Underdomänernas värld

Underdomänernas värld

Domännamnet är själva grundstenen i en webbegendom och gör det möjligt för ägaren (registranten) att skapa och driva en tillhörande webbplats. Det går även att skapa ett valfritt antal underdomäner till en domän. Rent tekniskt sker detta genom att man konfigurerar poster på den auktoritativa DNS-servern. Ett underdomännamn kommer före domännamnet i webbadressen och efterföljs av en punkt (t.ex. ”blog” i adressen https://blog.cscglobal.com/). Det finns en rad olika användningsområden för underdomäner. Man kan till exempel skapa enskilda mikrowebbplatser för undervarumärken eller kampanjer, eller så kan man skapa regions- eller ämnesspecifika undersajter. Det finns även internetleverantörer som säljer färdiga underdomäner till sin egen huvuddomän, så att användarna kan skapa webbplatser där (t.ex. blogspot.com, där användare kan registrera webbadresser av typen användarnamn.blogspot.com för en personlig blogg).

Missbruk av underdomännamn i allmänt internetinnehåll

Varumärkesnamn och andra relevanta nyckelord kan missbrukas på en rad olika sätt i underdomännamn i webbadresser som innehas av tredje part. Detta är något man behöver vara uppmärksam på ur varumärkesbevakningssynpunkt. Här är några typer av hot:

  • En underdomän kan användas för att få sökmotorerna att driva trafik till tredje parts innehåll istället för till ett varumärkes legitima webbplats
  • En underdomän kan användas för att skapa en webbplats som utger sig för att ha en anknytning till varumärket
  • Varumärkets anseende kan skadas – t.ex. genom att någon skapar webbplatser med information, kundkommentarer eller aktivistmaterial om det aktuella varumärket
  • En underdomän kan även användas för att skapa en webbadress som är förvillande lik ett varumärkes officiella webbadress (t.ex. för bedrägliga aktiviteter, phishing eller spridning av skadeprogram)

Underdomäner som innehåller namnet på ett varumärke kan förvilla internetanvändare – och på så sätt fungera som en hotvektor – eftersom de liknar välkända, legitima webbadresser. Den påhittade och icke-officiella domänen cscglobal.blog.com skulle till exempel kunna användas för att skapa en övertygande men falsk version av den officiella webbplatsen blog.cscglobal.com.

De senaste månaderna har vi kunnat se ett antal (ofta sms-baserade) phishing-attacker som använt en särskild metod för att skapa en mycket övertygande, bedräglig webbadress[1],[2], som du kan se i exemplet i Bild 1.

Bild 1: En sms-baserad phishing-attack som riktades mot HSBC:s kunder 2021

I den här attacken, som riktades mot HSBC:s kunder i Storbritannien, innehåller underdomänen bankens namn och domännamnet börjar med ”uk-” (uk-account.help). Resultatet blir en webbadress som är väldigt lik bankens riktiga adress, hsbc.co.uk/account-help. Dessutom använder länken HTTPS-protokollet, som tidigare var ett kännetecken på pålitliga adresser. Numera används det även av mer än 80 procent av alla phishingsajter,[3] eftersom det har blivit enkelt att skaffa sig gratis SSL-ceritifikat. Denna metod är särskilt effektiv av ett antal skäl, bland annat därför att man använder en ny generisk toppdomän som troligen är obekant för en del användare och därför att mobila enheter ofta lägger in en radbrytning efter bindestreck. Zonfilsanalyser visar att det finns hundratals nyregistrerade generiska toppdomäner med ett liknande format som skulle kunna användas för att lura användare. Några exempel är uk-authorization-online.support, uk-gov.tax, uk-insurance.claims, uk-border.agency och uk-lottery.win.

