Bebiendo de la manguera de bomberos del dominio Coronavirus – Krebs on Stability


Los expertos en seguridad están estudiando miles de nuevos nombres de dominio con temas de Coronavirus registrados cada día, pero este esfuerzo guide a menudo lucha por mantenerse al día con la avalancha de dominios que invocan al virus para promover malware y sitios de suplantación de identidad, así como productos sanitarios y productos no existentes. organizaciones benéficas Como resultado, los registradores de nombres de dominio están bajo una presión creciente para hacer más para combatir las estafas y la información errónea durante la pandemia de COVID-19.

Según la mayoría de las medidas, el volumen de nuevos registros de dominio que incluyen las palabras «Coronavirus» o «Covid» ha seguido de cerca la propagación del virus mortal. los Coalición de amenazas cibernéticas (CTC), un grupo de varios miles de expertos en seguridad que ofrecieron voluntariamente su tiempo para combatir la actividad legal relacionada con COVID en línea, recientemente datos publicados mostrando el rápido aumento de nuevos dominios comenzó en la última semana de febrero, aproximadamente al mismo tiempo que Centros para el command de enfermedades comenzó a advertir públicamente que una pandemia mundial severa era probablemente unavoidable.

El número whole de dominios registrados por día que contienen un término relacionado con COVID-19, según DomainTools. La línea roja indica el recuento de dominios que DomainTools determinó que son «probablemente maliciosos». La línea azul se refiere a dominios que probablemente sean benignos.

«Desde el 20 de marzo, la cantidad de dominios riesgosos registrados por día ha disminuido, con un aumento notable alrededor del 30 de marzo», escribió John Conwell, principal científico de datos en Herramientas de dominio (un anunciante en este sitio). “Curiosamente, las organizaciones legítimas que crearon dominios en respuesta a la crisis COVID-19 estuvieron varias semanas detrás de la curva de los actores de amenazas que intentaban aprovechar esta situación. Este es un patrón que DomainTools no había visto antes en otras crisis «.

Vendedor de seguridad Sophos miró la telemetría desde los puntos finales del cliente para ilustrar la cantidad de nuevos dominios relacionados con COVID que realmente recibieron tráfico en los últimos tiempos. Como señaló la compañía, un desafío para identificar dominios potencialmente maliciosos es que muchos de ellos pueden permanecer inactivos durante días o semanas antes de ser utilizados para cualquier cosa.

Los datos del proveedor de seguridad Sophos, publicados por Cyber ​​Threat Coalition, muestran la cantidad de dominios con coronavirus o COVID-19 registrados por semana que recibieron tráfico.

«Podemos ver un aumento rápido y dramático de visitas a dominios potencialmente maliciosos que explotan la pandemia de Coronavirus semana tras semana, comenzando a fines de febrero», escribió Sophos » Loaded Harang. «Aunque todavía una minoría de las amenazas cibernéticas utilizan la pandemia como señuelo, algunos de estos nuevos dominios se utilizarán con fines maliciosos».

Portavoz de CTC Nick Espinosa dijo que el primer aumento en las visitas fue el 25 de febrero, cuando los miembros del grupo vieron alrededor de 4,000 visitas a los sitios que estaban rastreando.

«Las siguientes dos semanas a partir del 9 de marzo vieron un rápido crecimiento, y desde el 23 de marzo en adelante, estamos viendo entre 75,000 y 130,000 visitas por día de la semana, y alrededor de 40,000 los fines de semana», dijo Espinosa. “Al observar los datos recopilados, el patrón de visitas es más alto los lunes y viernes, y el recuento más bajo de visitas es el fin de semana. Nuestros datos muestran que prácticamente no hubo visitas de clientes en Dominios relacionados con COVID antes del 23 de febrero «.

Con sede en Milwaukee Mantener la seguridad ha estado publicando listas diarias y semanales de todos los registros de dominios relacionados con COVID-19 (sin ningún puntaje asignado). Aquí hay un gráfico que KrebsOnSecurity reunió en foundation a ese conjunto de datos, que también muestra un aumento masivo en los nuevos registros de dominio en la tercera semana de marzo, que se redujo considerablemente en las últimas semanas.

Datos: mantener la seguridad.

No todos están convencidos de que estamos midiendo las cosas correctas o de que las mediciones actuales son precisas. Neil Schwartzman, director ejecutivo del grupo antispam CAUCE, dijo que cree que las estimaciones de DomainTool sobre el porcentaje de nuevos dominios con temas de COVID / Coronavirus que son maliciosos son demasiado altos, y que muchos son probablemente benignos y registrados por personas bien intencionadas que buscan compartir noticias o sus propios pensamientos sobre el brote.

