Neden .US Birçoğumuz Kimlik Avı Amaçlı Kullanılıyor? – Güvenlik Konusunda Krebs


“.” ile biten alan adları.BİZYeni araştırmalar, kimlik avı dolandırıcılıklarında en yaygın olanların arasında ABD’nin en üst düzey alan adının yer aldığını gösteriyor. Bu dikkate değerdir çünkü .US, genellikle .US ile biten kimlik avı alan adlarının hedefi olan ABD hükümeti tarafından denetlenmektedir. Ayrıca .US alan adlarının yalnızca ABD vatandaşlarına ve ABD’de fiziksel varlık gösterebilen kişilere açık olması gerekmektedir.

.US, Amerika Birleşik Devletleri’nin “ülke kodu üst düzey alan adı” veya ccTLD’sidir. Düzinelerce ülkenin kendi ccTLD’leri vardır: örneğin Meksika için .MX veya Kanada için .CA. Ancak dünyadaki çok az sayıda büyük ülke, her yıl .US kadar çok sayıda kimlik avı alanına sahiptir.

Bu, birden fazla sektör kaynağından kimlik avı verileri toplayan ve en son trendler hakkında yıllık bir rapor yayınlayan Interisle Consulting Group’a göre. Interisle’ın en yeni çalışması, 1 Mayıs 2022 ile 30 Nisan 2023 arasındaki altı milyon kimlik avı raporunu inceledi ve 30.000 .US kimlik avı alanı bulundu.

.US tarafından denetlenmektedir Ulusal Telekomünikasyon ve Bilgi İdaresi (NTIA), bir yürütme organı ajansıdır. ABD Ticaret Bakanlığı. Ancak NTIA şu anda .US alan adının yönetimini GoDaddydünyanın açık ara en büyük alan adı kayıt kuruluşu.

NTIA düzenlemeleri uyarınca, .US kayıt yöneticisinin, müşterilerinin gerçekten Amerika Birleşik Devletleri’nde ikamet ettiğini veya ABD merkezli kendi kuruluşlarında ikamet ettiğini doğrulamak için belirli adımlar atması gerekir. Ancak Interisle, GoDaddy’nin bu inceleme sürecini yönetmek için yaptığı her şeyin doğru olmadığını tespit etti. çalışma.

Interisle, “.US ‘nexus’ gerekliliği teorik olarak kayıtları ulusal bağlantısı olan taraflarla sınırlıyor, ancak .US’ta çok yüksek sayıda kimlik avı alanı vardı” diye yazdı. “Bu, nexus gereksinimlerinin yönetimi veya uygulanmasıyla ilgili olası bir soruna işaret ediyor.”

Dekan Marks adlı bir grubun icra direktörü ve hukuk danışmanıdır. Çevrimiçi Sorumluluk KoalisyonuNTIA’nın .US yönetimini eleştiren bir yazı. Marks, nexus kısıtlamalarını uygulayan neredeyse tüm Avrupa Birliği üyesi devlet ccTLD’lerinin politikaları ve gözetimleri nedeniyle çok daha düşük düzeyde kötüye kullanımlara sahip olduğunu söylüyor.

Marks, KrebsOnSecurity’ye şunları söyledi: “Alan adı kayıtlarında .US’tan çok daha büyük bir pazar payına sahip olan Almanya için .de gibi çok büyük ccTLD’ler bile, kimlik avı ve kötü amaçlı yazılım da dahil olmak üzere çok düşük düzeyde kötüye kullanım içeriyor.” “Benim görüşüme göre, .US ile ilgili bu durum genel olarak ABD hükümeti veya ABD halkı tarafından kabul edilebilir olmamalıdır.”

Marks, .HU (Macaristan), .NZ (Yeni Zelanda) ve .FI (Finlandiya) gibi diğer ccTLD’lerde kayıtları vatandaşlarına da kısıtlayan çok az sayıda kimlik avı alan adının bulunduğunu söyledi. kimlik belgesi veya kuruluş belgesi gereklidir.

Marks, “Veya .LK (Sri Lanka), kabul edilebilir kullanım politikası, alan adlarının şüpheli etkinlik nedeniyle bildirilmesi durumunda ‘kilitleme ve askıya alma’yı içerir” dedi. “Bu ccTLD’ler, kamu güvenliği adına alan adı tescil ettirenlerin doğrulanması için güçlü bir örnek oluşturuyor.”

