Полтора года назад мир начал осознавать, что COVID-19 принимает глобальные масштабы. К сожалению, одновременно это осознание пришло и к злоумышленникам, которые используют инфоповоды для привлечения трафика к своим злонамеренным сайтам. В ответ офис технического директора ICANN (OCTO) создал инструмент сбора и регистрации информации об угрозах безопасности доменным именам (DNSTICR), который представляет собой инструмент отчетности об угрозах безопасности системе доменных имен (DNS), связанных с COVID-19.
Выявление случаев фишинга и наличия вредоносного ПО в строках доменов общего пользования, особенно в тех, которые были локализованы с точки зрения языка или контекста — задача сложная. OCTO в своей работе в рамках проекта DNSTICR выполняет поиск терминов по итогам регистрации новых доменных имен, связанных с COVID-19, определяет количество явно вредоносных доменных имен и передает отчеты о них регистраторам, у которых они зарегистрированы. Подробно эта работа описана здесь.
Максимальное количество доменов, связанных с COVID-19, было зафиксировано нами 4 апреля 2020 года, когда за один день было зарегистрировано 5,543 новых домена. Эта цифра резко падала в течение мая и июня, и с тех пор кривая в целом выровнялась.
Из 210 939 доменов, связанных с пандемией, отмеченных в период с мая 2020 года по август 2021 года, большинство были «доброкачественные» или не имели плохой репутации. Всего в отчеты от провайдеров услуг проверки репутации доменов вошли 12 860 (6,1%) доменов. Если задать еще более жесткие параметры при составлении этой подборки доменов, включив в нее только те, относительно которых у нас есть высокая степень уверенности или множество доказательств, остается 3 791 доменов (1,8% регистраций, связанных с пандемией).
Это отражает различия между тем, какое количество доменов может быть обозначено как «подозрительные» и тем, относительно какого количества доменов у нас есть доказательства злоупотреблений.
Тенденции
Мы видим и другие тенденции на собираемых нами данных. Например, на ранних этапах термин «корона» был одним из наиболее часто употребляемых при регистрации, но, начиная с апреля, его начал заменять термин «ковид». Если посмотреть на все 18 месяцев, доминирует слово «ковид», так как используется в почти 25% проанализированных нами регистраций.
Более редко встречающиеся термины также бывают разные в разные периоды времени. Например, слово «вакцина» составляет всего 4% нашей общей подборки, но мы видим, что количество соответствующих регистраций начало расти в ноябре 2020 года и достигло пика в середине января 2021 года.
Эти тенденции отражают то, что мы видим на основании других наблюдений относительно изменений, которые претерпевал язык пандемии с течением времени; о похожих тенденциях в частности свидетельствует Google Trends.
Резюме
За последние 18 месяцев мы наблюдали всплеск и падение количества регистраций новых доменов, совпадающих с ключевыми словами, связанными с пандемией COVID-19. Хотя ничего вредоносного относительно большинства этих доменов не наблюдалось, небольшое количество из них были определены как опасные.
Наблюдения показали, что многие из этих вредоносных кампаний были предсказуемы — в их рамках предлагались мотивационные схемы, часто финансового характера, или они маскировались под настоящие страницы входа, чтобы украсть учетные данные или доставить вредоносное ПО. Единственное отличие состоит в том, что в нашем наборе «червяк», который использовался для заманивания жертв, был тем или иным образом связан с COVID-19.
DNSTICR — это текущий проект, который адаптируется к постоянно меняющемуся характеру пандемии COVID-19. OCTO будет продолжать отчитываться о ходе этого проекта перед сообществом ICANN, регистраторами и регистратурами, специалистами в области безопасности и интернет-пользователями.
Более подробный отчет будет опубликован в ближайшем будущем.