Andra färska exempel på underdomäner som utnyttjar varumärken i phishingsyfte är hermes.online-parcel-reschedule.com (liknar logistikföretaget Hermes) och o2.billing9k7j.com (liknar telekomkoncernen O2). Genom denna typ av attacker slipper bedragaren registrera ett varumärkesspecifikt domännamn (vilket varumärkesägaren lättare kan upptäcka via en enkel domänbevakningstjänst). I många fall är huvuddomänens WHOIS-uppgifter anonymiserade, vilket gör det svårt att påvisa kopplingar mellan olika fall. Dessutom registreras domänerna ofta precis före attacken och används endast under en kort period för att minimera risken för upptäckt och nedstängning.

Generellt sett är det svårare att upptäcka att ett varumärke används i underdomäner till en tredje parts webbplats än i själva domännamnet, vilket ofta kan upptäckas genom att man gör jokersökningar i registrens zonfiler. Det enklaste sättet att hitta underdomäner är att göra en metasökning i sökmotorerna, förutsatt att underdomänerna har inkommande länkar från andra webbplatser och har indexerats av sökmotorerna. Som komplement kan man även använda andra tekniker, till exempel en detaljerad analys av information om konfiguration av domänzoner (t.ex. passiv DNS-analys), analys av certifikattransparens (CT) eller specifika sökningar på vissa domäner för att kontrollera om vissa underdomäner existerar.

Andra problem gäller de internetleverantörer som nämndes tidigare och som säljer färdiga underdomäner, eftersom dessa inte alltid regleras av Internet Corporation for Assigned Names and Numbers (ICANN) och därför inte har några förfaranden för tvistlösning och missbruksrapportering eller någon form av WHOIS-dokumentering.

När man överväger bekämpning mot underdomäner som gör intrång är alternativen ofta relativt begränsade – särskilt om man jämför med de möjligheter som finns när det gäller domännamn. Ibland är det möjligt att få respons från registret, registratorn, värdtjänsten eller DNS-leverantören, men dessa är inte alltid skyldiga att vidta åtgärder. Vidare är det inte säkert att etablerade tvistlösningsförfaranden, som Uniform Domain-Name Dispute-Resolution Policy (UDRP), kan användas för underdomäner. Det finns ändå några undantag, till exempel när det gäller vissa nya generiska toppdomäner som använder en landskod som värddomännamn (t.ex. jp.com) eller som begränsas av andra skäl (t.ex. av Dispute Resolution Service som gäller för toppdomänen .nz). Sista utvägen är ofta att gå till domstol.[4]

Slutligen kan brottslingar använda falska domäner i kombination med MX-poster som innehåller jokertecken (och som gör att domänägaren kan ta emot e-post som skickas till domänens samtliga underdomäner) för att fånga upp e-post som skickas till betrodda organisationer, och därigenom stjäla känslig information. Detta är möjligt när mottagarens e-postadress har stavats fel (t.ex. innehåller en extra punkt). Ett väl valt domännamn kan möjliggöra attacker mot en rad olika organisationer (exempelvis kan *.bank.[TLD] användas för att samla in feladresserade meddelanden som skickas till vilken som helst organisation som har ett officiellt domännamn enligt formatet [brand]bank.[TLD]).

Underdomäner till varumärkesägarens egna officiella domäner

Det är också mycket viktigt att skydda de underdomäner som varumärkesägaren själv har skapat till sina egna domäner.

Kapning av underdomäner

En varumärkesägare kan vilja använda underdomäner till sina officiella webbplatser av en rad olika anledningar, som vi nämnt tidigare. Men när man registrerar många underdomäner – IBM® har cirka 60 000 och Microsoft® över 120 000 – krävs det också mycket arbete för att hantera dessa. Det finns flera risker förbundna med egna underdomäner. Bland annat kan illasinnade aktörer ta över underdomäner genom att utnyttja värdtjänster som löpt ut (känt som ”dinglande DNS”), felkonfigurerad DNS eller behöriga men opålitliga användare. De kan även genomföra så kallade farmningsattacker (DNS-förgiftning), som innebär att underdomänens poster modifieras så att trafiken omdirigeras till en falsk IP-adress. Bedragaren kan då skapa falska webbplatser, ladda upp innehåll, övervaka trafik och hacka företags officiella system.[5] En undersökning 2021 identifierade över 1 500 sårbara underdomäner till 50 000 av världens viktigaste webbplatser.[6]

