CSI (Cyber Security Intelligence) è il servizio di Threat Intelligence di CYBEROO, basato su Open Source Intelligence. Il suo obiettivo è quello di rilevare, raccogliere e analizzare informazioni e dati sensibili presenti nel Deep e Dark Web, a protezione dei sistemi aziendali.
Per fare questo, CSI si compone di diversi moduli volti a garantire un servizio preciso, rapido e proattivo. Uno di questi moduli, il Domain Checker, ha lo scopo di identificare e neutralizzare i domini malevoli.
Domain Checker: il monitoraggio dei domini malevoli
Un dominio malevolo è tipicamente un URL che presenta una somiglianza apparente con un dominio legittimo di una determinata azienda o ente. Dietro a questo URL però si possono celare tecniche di pharming, phishing, spoofing dell’identità, e altre tipologie di truffa a danno dell’utente.
Il phishing, in particolare, può causare danni significativi, dato che i criminali informatici utilizzano spesso domini malevoli per imitare le pagine di login fidate e rubare preziose credenziali agli utenti ignari. L’utilizzo del dominio per inviare mail per conto di qualcun altro ad una vittima designata è un’altra grave minaccia rappresentata da questi domini. Questo attacco, in particolare, sfrutta l’immagine delle aziende, per colpire aziende terze. Pertanto, l’azienda “clonata” spesso non è nemmeno a conoscenza dell’attacco che sta avvenendo tipicamente sui suoi clienti o fornitori.
Il Domain Checker di CSI consente di monitorare e raccogliere informazioni su tutti i possibili domini malevoli registrati online.
Come riconoscere un dominio malevolo? Quali sono le tecniche utilizzate per crearne di somiglianti a quelli legittimi?
Le tecniche per creare domini malevoli sono tante e tutte diverse, seppur si basino sullo stesso concetto: tentare di ingannare l’utente in modo “invisibile”. Prendiamo come esempio di partenza il dominio “InternationalBank.com”.
- Homoglyph: la sostituzione di alcuni caratteri con altri che vi assomigliano, come la lettera O e lo zero (‘0’), oppure la “i” maiuscola (I) e la lettera minuscola “l” (L), che appaiono identici in un font sans serif (come Calibri). “InternationaIBank.com”, avendo sostituito la “L” minuscola (l) con la “I” maiuscola.
- Hyphenation: l’aggiunta del simbolo “–“ che unisce due parole o due parti di una parola, all’interno del dominio. Es. “International-Bank.com”.
- Omission: la rimozione di un carattere poco visibile all’interno dell’URL. Es. “InternatonalBank.com”, avendo tolto la “i”.
- Transposition: l’alterazione delle posizioni dei caratteri senza modificare i caratteri stessi. Es. “IntrenationalBank.com”.
Threat Intelligence: gli step di analisi per riconoscere un dominio malevolo
Le analisi sono svolte in termini di proprietà del dominio che possono indicare la probabilità che sia stato registrato con intenti malevoli. Vediamone i principali step.
- Query Whois, per identificare le caratteristiche del dominio
- Verificare i Record DNS
- Controllare la reputazione dell’indirizzo IP
- Fare una analisi comportamentale
- Verificare i feedback degli utenti
- Analizzare il codice sorgente e i collegamenti esterni del sito
- Controllare i certificati SSL
Per combattere le principali minacce informatiche che si possono celare dietro un dominio, CYBEROO ha sviluppato un portale interno che consente ai nostri Security Operations Centers (SOC) di essere allertati non appena è identificato un potenziale dominio malevolo. I nostri SOC, operando h24, possono gestire lo spegnimento di questi domini in tempi molto brevi attraverso il nostro portale.
Inoltre, come CERT (Computer Emergency Response Team), abbiamo la capacità di prendere misure dirette contro queste minacce. Questa combinazione di identificazione proattiva e risposta veloce ci permette di neutralizzare i domini malevoli prima che possano causare danni significativi.
Cyberoo è orgogliosa di offrire queste funzionalità di sicurezza avanzate a tutti i clienti. Con la soluzione CSI, stiamo garantendo che le infrastrutture critiche delle aziende rimangano al sicuro dalle minacce informatiche sempre in evoluzione. Promettiamo di continuare ad innovare e proteggere il vostro mondo digitale, oggi e in futuro.