Подмена веб-сайта - это действие по созданию веб-сайта, как мистификация с намерением ввести читателей в заблуждение о том, что сайт был создан другим лицом или организацией. Как правило, поддельный веб-сайт принимает дизайн целевого веб-сайта и иногда имеет аналогичный URL-адрес. Более изощренная атака приводит к тому, что злоумышленник создает «теневую копию» Всемирной паутины, поскольку весь трафик жертвы проходит через машину злоумышленника, в результате чего злоумышленник получает конфиденциальную информацию жертвы.
Другой метод заключается в использовании «скрытого» URL-адреса. Используя переадресацию домена или вставляя управляющий символ, URL-адрес может выглядеть подлинным, скрывая при этом фактический адрес вредоносного веб-сайта. Punycode также можно использовать для этой цели. Атаки на основе Punycode используют одинаковые символы в разных системах письма в общих шрифтах. Например, на одном крупном шрифте греческая буква тау (τ) внешне похожа на латинскую нижнюю букву t. Однако греческая буква тау представлена в punycode как 5xa, а латинская нижняя буква просто представлена как t, поскольку она присутствует в системе ASCII. В 2017 году исследователю безопасности удалось зарегистрировать домен xn-80ak6aa92e.com и показать его в нескольких основных браузерах как apple.com. Хотя используемые символы не принадлежали латинскому сценарию, из-за шрифта по умолчанию в этих браузерах конечным результатом были нелатинские символы, которые были неотличимы от символов латинского алфавита.
Цель может быть мошеннической, часто связанной с фишингом или спуфингом электронной почты, а также с критикой или высмеиванием человека или организации, чей веб-сайт является поддельным. претендует на представление. Поскольку цель часто бывает злонамеренной, «обман» (выражение, базовое значение которого - невинная пародия) - плохой термин для этой деятельности, поэтому более подотчетные организации, такие как правительственные ведомства и банки, склонны избегать ее, предпочитая более явные дескрипторы, такие как « мошеннический »или« фишинг ».
В качестве примера использования этого метода для пародии организации в ноябре 2006 года можно назвать два поддельных веб-сайта, www.msfirefox.com и www.msfirefox. net, утверждалось, что Microsoft купила Firefox и выпустила «Microsoft Firefox 2007».
Поддельные веб-сайты преобладают при разработке антифишингового программного обеспечения хотя есть опасения по поводу их эффективности. Большая часть усилий сосредоточена на рынке ПК, в результате чего мобильных устройств не хватает. Из приведенной ниже таблицы видно, что было проведено несколько пользовательских исследований с использованием имеющихся на рынке инструментов.
Средство | Средства связи | Устройство | Тип меры | Показатели производительности | Проведено исследование пользователей? |
Антифишинг | Надстройка веб-сайта / браузера | ПК | Соответствие профиля / история использования | - | - |
BogusBiter | Надстройка веб-сайта / браузера | ПК | Аутентификация клиент-сервер | Задержка загрузки страницы | Нет |
Cantina + | Надстройка веб-сайта / браузера | ПК | Машинное обучение / классификация | TPR ≈ 0,92 FPR ≈ 0,040 | Нет |
Quero | Надстройка для веб-сайта / браузера | ПК | Анализ текста / регулярные выражения | - | - |
Itrustpage | Надстройка веб-сайта / браузера | ПК | Соответствие профиля / черный список | Точность = 0,98 | Да |
SpoofGuard | Веб-сайт | ПК | Соответствие профиля / шаблон | TPR≈0,972, Точность ≈0,67 | Нет |
PhishZoo | Веб-сайт | ПК | Соответствие профиля / шаблон | Точность ≈0,96, FPR≈0.01 | Нет |
B-APT | Веб-сайт | ПК | Машинное обучение / классификация | Задержка загрузки страницы ≈ 51,05 мс, TPR≈1, FP≈0,03 | Нет |
PhishTester | Веб-сайт | ПК | Соответствие профиля / шаблон | FNR≈0,03, FPR≈0 | Нет |
DOM AntiPhish | Веб-сайт | ПК | Соответствие профиля / макет | FNR≈0, FPR≈0,16 | Нет |
GoldPhish | Веб-сайт | ПК | Поисковые системы | TPR≈0,98, FPR≈0,02 | Нет |
PhishNet | Веб-сайт | ПК | Соответствие профиля / черный список | FNR≈0,05, FPR≈0,03 | Нет |
PhorceField | Веб-сайт | ПК | Аутентификация клиент-сервер | Потерянные биты безопасности на пользователя = 0,2 | Да |
PassPet | Веб-сайт | ПК | Соответствие профиля / история использования | Безопасность и удобство использования | Да |
PhishGuard | Веб-сайт | ПК | Аутентификация клиент-сервер | - | - |
PhishAri | Социальная сеть | ПК | Машинное обучение / классификация | Точность = 0,95, Напоминание = 0,92 | Да |
MobiFish | Мобильный | Смартфон | Соответствие профиля / макет | TPR≈1 | Нет |
AZ-protect | Веб-сайт | ПК | Машинное обучение / классификация | Точность = 0,97, Отзыв = 0,96 | Нет |
eBay AG | Надстройка для веб-сайта / браузера | ПК | Машинное обучение / классификация | Precision = 1, Recall = 0,55 | Нет |
Netcraft | надстройка веб-сайта / браузера | ПК | Соответствие профиля / blacklist | Точность = 0,99, Напомнить = 0,86 | Нет |
EarthLink | Надстройка веб-сайта / браузера | ПК | Соответствие профиля / черный список | Точность = 0,99, Отзыв = 0,44 | Нет |
IE Filter | Надстройка веб-сайта / браузера | ПК | Соответствие профиля / черный список | Точность = 1, Отзыв = 0,75 | Нет |
FirePhish | Надстройка для веб-сайта / браузера | ПК | Соответствие профиля / черный список | Точность = 1, Напоминание = 0,77 | Нет |
Sitehound | Веб-сайт / надстройка браузера | ПК | Соответствие профиля / черный список | Точность = 1, Отзыв = 0,23 | Нет |
DNS - это уровень, на котором ботнеты управляют дронами. В 2006 году OpenDNS начал предлагать бесплатную услугу по предотвращению входа пользователей на сайты подделки. По сути, OpenDNS собрал большую базу данных от различных организаций по борьбе с фишингом и ботнетами, а также собственные данные для составления списка известных нарушителей спуфинга веб-сайтов. Когда пользователь пытается получить доступ к одному из этих плохих веб-сайтов, они блокируются на уровне DNS. Статистика APWG показывает, что в большинстве фишинговых атак используются URL-адреса, а не доменные имена, поэтому будет происходить большое количество подделок веб-сайтов, которые OpenDNS не сможет отследить. На момент выпуска OpenDNS не может предотвратить неназванные фишинговые эксплойты, которые используются в Yahoo, Google и т. Д.