Проверьте репутацию веб-сайта с помощью API категоризации веб-сайтов и других инструментов

Check a Website’s Reputation with Website Categorization API and Other Tools

В эпоху, наполненную высококвалифицированными злоумышленниками и изощренными методами атак, критически важно определить, можете ли вы получить безопасный доступ к веб-сайту. В конце концов, единственный надежный способ предотвратить взлом — держаться подальше от всех потенциальных источников угроз в сети, включая любые неприемлемые места в сети.

С этой целью в этой длинной статье представлены четыре тематических исследования того, как API категоризации веб-сайтов в сочетании с другими потоками данных домена и IP и API может помочь организациям избежать ловушек, которые возникают при посещении вредоносных веб-страниц.

Проверьте доверие к веб-сайту или попадете в море проблем

Многие системные инфекции возникают в результате простого посещения взломанного или явно вредоносного веб-сайта. Хотя некоторые сайты были специально созданы для размещения вредоносных программ или эксплойтов, которые автоматически попадают в уязвимые системы, другие являются законными, но находятся под контролем хакеров и / или используются в атаках. Как бы то ни было, эти сайты, содержащие вредоносное ПО или эксплойты, часто используют одну и ту же тактику для обуздания жертв — загрузку с машины.

Так, как это работает? Что происходит, когда вредоносная программа превращает ваш компьютер в новый дом? Кибератаки, основанные на косвенных загрузках, часто используют следующие элементы:

Точка входа: злоумышленники создают надежные сайты или захватывают популярные, чтобы действовать как хосты вредоносных программ. Эти страницы предназначены для незаметного размещения вредоносного ПО на системы ничего не подозревающих посетителей.

  • Распространение и исследование. Вредоносное ПО, которое изначально попадает на компьютер пользователя, предназначено для выявления уязвимых мест, которые можно использовать в нем, его приложениях и подключенных к нему устройствах. Вы можете думать об этом как о дополнительном инструменте разведки для достижения конечной цели атакующего.
  • Эксплуатация и заражение: после всесторонней диагностики зараженной системы первоначальная вредоносная программа определяет эксплойт, который лучше всего сработает с ней. Злоумышленники обычно имеют коммерчески доступные (на подпольных торговых площадках или в глубокой сети) наборы эксплойтов в своих арсеналах атак. Оттуда киберпреступники выбирают, что будет запускаться на компьютере жертвы, и сбрасывают это на него, чтобы продолжить атаку. В свою очередь, злоумышленники получают контроль над одним или несколькими устройствами и тем самым инициируют потерю данных и связанные с ними нарушения.
  • Взлом инфраструктуры: каждая атака, направленная на выкачивание конфиденциальных данных из зараженной системы, использует сервер управления и контроля (C&C), принадлежащий и контролируемый злоумышленниками. Например, при атаке программы-вымогателя C&C сервер выдает команды для фактической полезной нагрузки, такие как «искать файлы с расширением .doc, затем копировать и отправлять копии обратно».

Что могут сделать компании, чтобы предотвратить такие злонамеренные инциденты? Хотя с первого взгляда невозможно определить, является ли веб-сайт потенциальным носителем угрозы, настоятельно рекомендуется избегать тех, которые были определены как небезопасные для посещения. Внесение сайтов в черный список, чтобы их не посещали даже самые безрассудные сотрудники, также является хорошей практикой.

Кроме того, API категоризации веб-сайтов и другие инструменты, настроенные для соблюдения политик безопасности, могут помочь организациям защитить свои цифровые активы от взлома электронной коммерции, фишинга и атак программ-вымогателей. Давайте посмотрим, как это сделать, в следующих случаях использования.

Примеры из практики

Пример 1: электронная коммерция (Magecart)

Прежде чем углубляться в этот первый пример, давайте посмотрим, что влечет за собой категоризация веб-сайтов. Короче говоря, классификация веб-сайтов — это простой способ для предприятий узнать своих клиентов, а также отметить несоответствия и потенциальные случаи мошенничества.

Фактически, за три простых шага пользователи уже будут знать больше о конкретном клиенте или потенциальном источнике угрозы. Например:

Войдите на сайт https://website-categorization-api.whoisxmlapi.com.

Нажмите «Попробовать API». Вы должны перейти на желаемый раздел.

Введите имя домена в поле ввода Получить категоризацию веб-сайта и нажмите клавишу Enter. Должно появиться до трех категорий, к которым принадлежит сайт пользователя.

 

Up to three categories to which the user’s site belongs should appear.

