...

пятница, 11 декабря 2015 г.

Саундсквоттинг — новый вид мошенничества с доменами

Появилась новая разновидность киберсквоттинга, именуемая саундсквоттингом (от англ. «soundsquatting»). Суть действия также заключается в противоправном использовании доменных имен, только с помощью омофонов — слов одинакового звучания и при этом разного написания (например, «eight» и «ate» — пишутся по-разному, а на слух их различить сложно). Интернет-мошенники или саундсквоттеры выбирают популярные домены и находят к ним созвучные имена. В результате они получают сайты, которым гарантирована посещаемость благодаря созвучному сходству с популярными ресурсами.

Например, на основе авторитетного сайта о погоде weatherportal.com, саундсквоттер может зарегистрировать домен whetherportal.com, перехватив тем самым часть пользователей, по-ошибке печатающих «whether» вместо «weather». Ведь на слух то эти два слова подобны.

Дезориентация пользователей усиливается, когда омофон содержит то же значение, что и оригинальный домен. Так вышло с американским банком Guaranty Bank. Название веб-сайта этой финансовой структуры — guarantybanking.com. Саундсквоттеры ловко переставили буквы и создали созвучное доменное имя guaranteebanking.com. Трудно спрогнозировать, какое правописание выберет человек, услышавший об этом банке впервые. Причем, зайдя на сайт с псевдодоменом, неискушенный пользователь может даже не заметить подвох. Пусть у сайта-двойника отсутствует какой-либо дизайн, нет нормальной навигации и выглядит он странно, но ведь банковские услуги предоставляет на самом деле.

Проблема саундсквоттинга приобретает стратегическое значение, поскольку аудитория мобильного интернета постоянно увеличивается, появляется множество приложений с функцией распознавания речи. Также растет количество устройств, использующих средства звукового преобразования текста (смартфоны, планшеты, компьютерные часы и т.д.).

Специалисты начали анализировать первые 15 000 доменов, из них более 10 000 — потенциально уязвимые для нового вида обмана. Для 3000 доменных имен уже зарегистрированы созвучные двойники. Из них каждый третий наполнен вредоносным содержанием, вирусами или рекламой. Саундсквоттеры используются такие домены в различных целях: для демонстрации рекламы, кражи траффика у законных владельцев, проведения фишинг атаки, воровства персональных данных, установки вредоносного программного обеспечения ничего не подозревающим пользователям.

В первую очередь под удар подпадают люди с плохим зрением, которые прямо зависят от звукового сопровождения приложения или устройства. Не менее уязвимы пользователи, имеющие проблемы со слухом. Даже человек с хорошим слухом не всегда услышит разницу между оригинальным названием домена и созвучным с ним именем (например, idle, idol или idyll).

Жертвами саундсквоттинга становятся также пользователи, которые работают со звуковыми приложениями и по определенным причинам не могут должным образом взаимодействовать с компьютерами, другими интернет-устройствами без использования вспомогательных технологий. Пользуясь программным обеспечением с функцией звукового воспроизведения текста, вредоносный домен, сходный по звучанию, будет практически идентичен настоящему.

Одна из компаний по сбору статистики посещаемости сайтов провела анализ рейтинга топ-10 000 сайтов. В результате было выявлено 8480 доменных имен, уязвимых для саундсквоттинга. Из них 1823 (22%) псевдодоменов, которые уже зарегистрированы. С их помощью проводились фишинг атаки, установка вредоносного программного обеспечения, запуск вирусов. Некоторые ресурсы размещали рекламу и, пользуясь популярностью оригинальных доменов, похищали трафик. Всем известный YouTube.com также подвергся саундсквоттингу и приобрел себе двойника — utube.com. На этом ресурсе расположен видеосайт со всплывающей рекламой.

В общей сложности 1040 из 1823 зарегистрированных в рамках саундсквоттинга доменных имен были помечены как вредоносные. Собственно, сами владельцы брендов тоже регистрируют схожие по названию домены (на их долю приходится 8,5%). Но правда их мотивы скорее более прозаические и не причиняют вредя остальным.

Программа AutoSS


Как же бороться с возникшей проблемой? К сожалению, автоматических способов выявления саундсквоттинга пока нет. Можно использовать сайт homophone.com и в ручном режиме выявлять омофоны, присутствующие в доменных именах. Но компании занимаются разработкой инструментов. В скором будущем должен появится AutoSS (AutoSoundSquatter) — инструмент, который сможет автоматически генерировать всевозможные доменные имена, попадаемые под угрозу саундсквоттинга.

AutoSS будет полагаться на три основные направления. Начиная с оригинального доменного листа. Более популярные доменные имена соответственно и первые в зоне риска. Основываясь на список 10 000 лидирующих веб-сайтов, AutoSS сгенерирует для них всевозможные варианты омофонов. После чего будет составлен словарь-список действующих слов, извлеченных из доменных имен. Например, в домене youtube.com словарь задаст алгоритм прямого поиска для всех присутствующих слов (вплоть до «you» и «tube»). Заключительным и важным моментом будут правила преобразования. Потребуется база данных английских омофонов, имеющаяся на сайте homophone.com.

Но у AutoSS есть свои недостатки. Он использует английский словарь и в соответствии с ним определяет слова в доменах. К примеру, в доменном имени laredoute.fr (французский электронный магазин) программа разделит домен на слова «lare», «do» и «ute», что будет неверным. С другой стороны, со временем появятся различные языковые версии программы.

Изученные домены саундсквоттинга для определения особенностей пользователей


Оригинальный домен Пара омофону Домены саундсквоттинга Число запросов пользователей за месяц
thefreedictionary.com {the, thee} theefreedictionary.com 283 (39.86%)
fc2.com {2, too} fctoo.com 165 (44.84%)
jimdo.com {do, doe} jimdoe.com 150 (38.27%)
turbobit.net {bit, bitt} turbobitt.net 132 (36.07%)
leboncoin.fr {coin, quoin} lebonquoin.fr 110 (74.32%)
adserverplus.com {ad, add} addserverplus.com 98 (60.49%)
profitclicking.com {profit, prophet} prophetclicking.com 56 (48.28%)
hostgator.com {gator, gaiter} hostgaiter.com 45 (45.92%)
sitesell.com {sell, cel} sitecel.com 44 (40.00%)
discuz.net {disc, disk} diskuz.net 43 (40.19%)
tube8.com {8, ait} tubeait.com 42 (43.30%)
clixsense.com {sense, scents} clixscents.com 40 (44.44%)
a8.net {8, eight} aeight.net 48 (43.24%)
newegg.com {new, gnu} gnuegg.com 37 (36.63%)
redtubelive.com {red, read} readtubelive.com 44 (51.76%)
fiverr.com {err, air} fivair.com 33 (37.93%)
exoclick.com {click, clique} exoclique.com 32 (45.71%)
theglobeandmail.com {mail, male} theglobeandmale.com 35 (38.46%)
pastebin.com {bin, been} pastebeen.com 35 (39.77%)
ku6.com {6, sics} kusics.com 28 (33.33%)

This entry passed through the Full-Text RSS service - if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.

Комментариев нет:

Отправить комментарий