Schunk

Kyberzločinci zneužívají pandemii Covid-19

Během uplynulých dvou měsíců zanechal COVID-19 zásadní stopu v doménovém prostoru internetu. Záznamy transparentnosti vydávání certifikátů od certifikačních autorit ukázaly významný nárůst počtu SSL certifikátů pro webové stránky používající ve svých názvech slova „corona“ nebo „covid“.

 
„Pro představu, jak velká tato změna opravdu byla, jsme se podívali na záznamy o nových certifikátech se jmény jako „corona“ nebo „covid-19“ za posledních šest měsíců. Pro srovnání s obdobím před tím, než se pandemie stala globální záležitostí, jsme se zaměřili na stejné období v loňském roce, tedy září 2018 až březen 2019," říká Patrick Müller, Senior Channel Account Executive pro ČR a Slovensko, ve společnosti Sophos.

Ještě do ledna většina certifikátů, obsahujících výraz „corona“, odkazovala na lokalitu, službu nebo legitimní název značky. Měsíčně šlo průměrně o 288 aktivovaných certifikátů. Odkazy na „covid“ neexistovaly v žádných registracích certifikátů, ke kterým jsme do roku 2020 našli záznamy – jedinou výjimku tvoří doména patřící firmě COVID, výrobci A/V příslušenství z Arizony, který vlastní příslušnou .com doménu.

Pandemie tuto rovnováhu vychýlila. Od ledna 2020 došlo k exponenciálnímu růstu nových certifikátů s těmito výrazy, když se jejich počet oproti normálu téměř zdvojnásobil na 558 v tomto měsíci, a hned následně v únoru opět téměř zdvojnásobil na 868. V prvních dvou třetinách března pak bylo vystaveno přes 6086 nových certifikátů nesoucích názvy s výrazy „covid“ a „corona“, což je téměř 20krát více než v předchozím roce.



Více než 65 % z těchto domén bylo automaticky registrováno zdarma prostřednictvím Let’s Encrypt a dalších 5 % využilo jako certifikační autoritu Cloudflare (Cloudflare poskytuje bezplatné SSL pro stránky využívající jeho síť poskytování obsahu). V žádném případě nejsou všechny tyto weby škodlivé, ale mnoho z nich je podezřelých. Zejména proto, že zahrnují velké množství stránek, které jsou hromadně konfigurovány s použitím šablon webových stránek, domén konfigurovaných prostřednictvím nízkonákladových registrátorů nebo subdomén konfigurovaných na potenciálně kompromitovaných doménách.

Přes 42 500 nově registrovaných domén s výrazy covid nebo corona

S jedním z hostů, který slouží jako zázemí pro mnoho webových adres spojených s výrazem „covid-19“ a je propojený se službou nabízející bezplatné webové stránky a nízkonákladové registrace doménových jmen, bylo asociováno 11 322 doménových jmen. U těchto domén se zdá, že byly vytvořeny a registrovány pro certifikáty automaticky, jelikož jsou jejich názvy vytvořeny podle stejného vzoru (covid-19[klíčové slovo pro vyhledávání].com).

Hrubý počet doménových jmen, u kterých pozorujeme, že byly registrovány v souvislosti s pandemií COVID-19, je ještě větší. Dosavadního vrcholu bylo dosaženo 20. března, když lidé registrovali 3011 nových domén obsahujících text „covid“ nebo „corona“ v rámci čtyř největších domén nejvyšší úrovně (TLD), které monitorujeme (.com, .us, .org a .info). Od 8. února jsme až do půlnoci 24. března zaznamenali 42 578 nově registrovaných doménových jmen s výrazy covid nebo corona.