Эти категории — лишь несколько примеров из многих. В настоящее время API имеет 25 категорий, включая автомобили и транспортные средства, красоту и фитнес и другие. Если интересующие вас категории не включены в текущий список, вы можете отправить запрос WhoisXML API.

Так что же делать с данными? Объединение доменов клиентов в категории может помочь отделам продаж и маркетинга определить, каким отраслям следует уделять приоритетное внимание. Затем они могут предложить обоснованные стратегии, которые принесут более значительную прибыль их компаниям.

Однако не все посетители сайта являются потенциальными клиентами. И не следует приветствовать всех с распростертыми объятиями. Если вы специалист по кибербезопасности, вы уже знаете, что предприятиям следует опасаться злоумышленников, которые хотят получить доступ к их сетям и охотиться на их клиентов. Об этом свидетельствует, в частности, одна угроза — взлом электронной коммерции.

Формджекинг в электронной коммерции, который мы исследовали с помощью атак Magecart, включает внедрение вредоносного кода в формы, которые онлайн-покупатели заполняют при размещении своих заказов в интернет-магазинах. Этот код позволяет злоумышленникам красть информацию о кредитной карте пользователей, когда они вводят ее на страницу оформления заказа.

Важно отметить, что Magecart относится к категории атак, то есть к взлому электронной коммерции, а не к конкретной организации или субъекту. Несколько киберпреступных группировок использовали Magecart для громких атак.

Атаки Magecart используют вредоносный код JavaScript, который прослушивает и собирает личную информацию. Некоторые отслеживают все нажатия клавиш пользователя на странице, в то время как другие перехватывают только вводимые данные в определенные части формы, такие как номера кредитных карт и значения проверки карты (CVV). Однако в целом все злоумышленники скрывают вредоносный код внутри безобидного кода, чтобы избежать обнаружения.

Последний отчет об инцидентах с Magecart показал, что жертвами угрозы стали более 17 000 доменов. Хуже того, эксперты говорят, что в ближайшее время атакам не будет конца. Единственное, что остается для бизнеса, — это повысить безопасность своих сайтов электронной коммерции.

Организации, которые хотят защитить свою инфраструктуру и клиентов, могут использовать результаты категоризации своих веб-сайтов с отчетами, которые содержат индикаторы взлома (IoC) для выявления нежелательных посетителей сайта. Внесение в черный список URL-адресов в случае потенциальной попытки взлома электронной коммерции могло бы помочь пользователям защитить свои цифровые свойства и данные клиентов от злоумышленников.

Пример # 2: Защита бренда (PayPal)

Когда дело доходит до защиты бренда, категоризация в Интернете — стоящая задача. Чтобы любой бизнес был успешным, его бренд всегда должен иметь хорошую репутацию. Подверженность кибератаке может оставить неизгладимое негативное впечатление на существующих и потенциальных клиентов компании.

Например, фишинг — это давняя, но неизменно надежная угроза, которая остается одной из самых серьезных проблем даже для крупнейших современных брендов. Хотя с этим борются и менее известные цели, неудивительно, что самые популярные поставщики составляют список целевых объектов фишеров. Для этого есть простая причина — чем крупнее бренд, тем шире пул потенциальных жертв и прибыль для злоумышленников.

Если вас интересует фактическая распространенность фишинга, последний отчет о тенденциях фишинговой активности Рабочей группы по борьбе с фишингом (APWG) показал постоянное увеличение количества уникальных фишинговых веб-сайтов по месяцам — с 48 663 в январе 2019 до 50 983 в феврале до 81 122 в марте. В отчете Verizon о расследовании утечек данных за 2019 год (DBIR) назван фишинг как ведущее направление атак, связанных с утечкой данных. Это тревожные тенденции, но опасности обычно можно избежать, используя инструменты, которые добавляют дополнительный уровень защиты от угрозы.

Как и в случае с электронной коммерцией, пользователи могут полагаться на API категоризации веб-сайтов, чтобы определить, стоит ли, например, доверять потенциальному клиенту или потенциально его следует пометить как «фишера». Платежный процессор, такой как PayPal, может выполнить те же три шага, чтобы проверить, действительны ли утверждения пользователя. Он может искать домен клиента, чтобы проверить, соответствует ли он предполагаемой категории компании отправителя электронной почты. Звонок в организацию для подтверждения, конечно, улучшает процесс проверки.

Давайте посмотрим на гипотетический сценарий. Скажите, что Джон Смит хочет зарегистрировать учетную запись PayPal, чтобы начать свой новый бизнес. Он утверждает, что недавно открыл интернет-магазин спортивной одежды Sports R Us. (ВАЖНОЕ ПРИМЕЧАНИЕ: для этого сценария мы использовали случайно выбранное доменное имя. Это доменное имя не является вредоносным.)

