Rozpoznawanie za zakłócanie działania fałszywych sklepów, stron phshingowch i podszywanie się pod markę. Zobacz jak rozwiązanie Akamai Brand Protector pomaga ochronić klientów i reputację marki.
Popularność marki a nadużycia
Znane logo, lubiana firma, ceniony producent, kultowy produkt. Aby to osiągnąć, potrzeba wiele lat ciężkiej pracy, często dużej ilości środków oraz przede wszystkim zbudowania zaufania wśród klientów. To właśnie to zaufanie przestępcy najczęściej wykorzystują w kampaniach phishingowych, na fałszywych witrynach i sklepach internetowych.
Klient, który otrzyma fałszywego SMS-a lub wiadomość e-mail z adresem łudząco podobnym do oryginalnego, a po wejściu jego oczom ukaże się już znany mu widok ulubionego sklepu, będzie miał znacznie obniżoną czujność. Zwiększa to szanse na powiedzenie się oszustwa i najczęściej też kradzieży danych lub pieniędzy. Sam użytkownik mógł nie zauważyć, że w adresie była literówka, sam sklep wyglądał identycznie jak oryginalny wraz z możliwością logowania, pełną listą produktów i funkcją składania zamówień.
Taka sytuacja często doprowadza do oddalenia się klienta od marki.
Trudności w wykrywaniu i reagowaniu
Tego typu kampanie często mają tzw. krótki czas życia, czyli pojawiają się tak szybko jak znikają, a w ich miejsce pojawiają się kolejne. Analitycy bezpieczeństwa z APWG zauważyli łącznie ponad 1 mln fałszywych stron imitujących ponad 1300 różnych marek jedynie w 4 kwartale 2023 r.
Administratorzy i właściciele stron najczęściej dowiadują się o próbie nadużycia na podstawie zgłoszeń użytkowników, często niestety również już tych oszukanych. Akcje jakie najczęściej można wtedy podjąć, to wysłanie mailingu do wszystkich klientów z ostrzeżeniem, wraz z publikacjami w mediach społecznościowych, zgłoszenie incydentu do CSIRT NASK oraz próba samodzielnego zgłoszenia domeny i strony do usługodawców w celu ich blokady. Zanim witryny zostaną zablokowane, może minąć nawet miesiąc, ponieważ często są utrzymywane u dużych zagranicznych dostawców.
Jeśli dana witryna nie służy do oszustw, a wykorzystuje jedynie nasze znaki towarowe i własności intelektualne (np. zdjęcia), to taki proceder jeszcze trudniej wykryć, a sam proces trwa jeszcze dłużej. W zależności od prawa i dobrej woli usługodawców, czasami jest nawet niemożliwe usunięcie takiej strony lub skradzionych elementów.
Sposoby nadużyć wobec marki
Kradzież elementów stron
Polega to na pobraniu różnych części strony, takie jak logotypy, zdjęcia, tekst i wszystkie inne elementy będące wartością intelektualną danej firmy, a następnie użycie ich bez zgody we własnej witrynie.
Kopia całej strony (mirror)
Fałszywa witryna wygląda identycznie jak oryginalna, która często bez wnikliwej analizy jest trudna do odróżnienia. W zależności od stopnia zaawansowania, może mieć mniej lub więcej funkcjonalności od strony użytkowej.
Przykładowe metody manipulacjami nazw domen
- Homoglify – używanie podobnych znaków, cyfr i liter, np. zmiana litery „O” na „0” (MICROSOFT.COM a MICR0SOFT.COM), małej litery „l” zamiast „i” (MICROSOFT.COM a MlCROSOFT.COM) lub używanie znaków i symboli ASCII z innych alfabetów, np. „a” (U+0430) w cyrylicy i zwykłe „a” (U+0061). Wyglądają tak samo, ale komputer rozpoznaje je jako inne znaki
- Domeny z nazwą marki – jeżeli oryginalna domena to advatech.pl, to fałszywą wersją może być np. advatech-services.pl, advatech-systems.pl, myadvatech.pl, itp.
