V tomto blogpostu bych rád volně navázal na starší článek o boji s phishingem v doméně .CZ, který shrnul situaci v uplynulém roce. Smutnou skutečností je, že počty útoků založených na různých formách sociálního inženýrství stále narůstají. Již nyní jsme v našich statistikách u položky Phishing překonali celkový počet roku předchozího.
Do položky phishing zahrnujeme nejen typicky phishingové weby, ale také podvodné investiční „příležitosti“, falešné e-shopy a podobné. Pokud jde o samotnou doménu .CZ, v tomto roce jsme zatím řešili 125 podezřelých .CZ domén, z nichž jsme 114 po kontrole vyřadili ze zóny .CZ a o 4 domény jsme tak již překročili počet domén vyřazených v minulém roce. Nicméně se zdá, že se nám podařilo dosáhnout Pyrrhova vítězství, poslední námi evidovaná phishingová doména byla vyřazena ze zóny 16. 8. 2023. Od té doby se phishing cílící na české uživatele přesunul na zahraniční domény, kde je jeho zrušení obvykle zdlouhavější. Lze však doufat, že použití jiných domén než .CZ u pobídky k čerpání sociální podpory by snad mohlo aspoň část uživatelů varovat.
Aby to bylo zajímavější, rozhodl jsem se podívat také na data, která pravidelně publikuje Domain Name System (DNS) Abuse Institute, což je instituce založená neziskovou společností Public Internet Registry, která je provozovatelem .ORG domény. Tato společnost vydává zajímavé statistiky o doménách záměrně registrovaných za účelem jejich zneužití a v průběhu tohoto roku začala vydávat statistiky i pro jednotlivé národní domény (ccTLD). Rovnou mohu říci, že pro nás tyto statistiky vycházejí velmi lichotivě. V každém ze zveřejněných období jsme se pohybovali mezi registry s nejmenším počtem záměrně registrovaných škodlivých domén na 100 000 spravovaných domén. V březnu, ze kdy jsou dostupné první výsledky, a v červnu jsme měli méně než 5 registrovaných škodlivých domén celkově a tudíž jsme v žebříčku nebyli vůbec. V dubnu jsme pak měli 13 domén, v květnu 7 domén a v červenci 6.
Duben 2023
Květen
Červenec
Je tu však jeden drobný háček, když spočítáme po měsících námi vyřazené phishingové domény, je to v březnu 28 domén, v dubnu 2 domény, v květnu žádná, v červnu 2 a v červenci 1 doména. Škoda, že DNS Abuse institut nezveřejňuje data pro jednotlivé TLD od začátku roku, kdy jsme identifikovali největší množství phishingových domén. Bylo by zajímavé vidět, zda se i v lednu a v únoru budou naše data takto rozcházet. Pro úplnost je třeba dodat, že my jsme rušili pouze phishingové domény, kdežto statistiky DNS Abuse zahrnují phishing i domény šířící malware. Pokusili jsme se od DNS Abuse získat více informací, ale zatím nám potřebná data nedodali. Pokud nám je poskytnou, rádi bychom naše data porovnali s jejich a pokud budou výsledky zajímavé, určitě se o ně podělíme. Celá věc také vyvolává jednu otázku a to, zda o březnové dávce škodlivých domén DNS Abuse nevěděl, protože jsme reagovali dostatečně rychle, a nebo zda o nich nevěděl, protože .CZ domény s obsahem cílícím na české občany jsou mimo rozpoznávací možnosti běžných blacklistů. To druhé by mohl být problém pro produkty, které na blacklistech staví své služby. Konkrétně DNS Abuse využívá eCrime Exchange od APWG, dále Phishtank, OpenPhish a URLHaus.