Media har på senare år rapporterat om ett antal företag som har blivit utsatta för sådana här attacker. Bland annat har officiella underdomäner kapats för att omdirigera trafik till innehåll med skadeprogram, pornografi och spelrelaterat material. Underdomäner till Xerox hemsida användes till exempel 2020 för att driva trafik till sidor som sålde förfalskade varor. Den officiella företagsdomänens anseende utnyttjades för att det skadliga innehållet skulle rankas högre av sökmotorerna.[7] Ett annat fall gällde GoDaddy® som under 2019 fick stänga ner 15 000 underdomäner som utnyttjades i en enorm spamkampanj för försäljning av förfalskade produkter.[8]

Varumärkesägare kan hantera dessa hot genom att analysera sin egen domänportfölj och vara uppmärksamma på underdomäner som pekar mot externa IP-adresser.

Domänskuggning

En annan risk är att brottslingar kan skapa nya, inofficiella underdomäner till officiella webbplatser genom att göra ändringar i DNS med hjälp av phishing eller ordboksattacker – en metod som brukar kallas ”domänskuggning”. Denna metod kan även användas för att driva användare till riskfyllt innehåll, medan man utnyttjar det skydd det innebär att ha en betrodd webbplats som värd (t.ex. för att kringgå blockering). I ett känt exempel angreps ett antal domäner (främst registrerade via GoDaddy), och över 40 000 underdomäner skapades som pekade mot ryska IP-adresser som innehöll en rad olika skadeprogram.[9],[10]

Denna typ av attack kan vara svår att upptäcka, dels för att det inte krävs några ändringar på den officiella webbplatsens server, dels för att det falska innehållet vanligtvis ligger hos en extern värd. Skadan kanske inte märks förrän användarna börjar klaga eller den officiella domänen hamnar på en blockeringslista på grund av den skadliga aktiviteten. Kraftfulla säkerhetsåtgärder krävs för att förhindra detta, bland annat bör man använda starka lösenord och tvåfaktorsautentisering.[11]

En relaterad attackvektor är användningen av DNS-poster med jokertecken, som kan leda till att vilket som helst underdomännamn kan användas för att omdirigera besökare till en skadlig extern IP-adress. Illasinnade aktörer kan använda slumpmässiga och ständigt nya underdomäner för att kringgå blockeringslistor som bygger på värdnamn (t.ex. i koordinerade phishingkampanjer). Denna typ av attack kan riktas mot såväl officiella (komprometterade) domäner som tredjeparts (fristående) domäner.[12]

Varumärkesägare bör skydda sig mot dessa hot genom att använda en robust domänskyddsstrategi i kombination med ett omfattande program för varumärkesbevakning och intrångsbekämpning.

Vi ser fram emot en pratstund

Fyll i vårt kontaktformulär om du vill prata med en av våra specialister om domänövervakning, bedrägeriskydd eller åtgärder mot missbruk av domännamn.


[1] cscdbs.com/blog/phishing-scams-how-to-spot-them/

[2] thewebisround.xyz/2021/06/28/the-reality-behind-the-smishers/

[3] docs.apwg.org/reports/apwg_trends_report_q2_2021.pdf

[4] worldtrademarkreview.com/enforcement-and-litigation/subdomains-and-online-brand-protection-what-you-need-know-long-read

[5] networkworld.com/article/3623949/don-t-let-subdomains-sink-your-security.html

[6] eurekalert.org/news-releases/698257

[7] theregister.com/2020/07/07/microsoft_azure_takeovers/

[8] techradar.com/news/godaddy-shuts-down-15k-subdomains-used-in-massive-spam-campaign

[9] domaintools.com/resources/blog/domaintools-101-dns-shadow-hack-attacked

[10] threatpost.com/40000-subdomains-tied-to-rig-exploit-kit-shut-down/126072/

[11] encyclopedia.kaspersky.com/glossary/domain-shadowing/

[12] phishlabs.com/blog/phishing-with-wildcard-dns-attacks-and-pharming/