Att registrera domäner vars namn har tydliga kopplingar till väletablerade sajter har länge varit ett vanligt förekommande sätt för kriminella att komma över känsliga uppgifter.
Under förra året introducerades flera nya toppdomäner, däribland .app och .icu. Ett resultat av det var en kraftig ökning av bluffdomäner. Från första till fjärde kvartalet 2018 växte antalet registrerade bluffdomäner med 11 procent. Nästan samtliga av dessa ligger fortfarande kvar, enligt en nyligen publicerad rapport från it-säkerhetsföretaget Proofpoint.
– Vad som är oroväckande är att bluffarna blir allt svårare att syna. Var fjärde bluffdomän har ett säkerhetscertifikat, vilket är betydligt mer än vad som är fallet hos riktiga domäner, säger Fredrik Möller, Nordenchef på Proofpoint.
Enligt Peter Forsman, abuseansvarig på Internetstiftelsen, finns det miljontals manipulerade adresser runt om i världen vars syfte är att lura svenska internetanvändare, och uppgiften att en fjärdedel av alla bluffdomäner har säkerhetscertifikat är egentligen för låg. Den statistik Peter Forsman har, som kommer från Anti Phishing Working Groups senaste kvartalsrapport för första kvartalet 2019, säger att under hela 2018 hade 33–49 procent av alla nätfiskesajter ett certifikat, och för första kvartalet 2019 är andelen uppe i hela 60 procent.
Missa inte Sveriges viktigaste IT-säkerhetsevent, Next Generation Threats
96 procent av de företag Proofpoint har undersökt hade en exakt matchning av företagsnamnet på en annan toppdomän, och 76 procent hade ett domännamn som starkt påminde om företagsnamnet.
Enligt Proofpoint, kan siffrorna delvis förklaras med att det är väldigt enkelt att sätta upp en trovärdig bluffdomän – utan att några större förkunskaper behövs. Exempelvis finns det flera sätt att köpa både säkerhetscertifikat och få hjälp med att sätta upp e-postservrar.
Kan bara utföra enklare kontroller
Samtidigt är det svårt att göra något åt situationen – det ska vara enkelt att skaffa en domän, och de organisationer som ansvarar för registreringarna kan bara göra enklare kontroller. Peter Forsman håller med om att registreringarna av bluffdomäner ökar, men det är svårt att veta exakt hur mycket, och ökningen har pågått länge, även för toppdomäner som .se och .nu.
– För ett domännamnsregister som Internetstiftelsens registry services, så är det domännamnet och registeruppgifterna som vi säkerställer och ansvarar för. Men hur ett domännamn används eller vilket innehåll som visas vid besök till adressen, är det innehavarna själva, och respektive hostingleverantör som ansvarar för, säger Peter Forsman på Internetstiftelsen.
– För de allra flesta toppdomäner som .se, .com och .app gäller ”först till kvarn” för att registrera ett domännamn. Ingen förprövning om vem som har större rätt till ett ledigt domännamn sker, exempelvis om det finns en eller flera varumärkesinnehavare i ett eller flera olika länder. I princip kan vem som helst registrera ett domännamn som är ledigt – vilket är fullt tillåtet under de allra flesta toppdomäner. Det är sedan först om det används i ett bedrägligt syfte som det blir ett problem för verksamheter och internetanvändare, säger Peter Forsman.
Peter Forsman anser att det är rimligt att sära och ge en förklaring till begreppet bluffdomäner, då det betyder olika för de allra flesta. Peter Forsman delar in bluffdomänerna i två huvudkategorier:
- Felstavade domäner under samtliga fria toppdomäner där ett tecken byts ut mot ett visuellt liknande tecken eller ett tecken vars tangent sitter bredvid på tangentbordet, har historiskt använts för att leda felskrivande användare till sidor med genererade textannonser. Det kan ses som ett renommésnyltande, men är i sig ganska harmlöst, då den felskrivande användaren genast inser att något gått fel. Problemet är att dessa felstavade domäner i ökande takt även används i bedrägligt syfte, spridning av skadlig kod och inte minst för att skicka bedrägliga e-postmeddelanden, så kallade vd-bedrägerier.
- Rättstavade domäner under annan toppdomän. Det finns idag 1582 delegerade toppdomäner enligt IANA:s databas varav de flesta är tillgängliga för allmänheten att registrera under. Och ett domännamn i Sverige, ord eller varumärke, kan ha en helt annan betydelse, precis som att samma lydelse kan vara varumärke som innehas av andra företag i andra länder. Det gör att det som vid första anblick ser ut som en renommésnyltning i själva verket är något helt annat.
Med jämna mellanrum presenteras listor med de toppdomäner som under sig har flest bluffdomäner, men tio-i-topp varierar kraftigt från år till år. Peter Forsman säger att de tio toppdomäner som toppade listan för halvtannat år sedan inte finns med på den senaste listan – de har hunnit bytas ut sedan dess, och detta pekar på hur fluktuerande fenomenet är och hur svårt det är att få en korrekt bild av situationen.
Mejlar från liknande adress
När bluffdomänen väl är online riktar de cyberkriminella ofta in sig mot enskilda individer för att komma åt känsliga uppgifter som bankuppgifter eller lösenord. Ett vanligt förekommande sätt är att nätkriminella mejlar från en adress som starkt påminner om ett välkänt varumärke.
Fredrik Möllers tips för att undvika att bli lurad är att noga granska avsändaren. ”Det uppenbara är att se över domänadressen. Om det är svårt att avgöra utifrån det är nästa steg att granska säkerhetscertifikatet eller landningssidan. Vet man vad man ska titta efter är det inte svårt att upptäcka om en adress är falsk eller riktig”.
– Sedan behöver företagen bli bättre på att proaktivt skydda sig genom att utbilda personalen kring dessa frågor. Ett välfungerande säkerhetsarbete börjar i regel alltid med de anställda. Om inte de har koll på rutinerna spelar det inte så stor roll hur väl förberedd it-avdelningen är, säger Peter Möller.
Även Peter Forsman håller fram utbildningsinsatser som mycket viktiga i arbetet mot nätbedrägerier generellt. Sätten som dessa domännamn lurar användare på förändras hela tiden och det är därför mycket viktigt med folkbildningsinsatser som till exempel Internetstiftelsens sida Internetkunskap.
Peter Forsman framhåller även Polisens nationella bedrägericenters Facebooksida där Polisen löpande publicerar viktig information om nya tillvägagångssätt.
– På Internetstiftelsen så tipsas vi, begärs eller hittar själva bedrägliga domäner. Vi analyserar och prioriterar utifrån allvarlighetsgrad, och baserat på den analys som sker så säkerställer vi innehavare, varnar presumtiva offer eller tipsar brottsbekämpande myndigheter/aktörer.
– Vi jobbar såväl preventivt genom ”heads-up” till hostingleverantörer, myndigheter, namnserveroperatörer, kreditgivare, teknikkedjor och operatörer baserat på detaljer och mönster. Men om det anses nödvändigt så tillhandahåller vi underlag för ”varning för nytt modus” ofta för Polisen eller annan part, till exempel media. Internetstiftelsen föreläser även på Polisens bedrägeriutredarutbildning på Polishögskolan sedan 2015 och har under flera år genomfört lärarledd utbildning för myndigheters representanter i ämnet, säger Peter Forsman.
Proofpoints rapport i sin helhet finns här (kräver registrering).
Läs också:
Hackarnas främsta måltavla: Utvecklarna
Microsofts varningsmail om ovanlig inloggning kan vara nätfiske
