Érdekes jelenségre figyeltek fel biztonsági kutatók. A bűnözők által bejegyzett adathalász domének között az .es, azaz spanyol oldalak száma az idén év elejétől váratlanul tizenkilencszeresére nőtt, így a listán már a harmadik a .com és a .ru végződések mögött.

Cofense szakértői szerint az .es TLD-vel való visszaélés idén januárban kezdett elterjedni, és májusra már 1373 aldomain tárolt kártékony weboldalakat 447 .es alapdoménen. Ezek döntő többségének (99%) hitelesítő adatok ellopása, és mindössze a maradék 1%-nak kártékony (RAT és/vagy ransomware) kódok terjesztése volt a célja.

A leggyakoribb adathalász támadások a Microsoft nevével (pl. Outlook, Office 365) próbált visszaélni, és az ezekhez tartozó belépési adatokat ellopni.

Az adathalász levelek főleg munkahelyi témájúak voltak, például HR-es megkeresések vagy valamilyen sürgős dokumentum kézhezvételére vonatkozó kérések, és ezek az üzenetek sokszor már szépen, szabatosan megfogalmazott, hitelesnek tűnő üzenetek voltak.

Ami viszont mindenképpen intő jelként kiemelhető, hogy a hamis webcímek többsége szembetűnően generált, azaz valamilyen zagyva betű és számhalmaz volt, nem pedig értelmes szó, vagy az eredetire bármennyiben is hasonlító URL, például "md6h60[.]hukqpeny[.]es".

2010. óta bárki (helyi/külföldi magánszemély vagy cég) szabadon regisztrálhat .es végződésű domént, ehhez elég egy személyi azonosítót (személyi igazolvány-, útlevélszám, vagy cég esetén adószám) megadnia. Egyértelmű megfejtés nincs a dologra, de ami emellett biztosan nagyban megkönnyíthette még az elkövetők dolgát, a spanyol internethelyzetből fakadó gyenge e-mail-hitelesítés, a DNS-átirányításos hamisítások felismerésének hiányosságai, illetve a percek alatt készíthető Cloudflare-alapú hosting és az automatizált (API) domainregisztrációs laza lehetőségek is segíthették a jelenséget.

Az effajta támadások gyakori költséghatékony eleme a dinamikusan generált, nehezen listázható phishing célú aldomének tömeges létrehozása, ami ellen biztosan segíthetne a jelenleginél szigorúbb szabályozás, illetve fejlettebb észlelési mechanizmusok bevezetése.

Adathalászat elleni részletes tanácsokat korábban itt a blogon már többször is megfogalmaztunk, legutóbb például itt.

Ami még ehhez az esethez tartozik, hogy a kutatók szerint a .com és .ru doméneken kívül az éppen aktuális felfutó népszerű TLD-k helyzete negyedévről negyedévre rendszeresen változik, így ez a mostani ugrásszerű növekedés is vélhetően sokkal inkább pillanatkép, mintsem hosszútávú tendencia.