Препятствование фишинговым атакам IPFS | Неткрафт

Межпланетная файловая система (IPFS) — это содержательно-адресованный одноранговая сеть обмена файлами от Protocol Labs, используемая киберпреступниками для размещения фишинговых сайтов и другого вредоносного контента. Часто связанный с веб 3.0 движение, оно позволяет пользователям загружать, обмениваться и скачивать файлы через распределенную всемирную сеть.

Шлюзы делают IPFS доступным для более широкой публики, позволяя посещать страницы, работающие на базе IPFS, в традиционных веб-браузерах и делиться ими с потенциальными жертвами. Netcraft впервые обнаружила кибератаки с использованием IPFS в 2016 году, а теперь каждый день обнаруживает и блокирует сотни атак с использованием шлюзов IPFS.

В этом сообщении блога описывается, что такое IPFS и как она работает, как и почему она используется киберпреступниками, а также что Netcraft делает для блокирования и предотвращения атак, использующих сеть IPFS.

Что такое ИПФС?

IPFS — это децентрализованная сетевая технология хранения и доставки. В отличие от традиционной сети, где большая часть контента размещается на выделенных серверах, IPFS является одноранговым, что означает, что нет единого сервера, предоставляющего каждую страницу. Вместо этого доступ к контенту осуществляется через любого узла (также известного как узел), у которого есть копия контента, с небольшим различием между серверами и пользователями.

Децентрализованная структура позволяет пользователям размещать или обмениваться контентом с повышенной доступностью и отказоустойчивостью. Filecoin, криптовалюта, основанная на IPFS для стимулирования операторов узлов размещать контент, на момент написания статьи значительно дешевле, чем использование облачных хранилищ, таких как Amazon S3. Устранение необходимости в одном сервере также означает, что доступ к контенту можно получить с узлов, размещенных в самых разных местах в разных юрисдикциях, что повышает доступность, но затрудняет удаление контента.

Как IPFS управляет контентом?

Традиционный Интернет ориентирован на местоположение: URL-адреса, такие как https://www.netcraft.com, используются для доступа к контенту из определенного места. IPFS вместо этого адресуется по содержимому. Файлы адресуются с помощью уникального идентификатора контента (CID), криптографического хеша содержимого файла. Один и тот же файл всегда имеет один и тот же криптографический хэш, независимо от того, где он хранится.

Когда пользователь извлекает файл из IPFS, он извлекает содержимое из другого узла, на котором есть этот файл, кэширует его и может сделать его доступным для других узлов в сети. Любой пользователь в сети может передавать контент любому другому пользователю по его адресу контента. Узлы также могут закреплять контент, что гарантирует, что он не будет удален из кэша узла; он становится постоянно доступным, пока хотя бы один узел с ним закреплен в сети.

IPFS-шлюзы

Существует несколько способов доступа к контенту с помощью IPFS:

• Установка и настройка локального узла IPFS.
• Использование веб-браузера, который изначально поддерживает протокол IPFS, например Brave.
• Использование шлюзов, которые позволяют пользователям удобно получать доступ к контенту IPFS через HTTPS с помощью традиционного веб-браузера.

Официальная учетная запись IPFS на GitHub содержит список шлюзов IPFS. На момент написания в списке менее 100 шлюзов, из которых 20 или менее являются в настоящее время онлайн. Выделяются несколько основных поставщиков, в том числе Fleek, Cloudflare и ipfs.io, которым управляет сама Protocol Labs.

IPFS в фишинговых атаках

Киберпреступники используют характеристики IPFS в гнусных целях. Преступники могут размещать контент в сети IPFS за небольшую плату или даже бесплатно. Шлюзы с возможностью записи и службы закрепления позволяют преступникам размещать контент в сети без создания собственной инфраструктуры. Децентрализованный характер IPFS затрудняет полное удаление преступного контента из сети, поскольку его необходимо удалять с каждого узла, на котором он размещен или кешируется.

Однако, поскольку большинство потенциальных посетителей не имеют встроенной поддержки IPFS в своих веб-браузерах, преступники вместо этого будут ссылаться на шлюз IPFS. Например, следующий фишинговый сайт IPFS был нацелен на Microsoft с использованием шлюза ipfs.io, управляемого Protocol Labs:

Шлюзы IPFS централизованы и поэтому являются центром сбоев: операторы шлюзов обычно действуют против вредоносного контента, блокируя доступ к нему через свой шлюз. Киберпреступники вынуждены выбирать между использованием собственных каналов IPFS, что существенно ограничивает количество жертв, которые могут получить доступ к атаке, или использованием шлюзов, что позволяет распространять информацию среди широкого круга жертв, но ограничивает продолжительность атаки.

Поскольку IPFS адресуется по содержимому, страницы, размещенные в сети IPFS, являются статическими, хотя на них может выполняться JavaScript. Поэтому киберпреступникам приходится использовать отдельную инфраструктуру для доставки украденных учетных данных обратно к себе. Общие механизмы включают отправку учетных данных на отдельные сайты в традиционной сети или в каналы Telegram; обе стратегии также используются традиционными фишинговыми сайтами. Удаление сайта или канала Telegram также прервет атаку на IPFS, предотвращая попадание дальнейших учетных данных к киберпреступнику.

Олицетворение шлюза IPFS

Netcraft также выявила существование киберпреступлений, размещаемых на доменных именах, которые выдают себя за шлюзы IPFS: хотя на первый взгляд фишинговый URL-адрес содержит хеш контента IPFS, веб-сайт не является функционирующим шлюзом и не позволяет получать какие-либо другие хэши IPFS. Киберпреступник, управляющий сайтом, может ложно заявить, что он не размещает криминальный контент напрямую, а просто проксирует его, чтобы предотвратить дальнейшее внимание и сбои.

Как Netcraft противодействует атакам на основе IPFS?

Компания Netcraft впервые обнаружила вредоносный сайт с помощью IPFS в 2016 году, и наше положение в эпицентре борьбы с киберпреступностью позволяет нам обнаружить и блокировать сотни вредоносных страниц ежедневно размещаются в сети IPFS. Мы также удалили более 15 000 вредоносных URL-адресов, доступ к которым подтвержден через шлюзы IPFS. Неткрафт’с расширение браузера и приложения заблокируйте угрозы IPFS, описанные в этом посте, и мы будем блокировать новые угрозы по мере их обнаружения.

Поставщики шлюзов IPFS могут использовать Netcraft каналы разведки об угрозах чтобы заблокировать доступ к вредоносным хешам IPFS, как только они будут обнаружены Netcraft. Каналы Netcraft широко лицензируются браузерами и антивирусными компаниями, что защищает миллиарды людей от атак, часто в течение нескольких минут после обнаружения.

Бренды, подвергшиеся атакам на основе IPFS с использованием шлюзов, могут использовать услуги по срыву и демонтажу чтобы гарантировать, что вредоносный контент блокируется и удаляется быстро и эффективно. Связаться с нами Узнать больше.