Jag hade nyligen möjlighet att prata med Dave Bittner på CyberWire i en poddsändning för att diskutera hur .ai ger cyberbrottslingar ett nytt sätt att utnyttja några av världens största företag baserat på forskningsresultat från CSC:s domänskyddsrapport från 2023. Nedan följer en sammanfattning av de viktigaste punkterna vi diskuterade under poddsändningen.
Brist på fokus utanför företagets gränser
Som en registrar som även erbjuder tjänster för varumärkesskydd och bedrägeribekämpning har vi lagt märke till att även om cybersäkerhetsansvariga gör ett bra jobb med att försvara företagets gränser finns det luckor och brist på fokus i försvaret av externa onlineattackytor. Vår årliga domänskyddsrapport över företag på Forbes Global 2000-lista betonar vikten av domänskydd på internet.
Växande domännamnsutrymme innebär större attackyta
I dag går domännamnsutrymmet bortom de traditionella .com, .net och .org och nu har det utökats till allt möjligt inklusive .app, och det senaste .ai för artificiell intelligens.
Vår rapport visar att 43 % av .ai-domännamnen är registrerade av tredje part, vilket innebär att varumärkesinnehavare inte äger domännamnen som tillhör dem. Exempel: Företaget XYZ bedriver verksamhet på xyz.com och allt fungerar utan problem men xyz.ai ägs av en tredje part, som kan vara en cyberbrottsling eller bedragare. Samma sak gäller för andra nya och kända gTLD- och ccTLD-toppdomäner. Det skadar varumärkesinnehavaren eftersom deras rykte står på spel. Vår statistik visar att många globala företag är utsatta för risker i toppdomännamnsutrymmet .ai.
Dessutom rapporterade vi att cirka 21 % av subdomäner inte löser problemet. Det innebär att subdomäner – som ofta används i molninfrastrukturer – riskerar att kapas av cyberbrottslingar. Många företag har vuxit med tiden och förvärvat andra företag, vilket innebär att det kan finnas DNS-zoner (Domain Name System) som inte har rensats på 20–30 år. De är exponerade attackytor på internet som cyberbrottslingar försöker utnyttja.
Bevakning av indikatorer med skadliga avsikter
Det finns så många verktyg i vår arsenal i dag som gör att vi omedelbart kan identifiera hot, till exempel när ett domännamn med ett varumärkesnamn inte är registrerat av varumärkesinnehavaren eller när ett domännamn är inaktivt. Inaktiva domännamn anses vara misstänkta domännamn som illasinnade aktörer kan aktivera för att starta riktade nätfiskeattacker eller aktiviteter med skadlig programvara. Ett vilande domännamn har ingen associerad webbplats men när det finns en MX-post som aktiverar kanalen för sändning av e-postmeddelanden är det ett tecken på att domännamnet kan komma att användas för nätfiske eller skadlig programvara inom kort.
Inaktiva domännamn är viktiga och bör integreras i moderna säkerhetscenter. Genom kontinuerlig daglig övervakning går det att undersöka webbplatser som aktiveras för att se om de används för nätfiske och omedelbart vidta åtgärder för att tvinga avaktivering.
Dessutom använder cyberbrottslingar generativ AI för de här riktade attackerna för att göra dem mer avancerade och öka driftsättningshastigheten. Illasinnade aktörer kan även använda generativ AI för att skapa nätfiskemeddelanden som är personliga, riktade och inte innehåller stav- eller grammatikfel, vilket gör den typen av e-postmeddelanden svårare att upptäcka. Dessutom finns det AI-verktyg som FraudGPT på den mörka webben som illasinnade aktörer kan använda för mer komplexa sociala attacker med manipulerat innehåll som spelar med offrets känslor eller förtroende för ännu större chans att lyckas.
Rekommendationer för en kraftfull säkerhetsstrategi
Domänsäkerhet bör vara en viktig del av säkerhetsstrategin för företag som bedriver verksamhet online, även inom den offentliga sektorn. För närvarande är domännamnsportföljen för många företag spridd över hela världen och över många allmänna toppdomäner, som .com, och landstoppdomäner, som .uk eller .se. Säkerhetspersonal och säkerhetsansvariga bör ha fullständig tillgång till domännamnsportföljen och förbättra den informationen genom att använda färre leverantörer.
De måste kunna hantera portföljen och övervaka den kontinuerligt för att identifiera sociala attacker som kan leda till DNS-kapning, domänkapning eller domänskuggning och förhindra nätfiskeattacker.
I stället för att använda en mindra registrar bör du använda en större registrar som har välutbildade team som arbetar dygnet runt med att skydda domäner från tilläggs-, ändrings- och raderingsbegäran som måste godkännas och autentiseras.
Om du vill ha mer information lyssnar du på hela poddsändningen.