"חנייה" מסוכנת: הכירו את הסכנות האורבות ב-"דומיינים חונים"

מגמה לא חדשה חווה גידול: שימוש בכתובות אינטרנט רשומות, שבדרך כלל משמשות להפניות גולשים לאתרים עם פרסומות, או לשירותים אחרים, כדי לבצע תקיפות סייבר על גולשים תמימים – כך עולה מדו"ח חדש של פאלו אלטו.

הדו"ח החדש של UNIT 42, יחידת המחקר של ענקית הסייבר, מצביע על מגמה גוברת, המקבילה האינטרנטית של אדם תמים, ההולך ברחוב ורואה שלט של חנות ממתקים. הוא מתפתה ונכנס פנימה, אך מופתע לגלות שם אנשים חמושים ששודדים ממנו את הארנק.

הדו"ח מתייחס לתופעה מוכרת ברשת, הקרויה "דומיינים חונים" (Parked Domains). מדובר על כתובות אינטרנט רשומות שאין מאחוריהן אתר, והן משמשות בעיקר להפנות גולשים לאתרים הכוללים פרסומות – או לשירותים אחרים. מדובר בשיטה לגיטימית להרוויח כסף מתנועת גולשים ברשת, אך לדברי החוקרים, בתקופה האחרונה גובר השימוש של פושעים בכתובות הללו כדי לבצע תקיפות סייבר נגד גולשים תמימים.

בין החודשים מרץ עד ספטמבר השנה זיהו החוקרים חמישה מיליון "דומיינים חונים" חדשים. באותה תקופה הם גילו גם שישה מיליון "דומיינים חונים" שהחליפו קטגוריה. כך, כ-1% מהכתובות הללו תויגו ככתובת של אתר זדוני, שמכיל תוכנה מסוכנת; 2.5% תויגו כאתרים לא בטוחים, כמו, למשל, אתרי פורנוגרפיה או הימורים; 30% תויגו כאתרים חשודים. עוד עולה מהמחקר, כי ל-"דומיין חונה" יש סיכוי גבוה פי שמונה לשנות את הקטגוריה שלו – לאחת מהקטגוריות הלא תמימות הללו.

החוקרים הצביעו בדו"ח על כמה דוגמאות של "דומיינים חונים", שמעבירים גולשים תמימים לאתרים מסוכנים. כך, אתר בשם PeoplesVote[.]UK  – שכבר אינו פעיל, עודד גולשים להיכנס ולהשתתף בסקר לקראת הבחירות לנשיאות ארצות הברית. ברקע, האתר הפעיל בדרך כלל רוגלה, באמצעות הדפדפן.

דוגמה נוספת היא של אתר בשם Valleymedicalandsurgicalclinic[.]com – שגם הוא כבר אינו פעיל. החוקרים זיהו כי הוא שימש תוקפים כדי להוציא לפועל מתקפות סייבר מסוג Emotet כנגד חברות אנרגיה, תעשייה, בנייה ותקשורת, כמו גם כנגד מוסדות ממשלתיים ומוסדות חינוך בארה"ב, בריטניה, צרפת, יפן, דרום קוריאה ואיטליה. בצרפת למשל, המתקפה ניצלה את משבר הקורונה והשתמשה בצירוף COVID-19 כשורת הנושא של הודעות פישינג. אף אחת מההתקפות הללו לא הצליחה.

דוגמה נוספת היא שימוש זדוני במותג המוכר של חברת האנטי-וירוס מק'אפי. הכתובת xifinity[.]com הופצה ברחבי העולם והפנתה משתמשים לדף נחיתה, שגרם להם להאמין כי המחשב שלהם בסכנה והמנוי שלהם לתוכנת מק'אפי – הסתיים. לחיצה על כפתור "המשך" הפנתה את המשתמשים לדף הורדות לגיטימי של מק'אפי, המציע מנוי לאנטי-וירוס. הדפים הללו עדיין פעילים, והחוקרים מאמינים שהתוקפים ממשיכים לנצל אותם כדי לגנוב הכנסות ממודעות לגיטימיות.

"'דומיינים חונים' עלולים לחשוף משתמשים לאיומים, מכיוון שהם יכולים להפנות מבקרים לדפי נחיתה זדוניים או להפוך זדוניים לחלוטין בעתיד", סיכמו חוקרי פאלו אלטו. "אנו ממליצים לחסום 'דומיינים חונים' ברמת הפיירוול, לסנן אותם בעזרת כלי סינון כתובות, או ברמת ה-DNS, או – לכל הפחות – להפעיל התראות לגבי כתובות חשודות שכאלו".