Представитель PayPal, отвечающий за регистрацию учетной записи Джона Смита, может найти sports-r-us.com (его домен) в API категоризации веб-сайтов, чтобы проверить его существование.

 

A list of the categories the customer’s site belongs to should appear.

Для нашего выдуманного сценария результаты не обязательно подтверждают утверждения Джона Смита. Возможно, вам придется провести дополнительное исследование в Интернете, посетив указанный сайт и проверив, действительно ли это сайт онлайн-магазинов спортивной одежды. Наш поиск домена показывает следующее:

Our search for the domain shows this

Подобный результат делает заявления Джона Смита о создании сайта для покупок спортивных товаров менее убедительными. Если вам все же удалось попасть на активный сайт, вы можете проверить видимые признаки доверия. Например:

URL-адрес должен начинаться с HTTPS вместо обычного HTTP. Дополнительная буква S в конце означает, что сайт зашифрован, и поэтому его сложнее взломать, чем сайт, который не шифруется. Значок замка перед URL-адресом также указывает на безопасность веб-сайта.

Наличие политики конфиденциальности веб-сайта также является хорошим показателем надежности сайта. Это означает, что его владелец соблюдает положения законов о конфиденциальности данных, таких как Общее положение о защите данных (GDPR).

Каждая уважаемая компания предоставляет точную контактную информацию на своем сайте. Вы можете проверить их по электронной почте или позвонив им.

Некоторые поставщики даже делают все возможное и проверяют свои сайты сертифицированными органами, чтобы гарантировать, что они заботятся о благополучии своих клиентов.

Ни на одном сайте уважаемого поставщика нет сторонней рекламы, которая предлагает вещи бесплатно. Даже случайное наведение курсора на вредоносную рекламу или нажатие на нее может привести к скрытой загрузке. Это демонстрирует важность внимания к рискам третьих лиц.

В свете этих подходов к проверке репутации веб-сайта поставщики финансовых услуг, такие как PayPal, могут поддержать или отклонить регистрацию учетной записи заявителя. Это лишь некоторые из способов избежать злоупотреблений со стороны потенциального фишера.

Специалисты по кибербезопасности также могут выбрать специально разработанные инструменты для проверки действительности сертификата Secure Sockets Layer (SSL) сайта. На сайтах всех уважаемых поставщиков есть действующие SSL-сертификаты, которые в цифровой форме связывают криптографические ключи с их организациями.

Наконец, при добавлении средств защиты бренда и мониторинга группы ИТ-безопасности и сотрудники могут избегать контактов со злоумышленниками и участвовать в непреднамеренных взаимодействиях, которые могут иметь серьезные последствия для их репутации.

Пример # 3: Кибербезопасность от программ-вымогателей

Мы видели, как многие организации по всему миру теряют огромные объемы данных и несут огромные финансовые убытки в результате атаки программ-вымогателей. Город во Флориде, вероятно, станет рекордсменом по разглашению самой крупной на сегодняшний день выплаты в рамках программы-вымогателя, которая составила 600 000 долларов США. Он уступил требованиям хакеров, когда потерял доступ ко всем своим записям и когда его система электронной почты была отключена. Более того, ему пришлось прибегнуть к оплате чеков сотрудникам и поставщикам, а его диспетчеры службы 911 оказались не в состоянии передавать звонки отвечающим.

Другой пример атаки с использованием программ-вымогателей связан с Maersk, мировым гигантом контейнерных перевозок, который стал одной из самых заметных жертв вспышки NotPetya в июне 2017 года. По сообщениям, компания потеряла около 300 миллионов долларов США из-за атаки, которая привела к серьезному прерыванию бизнеса на 600 площадках в 130 странах мира.

Однако программы-вымогатели — это проблема не только для крупных предприятий. Малый и средний бизнес (SMB) также подвержен атакам. Возьмем, к примеру, случай с местным поставщиком медицинских услуг в Мичигане, владельцы которого предпочли закрыть магазин, а не разбираться с последствиями атаки. Неуплата выкупа оправдана, поскольку те, кто предпочитают иногда останавливаться только на зияющей дыре на своих банковских счетах.

Это не единичные случаи. Эксперты по безопасности считают, что в этом году ущерб от программ-вымогателей может достигнуть 11,5 млрд долларов США. Причины этого включают ожидаемое увеличение частоты атак и нововведения в коде.