Zatímco některé z těchto domén mohou být zaregistrovány pro neziskové nebo dokonce prospěšné účely, mnoho z nich je jednoduše zaparkováno, zatímco jiné zobrazují základní, většinou prázdnou, webovou stránku jako příslib budoucího obsahu. Spolupráce na Slack kanálech a s našimi partnery v Cyber Threat Alliance zahrnuje také třídění užitečných a legitimních stránek, které mohly být registrovány skutečnými zdravotnickými organizacemi, od těch s černým humorem až po spamovací nebo aktivně škodících webů. Je těžké zjistit úmysl držitele registrované domény, pokud na ní není žádný obsah, ale jako příklad podivných domén uveďme třeba coronavirusshaquilleoneal[.]com.

60+ aktivně škodlivých domén - Sophos identifikoval více než 60 domén jako aktivně škodlivých, ale některé z těchto domén, od doby, kdy jsme je poprvé detekovali, svoji činnost ukončily. Následující konkrétní webové stránky byly spojeny se stahováním malwaru a jsou potenciálními indikátory kompromitování, ale pokud jde o škodlivé domény, jedná se pravděpodobně jen o špičku ledovce:

corona-masr21.com, netflixcovid19s.com, chasecovid19v.com, chasecovid19t.com, chasecovid19s.com, corona-masr2.com, chase7-covid.com, masry-corona51.com, corona-virusapps.com, coronavirus-realtime.com, covid-19-gov.claims, corona-virus-map.net, corona-map-data.com, coronavirus-apps.com, childcarecorona.com, impots-covid19.com, corona-apps.com, coronaviruscovid19-information.com, coronations.usa.cc

Malware zneužívá obavy z COVID-19 - Doposud jsme identifikovali několik rodin malwaru a potenciálně nežádoucích aplikací, které nějakým způsobem komunikují s doménami souvisejícími s COVID-19. Například tři různé verze malwaru DownloadGuide adware PUA a skupina škodlivých souborů používají web coronavirusstatus[.]doména pro hostování datového obsahu nebo jako C2 server.

Společnost Sophos doporučuje:

- Nenechte donutit ke kliknutí na odkaz v e-mailu, a neposlouchejte rady, o které jste nežádali a které jste neočekávali. Pokud skutečně hledáte rady ohledně koronaviru, zapátrejte sami a nezávisle se rozhodněte, kde je budete hledat.

- Nenechte se oklamat jménem odesílatele. Tento scam o sobě tvrdí, že pochází od „World Health Organization“, ale odesílatel může do pole „Od“ vložit jakékoli jméno bude chtít.

- Hledejte překlepy a gramatické chyby. Ne všichni podvodníci dělají chyby, ale mnoho z nich ano. Věnujte čas prozkoumání zprávy, zdali nevykazuje známky podvrhu.

- Prověřte webovou adresu (URL) odkazu, než ji zadáte do prohlížeče nebo na ni kliknete. Pokud web, na který budete přesměrováni, nevypadá v pořádku, opusťte jej.

- Nikdy nezadávejte data, o která by vás webová stránka neměla žádat. Neexistuje žádný důvod, aby po vás webová stránka se zdravotními informacemi požadovala vaši e-mailovou adresu, natož heslo.

- Pokud si uvědomíte, že jste odhalili své heslo podvodníkům, co nejdříve jej změňte. Podvodníci provozující phishingové weby obvykle zkoušejí odcizená hesla okamžitě (tento proces může být často prováděn automaticky), takže čím dříve zareagujete, tím pravděpodobněji je porazíte.

- Nikdy nepoužívejte stejné heslo na více než jedné webové stránce. Jakmile podvodníci získají heslo, obvykle jej vyzkoušejí na všech webových stránkách, kde byste mohli mít účet, aby zjistili, jestli budou mít štěstí.

- Pokud je to možné, zapněte si dvoufaktorovou autentikaci (2FA). Šestimístné kódy, které pak budou zasílány na váš telefon nebo generovány v aplikaci, mohou pro vás znamenat trochu nepohodlí, ale pro podvodníky představují podstatnou překážku, protože jim nebude stačit jen znalost vašeho hesla.
 
Publikováno: 17. 4. 2020 | Počet přečtení: 324