«Pero ahí está el problema», dijo. “Los malos se esconden entre los buenos de manera efectiva, por lo que cada uno debe ser revisado por su cuenta. Y eso es una cantidad sustancial de trabajo «.

Al mismo tiempo, dijo Schwartzman, centrarse exclusivamente en los dominios puede oscurecer el verdadero tamaño y alcance de la amenaza normal. Esto se debe a que los estafadores con frecuencia establecerán múltiples subdominios para cada dominio, lo que significa que un solo registro de dominio nuevo relacionado con COVID podría estar vinculado a una cantidad de sitios diferentes de estafa o maliciosos.

Los subdominios no solo pueden hacer que los dominios de phishing parezcan más legítimos, sino que también tienden a alargar el dominio para que las partes clave se salgan de la barra de URL en los navegadores móviles.

Con ese fin, dijo, quizás tenga más sentido centrarse en los nuevos registros de dominio que tienen certificados de cifrado vinculados a ellos, ya que la emisión de un certificado SSL para un dominio suele ser una señal de que está a punto de usarse . Como se señaló en historias anteriores aquí, aproximadamente el 75 por ciento de todos los sitios de phishing ahora tienen el candado (comience con «https: //»), principalmente porque los principales navegadores net muestran alertas de seguridad en sitios que no lo tienen.

Schwartzman dijo que más registradores de dominios deberían seguir el ejemplo de Los Ángeles Namecheap Inc., que el mes pasado comprometido para dejar de aceptar el registro automático de nombres de sitios world wide web que incluyen palabras o frases vinculadas a la pandemia COVID-19. Desde entonces, un puñado de otros registradores han dicho que planean revisar manualmente todos esos registros en el futuro.

los Corporación de Net para nombres y números asignados (ICANN), la organización que supervisa la industria de registradores, recientemente envió una carta instando a los registradores a ser más proactivos, pero no llegaron a exigir acciones específicas.

Schwartzman calificó la respuesta de ICANN como «té débil».

«Es absolutamente absurdo que ICANN no haya dado un paso adelante, y tendrán una gran responsabilidad por cualquier muerte que pueda ocurrir como resultado de todo esto», dijo Schwartzman. «Esta es una respuesta de CYA en el mejor de los casos, y no dicta a nadie que deben hacer nada».

Michael Daniel, presidente de la Alianza de amenazas cibernéticas – un grupo de la industria de seguridad cibernética que también ha estado trabajando para combatir el fraude relacionado con COVID-19 – estuvo de acuerdo, diciendo que se debe aplicar más presión a la comunidad de registradores.

«Es realmente difícil hacer algo al respecto a menos que los registradores den un paso al frente y hagan algo por su cuenta», dijo Daniel. «Es eso o el gobierno se involucra. Eso no significa que algunos (registradores) no estén haciendo lo que pueden, pero en common lo que está haciendo la industria no es tan rápido como los malos están generando estos dominios «.

Es posible que el gobierno de los EE. UU. Pronto se involucre más. A principios de esta semana, los senadores Cory Booker (D-N.J.), Maggie Hassan (D-N.H.) Y Mazie K. Hirono (D-Hawaii) cartas enviadas a ocho líderes de empresas de nombres de dominio, que exigen saber qué estaban haciendo para combatir la amenaza de los dominios maliciosos, y les instan a hacer más.

«Como los ciberdelincuentes y otros actores malévolos buscan aprovechar la pandemia de Coronavirus, es essential que los registradores de nombres de dominio como el suyo (1) ejerzan diligencia y se aseguren de que solo las organizaciones legítimas puedan registrar nombres de dominio y nombres de dominio relacionados con Coronavirus que hagan referencia a plataformas de comunicaciones en línea (2) actuar rápidamente para suspender, cancelar o finalizar los registros de dominios que están involucrados en actividades ilegales o perjudiciales y (3) cooperar con la policía para ayudar a llevar ante la justicia a los ciberdelincuentes que se benefician de la pandemia de coronavirus ”, escribieron los senadores.


Etiquetas: CAUCE, Centros para el Control de Enfermedades, COVID-19, Cyber ​​Threat Alliance, Cyber ​​Threat Coalition, domaintools, Hold Security, John Conwell, Michael Daniel, Neil Schwartzman, PhishLabs, Wealthy Harang, Sen. Cory Booker, Sen. Maggie Hassan, Senador Mazie K. Hirono, sophos

Esta entrada se publicó el jueves 16 de abril de 2020 a las 12:23 p.m. y se archiva en Últimas advertencias, The Coming Storm, Net Fraud 2..
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el ultimate y dejar un comentario. Pinging no está permitido actualmente.





Enlace a la noticia primary