В свете недавних событий только в крупных городах США мы обязательно увидим, что предсказание сбудется. Местные ратуши, публичные библиотеки и другие правительственные учреждения в Далласе, Балтиморе, Олбани и Ларедо в Техасе и Лейк-Сити, Флорида, были лишь некоторыми из недавних жертв.

Как и в случае с любой сетевой угрозой, один из способов противодействия пагубным последствиям атаки вымогателя заключается в выявлении опасных сайтов. Для этого организации могут определить, откуда приходят посетители их сайтов. Для этого можно использовать категоризацию веб-сайтов и геолокацию IP-адресов. Например, API категоризации веб-сайтов может помочь оценить, есть ли у кого-либо в определенном домене (и связанных с ним категориях) законную причину для доступа к веб-сайту компании.

Допустим, в демонстрационных целях вы работаете специалистом по ИТ-безопасности в Далласской публичной библиотеке. Из-за недавней волны атак на аналогичные учреждения вы решили проанализировать журналы трафика своей сети. При этом вы обнаруживаете подозрительный домен, например emend.com, который пытается получить доступ к вашей сети. (ВАЖНОЕ ПРИМЕЧАНИЕ: домен в этом сценарии не обязательно связан с атаками, обсуждаемыми в этом разделе. Он был случайным

 

A Website Categorization API lookup using the domain as a search term should give you this result.

Слово «исправить», согласно словарю, означает «исправлять обычно путем изменения текста». Вы, вероятно, должны задаться вопросом, почему он был отнесен к категории «Здоровье». Может быть, стоит глубже изучить сайт. При доступе к сайту вы попадаете на сайт поставщика медицинских услуг, поэтому посещать его безопасно, если он не указан в каком-либо черном списке, например в черном списке отслеживания программ-вымогателей Abuse.ch. Для более безопасной навигации в Интернете, включение всех сайтов из указанного черного списка в черный список URL-адресов вашей организации является очень хорошей идеей. Таким образом вы сможете избежать попадания на известный сайт, загруженный программами-вымогателями.

В случае с городами США может быть хорошей идеей выявить несоответствия между тем, что заявлено в электронном письме, и информацией, содержащейся в IP-адресах. Для этого вы можете использовать инструмент геолокации IP.

Например, предположим, что ваша компания получила электронное письмо с подозрительным вложением, которое якобы отправлено партнером из Канады. Имейте в виду, что многие варианты программ-вымогателей могут быть представлены в виде документов. Вы можете ввести имя домена отправителя электронной почты в поле поиска API, чтобы определить реальный источник сообщения.

Допустим, в демонстрационных целях использовался адрес электронной почты (скрытый). API геолокации IP должен дать вам такой результат:

 

For demonstration purposes, let’s say the email address soon_be_to_nothing@yahoo.com was used.

Как видите, почтовый ящик не зарегистрирован в Канаде. Хотя это само по себе не оправдывает недоверие отправителю, вы можете копать дальше. Вы можете, например, проверить категорию веб-сайта, прежде чем нажимать URL-адреса, и потенциально попасть на неизвестные сайты, содержащие вредоносное ПО.

Пример # 4: Фильтрация содержимого

Мы кратко упомянули черный список URL-адресов как средство предотвращения попытки взлома формы электронной коммерции. Однако даже более широкий подход, чем черный список URL-адресов, — это фильтрация контента. Фильтрация контента — это практика ограничения доступа пользователя к Интернету только заранее определенным типам контента. Типичный сценарий офиса, вероятно, позволит сотрудникам посещать новостные и образовательные веб-сайты, в то время как им будет запрещен доступ к социальным сетям, магазинам, азартным играм и веб-сайтам для взрослых. Протокол может отличаться в зависимости от компании и отрасли, но обычно это стандартный сценарий.

Компании могут эффективно реализовать фильтрацию контента с помощью API категоризации веб-сайтов. Однако более безопасный и ориентированный на кибербезопасность подход также потребует от компаний использования дополнительных инструментов, которые позволят им собрать больше информации о конкретном веб-сайте.

Рассмотрим этот гипотетический сценарий, когда сотрудник офиса пытается получить доступ к следующим веб-сайтам. Обратите внимание, что этот сотрудник может сознательно вводить URL-адреса этих сайтов в своем браузере или переходить на страницы после нажатия ссылки, встроенной в электронное письмо, сообщение чата или объявление. В других случаях сотрудник может попасть на эти веб-сайты через перенаправление, когда он / она открывает вложение электронной почты или переданный файл.

2dr [.] Eu: Классифицируется API как «Интернет и телекоммуникации» и «Компьютеры и электроника».

