公布最常被濫用的20大域名排行榜
網(wǎng)絡(luò)犯罪分子利用域名在互聯(lián)網(wǎng)上的重要作用,注冊與現(xiàn)有域名或品牌相關(guān)的名稱,意圖從用戶犯錯中謀利。這種行為稱為“域名搶注”,雖然域名搶注不一定對用戶有害,但遭搶注的域名經(jīng)常被利用或變更以用于網(wǎng)絡(luò)攻擊。
本文引用地址:http://butianyuan.cn/article/202009/418123.htmPalo Alto Networks(派拓網(wǎng)絡(luò))威脅情報團(tuán)隊Unit 42旗下的域名搶注檢測系統(tǒng)發(fā)現(xiàn),2019年12月間共有13,857個域名遭搶注,平均每天450個。情報團(tuán)隊發(fā)現(xiàn),其中有2,595個 (18.59%)遭搶注的域名為惡意,經(jīng)常發(fā)布惡意軟件或進(jìn)行網(wǎng)絡(luò)釣魚攻擊,另有5,104個 (36.57%)遭搶注的域名對訪客構(gòu)成高風(fēng)險,意味著這些域名與惡意網(wǎng)址有關(guān),或使用防彈主機(jī)(bulletproof hosting)。
根據(jù)調(diào)整后的惡意比率,Palo Alto Networks(派拓網(wǎng)絡(luò))列出在2019年12月最常被濫用的20個域名。這些域名是許多搶注域名的目標(biāo),或模仿的大部分搶注域名被確認(rèn)為惡意。研究發(fā)現(xiàn),域名搶注分子傾向于那些有利可圖的目標(biāo),例如主流搜索引擎及社交媒體、金融、購物和銀行網(wǎng)站,并通過網(wǎng)絡(luò)釣魚和詐騙,竊取敏感憑證或金錢。
圖一 2019年12月最常被濫用的20大域名排行榜
由2019年12月至今,Palo Alto Networks(派拓網(wǎng)絡(luò))觀察到不同惡意域名的不同目的:
● 網(wǎng)絡(luò)釣魚:一個模仿富國銀行的域名(secure-wellsfargo[.]org)以竊取客戶的敏感信息為目的,包括郵件憑證和ATM PIN碼。此外,一個模仿亞馬遜的域名 (amazon-india[.]online)會竊取用戶憑證,特別針對印度的手機(jī)用戶。
圖二 偽造的Amazon網(wǎng)站: amazon-india[.]online
● 傳播惡意軟件: 一個模仿三星的域名(samsungeblyaiphone[.]com)帶有惡意軟件Azorult,能竊取信用卡資料。
● 命令和控制(C2): 模仿微軟的域名(microsoft-store-drm-server[.]com和 microsoft-sback-server[.]com)試圖進(jìn)行C2攻擊,危害整個網(wǎng)絡(luò)。
● 再付費欺詐: 數(shù)個模仿Netflix的釣魚網(wǎng)站(例如netflixbrazilcovid[.]com)首先以小金額的首次付款優(yōu)惠誘使用戶訂購減肥藥等產(chǎn)品。但是,如果用戶在促銷期后沒有取消訂購,其信用卡會被收取更高的費用,通常為50至100美元。
圖三a netflixbrazilcovid[.]com 上偽造的Netflix主頁
圖三b 以社交工程詐騙用戶的獎勵郵件
● 潛在有害程序(Potentially unwanted program,PUP):模仿沃爾瑪及三星的域名(walrmart44[.]com和samsungpr0mo[.]online)傳播潛在有害程序,例如間諜軟件、廣告軟件或瀏覽器擴(kuò)展功能。這些域名通常會執(zhí)行有害變更,例如更改瀏覽器的默認(rèn)頁面或劫持瀏覽器以插入廣告。值得一提的是,這個三星域名看起來像是一個合法的澳大利亞教育新聞網(wǎng)站。
samsungpr0mo[.]online 圖四 點擊來自 samsungpr0mo[.]online 的警告信息后,出現(xiàn)偽造的病毒掃描頁面
● 技術(shù)支持欺詐:一些模仿微軟的域名(例如microsoft-alert[.]club)試圖威嚇用戶為偽造的客戶支持服務(wù)付費。
圖五 microsoft-alert[.]club 上偽造的技術(shù)支持頁面
● 獎勵欺詐: 一個模仿Facebook的域名(facebookwinners2020 [.] com)以免費產(chǎn)品或金錢等獎勵欺騙用戶。用戶需要在表格填寫出生日期、電話號碼、職業(yè)和收入等個人信息,才能領(lǐng)獎。
圖六 facebookwinners2020[.]com 上索取個人資料的表格
● 域名停放:一個模仿加拿大皇家銀行的域名(rbyroyalbank[.]com)利用流行的域名停放服務(wù)ParkingCrew,根據(jù)瀏覽該網(wǎng)站的用戶數(shù)量及廣告點擊率來賺取利潤。
Unit 42研究人員調(diào)查了各種域名搶注伎倆,包括誤植搶注(typosquatting)、組合搶注 (combosquatting)、級別搶注(level-squatting),比特?fù)屪ⅲ╞itsquatting)及同形異義字搶注(homograph-squatting)。惡意分子可以利用這些伎倆傳播惡意軟件或進(jìn)行欺詐和網(wǎng)絡(luò)釣魚活動。
Palo Alto Networks(派拓網(wǎng)絡(luò))特別開發(fā)了自動化系統(tǒng)檢測域名搶注,能夠從新注冊的域名以及被動DNS(pDNS)數(shù)據(jù)中捕捉新出現(xiàn)的活動。Palo Alto Networks(派拓網(wǎng)絡(luò))持續(xù)檢測目前活躍的網(wǎng)絡(luò)域名搶注——識別惡意及可疑的域名搶注,并將其指定為適當(dāng)?shù)念悇e,例如網(wǎng)絡(luò)釣魚、惡意軟件、C2或灰色軟件。Palo Alto Networks(派拓網(wǎng)絡(luò))的多個安全訂閱服務(wù)已提供針對這些域名類別的保護(hù)措施,包括 URL過濾 和 DNS安全 。
Palo Alto Networks(派拓網(wǎng)絡(luò))建議企業(yè)屏蔽并密切監(jiān)測來自這些域名的網(wǎng)絡(luò)流量,而消費者則應(yīng)確保正確輸入域名,并在進(jìn)入任何網(wǎng)站前再次確認(rèn)域名所有者是否可信。
評論