- Literówki (typosquatting) – np. google.com a gogle.com, facebook.com a facebok.com, itp.
- Rozszerzenia domeny – np. advatech.pl i „końcówka” domeny (Top Level Domain) zostaje podmieniona na .biz, .com, .de, .net, itp.
Akamai Brand Protector
Rozwiązanie to zostało stworzone z myślą o rozwiązaniu trudności ze stronami phishngowymi, podszywaniem się i kradzieżom marki oraz przede wszystkim – zminimalizować szanse na utratę reputacji w przypadku tego typu nadużyć.
Aby to osiągnąć, Brand Protector monitoruje miliardy cyfrowych czynności w sieci na podstawie własnych lub zewnętrznych źródeł w celu odkrycia nadużyć wobec marki organizacji i jej elementów szybko i efektywnie – często zanim rozpocznie się kampania cyberprzestępców.
Dane
Trudność w wykrywania ataków phishingowych i na markę, rozpoczyna się od zbierania odpowiednich danych i sygnałów.
Jako największa brzegowa platforma chmurowa, Akamai jest w stanie analizować ponad 600 TB danych dziennie. Brand Protector dostaje również dane z zewnętrznych źródeł, aby przeprowadzić analizę w jak najbardziej obszerny sposób.
Detekcja
Siła i szybkość Brand Protector pochodzi od połączenia wewnętrznych źródeł danych Akamai i zaawansowanych algorytmów do analizy zwiększających pewność detekcji i minimalizujących wyniki fałszywie dodatnie.
Większość technologii nie jest w stanie nadążyć nad szybkością pojawiania się nowych ataków i równie szybko je blokować zanim uderzą w organizację i klientów. Akamai monitoruje żywy ruch, zamiast opierać się o dane historyczne i starsze źródła. Z Brand Protector, działy bezpieczeństwa mają możliwość wykrycia nadużycia wraz z pierwszym wysłanym zapytaniem http/https, często zanim dotrze do klienta.
Możliwości te możemy rozbudować o analizę nadużyć na nazwę domeny poprzez moduł Zone Protection pozwalające na rozpoznanie i mitygację ataków takich jak wymienione wcześniej, np. podobne domeny, homoglify, literówki, itp.
Widoczność
Zarządzanie jest stworzone z myślą o użytkownikach, tak aby działy bezpieczeństwa miały pełny wgląd w dane z poziomu jednego panelu.
Po otrzymaniu danych, rozpoczyna się analiza wykorzystująca serię heurystycznych detekcji i z pomocą sztucznej inteligencji. Nawet w przypadku zebrania bardzo dużych danych i dowodów, są one wyświetlane w sposób pozwalających zrozumieć aktywne zagrożenia dla użytkowników i nadużycia.
Cały ruch związany z klientem, detekcje i zagrożenia są przekładane na akcje jakie można wykonać. Przedstawione jest to wraz z poziomem ryzyka. Po wejściu w dany alert, można zobaczyć analizowane dane, poziom pewności zagrożenia i ryzyka, liczbę wejść użytkowników i oś czasu ataku i jak się rozwijał. Każde rozpoznanie poparte jest dowodami w formie kodu, zrzutów ekranu, indykatorów detekcji i informacji o domenie i to wszystko w jednym panelu.
Mitygacja
Integracja z rozwiązaniami pozwalającymi na zablokowanie takich stron, to ostatni element, aby rozwiązać zagrożenie. Brand Protector pozwala wysłać zgłoszenia o nadużyciach do własnej marki. Takie zgłoszenia wysyłane są do zewnętrznych partnerów wraz z całym materiałem dowodowym, co powoduje, że nie musimy sami kontaktować się ze wszystkimi dostawcami w celu blokady niebezpiecznej strony lub domeny. Cały status proces jest również widoczny w panelu.
Materiał przygotowany przez:
Damian Kuźma
Specjalista ds. Cyberbezpieczeństwa, Advatech sp. z o.o.