Hơn 100.000 tên miền giả với chứng chỉ TLS hợp lệ nhắm vào các nhà bán lẻ lớn

Với mùa mua sắm cuối năm, Venafi đã tiến hành một phân tích các tên miền gần giống nhau nhắm vào 20 nhà bán lẻ lớn ở Hoa Kỳ, Vương quốc Anh, Úc, Đức và Pháp.

Kết quả đã phát hiện thấy 109.045 tên miền gần giống nhau sử dụng chứng chỉ TLS hợp lệ khiến cho chúng có vẻ đáng tin cậy hơn. Hiện nay, phần lớn các trang web trên Internet sử dụng chứng chỉ TLS (Transport Layer Security) để thiết lập đường truyền liên lạc HTTPS an toàn giữa máy chủ và khách truy cập của họ, đảm bảo tính bảo mật và toàn vẹn của dữ liệu được trao đổi. Các trang web có được chứng chỉ TLS từ Tổ chức phát hành chứng chỉ phải được tất cả các trình duyệt web chính tin cậy.

Như vậy, con số năm nay cao hơn gấp đôi so với năm ngoái và Venafi đã chỉ ra rằng thực tế chỉ có dưới 20.000 chứng chỉ được cấp cho các lĩnh vực bán lẻ hợp pháp. Trong số 109.000 tên miền bắt chước gần giống (Typosquatting), một hình thức chiếm quyền điều khiển URL hoặc làm giả URL hướng người dùng truy cập hoặc nhập sai địa chỉ web gốc, dẫn đến những trang giả mạo, thì có gần 84.000 nhằm vào các nhà bán lẻ mục tiêu ở Hoa Kỳ, bao gồm gần 50.000 tên miền bắt chước một trong những nhà bán lẻ hàng đầu của quốc gia này. Tại Hoa Kỳ, Venafi phát hiện thấy gần 14.000 chứng chỉ được cấp cho các tên miền bán lẻ giả mạo.

Cũng theo đó, có khoảng 7.000 chứng chỉ dành cho các tên miền giả nhắm mục tiêu vào các nhà bán lẻ ở Đức, 3.500 cho các tên miền nhắm vào các nhà bán lẻ Úc và 1.500 nhắm vào các nhà bán lẻ Pháp.

“Một số URL này có thể phục vụ mục đích hợp pháp, chúng có thể bị kẻ tấn công sử dụng cho mục đích lừa đảo. Chúng tôi nghĩ rằng sự xuất hiện của một lượng lớn các trang web này là dấu hiệu mạnh mẽ cho thấy chúng đang được sử dụng cho mục đích xấu, đặc biệt là khi chúng ta đang rất gần với mùa mua sắm cuối năm”, ông Jing Jing Xie, nhà nghiên cứu tình báo mối đe dọa cấp cao tại Venafi, cho biết.

Theo Xie, mặc dù nghiên cứu không phân tích các mối đe dọa cụ thể liên quan tới các tên miền này, nhưng các tên miền gần giống nhau thường được sử dụng trong các cuộc tấn công lừa đảo và để phát tán phần mềm độc hại. Ví dụ, trong năm 2017, các nhà nghiên cứu bảo mật phát hiện ra rằng nhiều chứng chỉ có chứa từ “Paypal”, đã được sử dụng trong các trang web lừa đảo.Do đó, hoàn toàn hợp lý khi cho rằng những kẻ tấn công đang sử dụng các chiến thuật tương tự với các tên miền bán lẻ khác.

Nhìn chung, 60% các tên miền bắt chước gần giống có chứng chỉ TLS hợp lệ đã nhận được chứng chỉ miễn phí từ nhà cung cấp chứng chỉ Let’s Encrypt. Mục tiêu của Let’s Encrypt là làm cho các trang web an toàn hơn bằng cách cung cấp cho chủ sở hữu trang web các chứng chỉ số miễn phí mà họ có thể sử dụng để mã hóa lưu lượng.Tuy nhiên, dịch vụ của Let’s Encrypt thường bị lạm dụng cho mục đích xấu.

Theo Venafi, 85% các tên miền gần giống nhau nhắm mục tiêu vào những nhà bán lẻ Đức đã nhận được chứng chỉ từ Let’s Encrypt.