3no [.] Ro: Классифицируется API как «Интернет и телекоммуникации», «Здоровье» и «Домашние и животные».

rr [.] co: Отнесено API к категории «Компьютеры и электроника».

betonline [.] ag: Отнесено API к категории «Азартные игры».

Стандартный протокол фильтрации контента немедленно блокирует доступ сотрудника к betonline [.] Ag, поскольку он считается игорным сайтом. С другой стороны, остальные три веб-сайта могут быть разрешены, поскольку они не относятся к категориям, занесенным в черный список. Таким образом, сотрудники офиса могут получить доступ к первым трем доменам. Но безопасны ли эти сайты? Давайте узнаем, добавив еще один шаг — проверку репутации домена.

В нашем гипотетическом примере первые два доменных имени, 2dr [.] Eu и 3no [.] Ro, фактически указаны как фишинговые сайты на PhishTank. Rr [.] Co, с другой стороны, указана не только на PhishTank, но и в каналах данных OSINT Bambenek Consulting и StopForumSpam. Быстрая проверка репутации домена с использованием API репутации домена покажет это.

 

2dr[.]eu: Categorized under “Internet and Telecom,” and “Computer and Electronics” by the API.
3no[.]ro: Categorized under “Internet and Telecom,” “Health,” and “Pets and Animals” by the API.
rr[.]co: Categorized under “Computer and Electronics” by the API.

Эти три веб-сайта размещены на известных вредоносных доменах в различных каналах данных о вредоносных программах. Таким образом, хотя они попадают в категории из белого списка, посещать их небезопасно. В качестве дополнительного уровня защиты категорий веб-сайтов, занесенных в черный список, также может быть хорошей идеей заблокировать доступ к веб-сайтам, перечисленным в любом канале угроз, с помощью средства проверки репутации домена.

Некоторые могут возразить, что, поскольку проверка репутации домена уже раскрывает многое о веб-сайте, процесс категоризации можно вообще пропустить. Однако это не так. В нашем гипотетическом сценарии, например, сотрудник офиса будет немедленно лишен доступа к betonline [.] Ag, поскольку домен относится к категории «Азартные игры». Если вы проигнорируете этап категоризации, но полагаетесь на проверку репутации домена, доступ к указанному веб-сайту может быть предоставлен по следующим причинам:

Betonline [.] Ag не указан ни в одном канале данных о вредоносных программах, поэтому посещение его считается безопасным.

Хотя API обнаружил, что домен зарегистрирован в оффшорной стране, эта страна (Великобритания) не считается рассадником угроз. Тем не менее, быстрый просмотр записи WHOIS домена с помощью WHOIS API показывает, что его записи WHOIS отредактированы. Следовательно, мы можем не знать фактическую страну регистранта.

 

betonline[.]ag: Categorized under “Gambling” by the API.

В конце концов, сотрудник мог получить доступ к игровому сайту, если организации не смогли настроить категоризацию веб-сайтов и полагаться исключительно на репутацию домена. Категоризация веб-сайтов автоматически отсеивает сайты, которые, хотя и безопасны для доступа, могут снизить производительность труда сотрудников и использовать столь необходимые ресурсы, что может негативно повлиять на прибыль компании в долгосрочной перспективе.

Итог: проверьте репутацию и доверие веб-сайта с помощью правильных источников информации

Укрепление своей сети от взлома электронной коммерции, фишинга, программ-вымогателей и других кибератак требует тщательного изучения того, кто посетители веб-сайта и откуда они приходят. Организации должны знать, каким веб-сайтам доверять, а каких следует избегать.

Решения безопасности отлично подходят для предотвращения запуска вредоносных файлов в уязвимых системах, но не все могут отличить безопасный трафик от вредоносного. Усилить их способность различать посещения вредоносных и не вредоносных сайтов можно с помощью API категоризации веб-сайтов и других каналов и API данных домена и IP, что обеспечивает более активную защиту.

Действительно, предотвращая взаимодействие злоумышленников с вашей сетью и помещая нежелательные файлы в зияющие дыры, организации могут эффективно останавливать атаки еще до того, как они пустят корни.

 

Проверьте репутацию веб-сайта с помощью API категоризации веб-сайтов и других инструментовВ последнее время всё большее значение представляет правовая безопасность сайта. Нарушения закона "О персональных данных" или авторских прав может привести к штрафам в несколько сотен тысяч рублей. Проверить ваш сайт и сделать документацию можно здесь.
Related Posts
Leave a Reply

Your email address will not be published.Required fields are marked *