih registara domena najvišeg nivoa (TLD) korisnicima pruža mogućnost da zaštite nazive domena od kidnapovanja. Srpski registar RNIDS nije po tome izuzetak, ali jeste jedini nacionalni TLD registar koji nudi tri vrste zaštite domena, u skladu sa potrebama korisnika i značaju servisa koji se nalaze na nazivu domena:

● Siguran režim (Secure Mode)

● Zaključavanje na strani klijenta (Client Side Lock ili Registrar Lock)

● Zaključavanje na strani Registra (Registry Lock)

Siguran režim za svaku promenu kritičnog podatka o domenu zahteva potvrdu administrativnog kontakta za domen. Kako ova metoda zaštite ne deluje ukoliko je kontaktu kompromitovan nalog e-pošte, registrant se može odlučiti za viši nivo zaštite - zaključavanje na strani klijenta.

Zaključavanje na strani klijenta podrazumeva zabranu svih izmena nad domenom koji se nalazi u ovom statusu, osim produženja registracije.

Zaključavanje na nivou registra je najviši stepen zaštite i on uvodi dodatni nivo provere za otključavanje zaštićenih domena i vršenje izmena nad njima. Praktično, svaki zahtev za izmenama nad domenima za koje je aktivirano zaključavanje na nivou registra podrazumeva ručnu proveru autentičnosti zahteva, što mogućnost zloupotrebe i krađe domena svodi na nulu.

Sve tri vrste zaštite (zaključavanje naziva domena) su dostupne svim registrantima naziva .rs i .срб domena. Dve osnovne vrste zaštite, koje zadovoljavaju potrebe najvećeg broja korisnika, RNIDS ne naplaćuje. Jedno se naplaćuje treća vrsta zaštite, zaključavanje naziva domena na strani registra, namenjena onima koji dodatno žele da zaštite svoj naziv domena.