Nasza Lista Ostrzeżeń obchodziła w tym roku swoje trzecie urodziny. W tym czasie udało nam się ograniczyć skutki wielu różnych kampanii phishingowych celujących w polskich użytkowników Internetu. W odpowiedzi na zmieniający się krajobraz zagrożeń postanowiliśmy wprowadzić parę zmian w działaniu naszej listy, które pozwolą nam lepiej chronić użytkowników. Zapraszamy do zapoznania się z proponowanymi zmianami oraz podzielenia się swoją opinią.
Najważniejsze zmiany
- Wszystkie zablokowane przez nas domeny są ważne tylko przez 6 miesięcy. Rozwiąże to problem "pęcznienia" aktualnych list, przy których użytkownik był zmuszany do pobierania coraz to większego pliku w krótkich okresach czasu. Cykl życia większości stron phishingowych trwa tylko parę dni (a w niektórych przypadkach choćby tylko parę godzin), dlatego ograniczenie listy do 6 miesięcy nie będzie miało negatywnego skutku na bezpieczeństwo użytkowników.
- Domena może ponownie pojawić się na liście po uprzednim wykreśleniu. Pozwoli nam to na poprawną reakcję na nawracającą kampanię korzystającą z odblokowanych domen.
- W celu utrzymania transparentności odnośnie zablokowanych domen wprowadzamy nowy strumień z danymi – "actions.log". Będzie on zawierał listę wszystkich domen dodawanych i usuwanych przez nas na Listę Ostrzeżeń.
- Zalecamy blokowanie również wszystkich subdomen zablokowanych domen. Jest to bezpośrednia reakcja na niektóre kampanie phishingowe, które zaczęły korzystać z losowo generowanych subdomen w celu obejścia blokad domen na naszej liście.
- Wprowadzamy nowy format list - strefa DNS w postaci listy RPZ. Pozwoli ona na szybszą integrację naszej Listy Ostrzeżeń w serwerach DNS.
Przykładowe listy w nowej wersji
W celu lepszej prezentacji wprowadzanych zmian przygotowaliśmy listy domen w poszczególnych formatach:
- domains.csv
- domains.json
- domains.txt
- domains.xml
- domains_adblock.txt
- domains_hosts.txt
- domains_mikrotik.rsc
- domains_rpz.db
- actions_2020.log
- actions_2021.log
- actions_2022.log
- actions_2023.log
Szkic nowej wersji specyfikacji
Komentarze
Jeśli macie jakiekolwiek pytania odnośnie nowej wersji listy, pomysły na nowe funkcjonalności albo jesteście zainteresowani integracją listy ostrzeżeń w własnej organizacji to zapraszamy do kontaktu na info@cert.pl