Ne yazık ki .US yıllardır kimlik avı faaliyetlerinin çöplüğü haline geldi. 2018 yılında Interisle, .US alan adlarının spam, botnet (DDOS vb. için saldırı altyapısı) ve yasa dışı veya zararlı içerik açısından dünyadaki en kötü alan adları olduğunu tespit etti. O zamanlar .US farklı bir yüklenici tarafından işletiliyordu.

KrebsOnSecurity’den gelen sorulara yanıt olarak GoDaddy, tüm .ABD’li kayıt sahiplerinin NTIA’nın nexus gereksinimlerini karşıladıklarını onaylamaları gerektiğini söyledi. Ancak bu, tüm yeni kayıt yaptıranlar için önceden seçilmiş olan olumlu bir yanıttan biraz daha fazlası gibi görünüyor.

Örneğin, bir .US alan adını GoDaddy aracılığıyla kaydettirmeye çalışmak, nexus onay alanını “Ben Amerika Birleşik Devletleri vatandaşıyım” yanıtıyla otomatik olarak dolduran bir ABD Kayıt Bilgileri sayfasına yönlendirir. Diğer seçenekler arasında “ABD’de daimi ikamet ediyorum” ve “Birincil ikametgahım ABD’de” yer alıyor.

GoDaddy ayrıca seçilen kayıt talebi bilgilerinin tarandığını ve tescil ettiren bilgileri üzerinde “yerinde kontroller” gerçekleştirdiğini söyledi.

Şirket yazılı bir açıklamada, “Nexus’un kayıt şirketleri ve tescil ettirenlerle devam eden iletişimlere uygunluğunu belirlemek için Kayıt Veritabanındaki kayıt verilerini politikaya göre düzenli olarak inceliyoruz” dedi.

GoDaddy, “daha güvenli bir çevrimiçi ortamı desteklemeye ve bu sorunu kendi kötüye kullanım önleme sistemimize göre değerlendirerek proaktif bir şekilde ele almaya kararlı olduğunu” söylüyor.

Açıklamada şöyle devam edildi: “DNS’in kötüye kullanılmasına her türlü karşı çıkıyoruz ve işlettiğimiz tüm TLD’leri korumak için birden fazla sistem ve protokolü sürdürüyoruz.” “Bu karmaşık zorlukta ilerleme kaydetmek için kayıt şirketleri, siber güvenlik firmaları ve diğer paydaşlarla çalışmaya devam edeceğiz.”

Interisle, önemli sayıda .US alan adının ABD’nin önde gelen şirketlerinden bazılarına saldırmak amacıyla kaydedildiğini tespit etti. Amerika Bankası, Amazon, Elma, AT&T, Citi, Comcast, Microsoft, MetaVe Hedef.

Interisle, “İronik bir şekilde, verilerimizdeki .US alan adlarından en az 109’u ABD hükümetine, özellikle de ABD Posta Servisi’ne ve onun müşterilerine saldırmak için kullanıldı” diye yazdı. “.US alan adları aynı zamanda yabancı hükümet operasyonlarına saldırmak için de kullanıldı: altı .US alan adı Avustralya hükümet hizmetlerine saldırmak için kullanıldı, altısı Büyük Britanya’nın Royal Mail’ine, biri Canada Post’a ve biri de Danimarka Vergi Dairesine saldırdı.”

NTIA kısa süre önce GoDaddy’nin kayıtlı verilerini WHOIS kayıt kayıtlarından çıkarmasına izin verecek bir teklif yayınladı. .US için mevcut sözleşme, tüm .US kayıt kayıtlarının herkese açık olmasını belirtir.

Interisle, yeni .US alan adı tescil ettirenler için Amerika Birleşik Devletleri bağlantı noktasını doğrulamaya yönelik daha sıkı çabalar olmadan, NTIA’nın teklifinin kimlik avı yapanları tespit etmeyi ve tescil ettirenlerin kimliklerini ve bağlantı noktası niteliklerini doğrulamayı daha da zorlaştıracağını savunuyor.

NTIA henüz yorum taleplerine yanıt vermedi.

Interisle, kimlik avı verilerini Kimlik Avı Koruması Çalışma Grubu (APWG), OpenPhish, PhishTank ve Spamhaus dahil olmak üzere çeşitli yerlerden alır. Kimlik avı ile ilgili daha fazla gerçek için Interisle’ın 2023 Kimlik Avı Ortamı raporuna (PDF) bakın.



Source link