Интересное исследование было проведено экспертами из High-Tech Bridge. Исследователи провели проверку доменов корпораций из индекса NASDAQ NQCYBR и множества ИБ-компаний. Для этого специалисты пользовались сервисом, позволяющим быстро выявлять фишинговые домены и проверять доменные имена на предмет киберсквоттинга и тайпсквоттинга.
Оказалось, что захваченные домены в 85% случаев были задействованы для хищения трафика. Кроме того, они применялись для вредоносной активности, сквоттинга и подделки торговых знаков.
Киберпреступники зарабатывают на известности брендов, осуществляя регистрацию модифицированных доменов крупных компаний с целью их дальнейшей перепродажи. Часть доменов, содержащих очевидные ошибки (junlper.net), прежде были задействованы киберпреступниками для проведения фишинговых атак. Домен sytmantec.com осуществляет переадресацию посетителей на веб-страницы с вредоносными программами.
Эксперты обнаружили домены, которые маскируются под легитимные бренды. Так, домен lifelock.org, который был зарегистрирован через прокси, является активным и имеет доверенный SSL-сертификат, но при этом никак не связан с компанией LifeLock. Аналогичная ситуация с paloaltonetworks.cz, который не имеет никакого отношения к Palo Alto Networks. Примечательно, что при переходе на данный ресурс пользователи перенаправляются на сайт одного из торговых партнеров Fortinet – компании, являющейся прямым конкурентом Palo Alto Networks.
Исследователи утверждают, что веб-сайт trendmicrow.com является крайне опасным, поскольку он маскируется под ресурс службы техподдержки Trend Micro, но в действительности применяется для сбора персональных данных.