網絡犯罪分子利用域名在互聯網上的重要性,註冊與現有域名或品牌相關的名稱,務求從用戶的錯誤中圖利。這種行為稱為「域名搶注」(cybersquatting),雖然域名搶注不一定對用戶有害,但遭搶注的域名經常被利用或改用於網絡攻擊。
Palo Alto Networks威脅情報團隊Unit 42旗下的域名搶注檢測系統發現,共有13,857個域名於2019年12月遭搶注,平均每天450個。情報團隊發現,當中有2,595個 (18.59%) 遭搶注的域名為惡意,經常發佈惡意軟件或進行網絡釣魚攻擊,另有 5,104個 (36.57%) 遭搶注的域名對訪客構成高風險,意味這些域名與惡意網址有關,或使用防彈主機 (bulletproof hosting)。
2019年12月最常被濫用的20個域名
根據調整後的惡意比率,Palo Alto Networks列出在2019年12月最常被濫用的20個域名。這些域名都是與許多搶注的域名相關,或大部分模仿的搶注域名被確認為惡意。團隊發現,域名搶注分子喜歡有利可圖的目標,例如主流搜索引擎及社交媒體、金融、購物和銀行網站,並透過網絡釣魚和騙局,竊取用戶機密的身份驗證資料或金錢。
由2019年12月至今,Palo Alto Networks觀察到不同惡意域名各有不同目的:
- 網絡釣魚:一個與富國銀行相關的域名 (secure-wellsfargo[.]org) 以竊取客戶的敏感資料為目的,包括電郵身份驗證資料和ATM密碼。此外,一個與Amazon相關的域名 (amazon-india[.]online) 會竊取用戶的身份驗證資料,特別是印度的手機用家。
- 散播惡意軟件:一個與Samsung相關的域名 (samsungeblyaiphone[.]com) 載有惡意軟件Azorult,能竊取信用卡資料。
- 指揮控制 (C2):與Microsoft相關的域名 (microsoft-store-drm-server[.]com和 microsoft-sback-server[.]com) 試圖進行C2攻擊,危害整個網絡。
- 再付費詐騙:數個與Netflix相關的釣魚網站 (例如netflixbrazilcovid[.]com) 首先以小金額的首次付款優惠誘使用戶訂購減肥藥等產品。但是,如果用戶在促銷期後沒有取消訂購,其信用卡則會被收取更高的費用,通常介乎50至100美金。
- 潛在附加程式 (Potentially unwanted program,PUP):與Walmart及Samsung相關的域名 (walrmart44[.]com和samsungpr0mo[.]online) 散播潛在附加程式,例如間諜軟件、廣告軟件或瀏覽器擴充功能。這些域名通常會執行不需要的更改,例如更改瀏覽器的默認頁面或騎劫瀏覽器以插入廣告。值得一提的是,這個Samsung域名看似是個正規的澳洲教育新聞網站。
- 技術支援騙局:一些與Microsoft相關的域名 (例如microsoft-alert[.]club) 試圖威嚇用戶購買偽冒的客戶支援。
- 獎賞騙局:一個與Facebook相關的域名 (facebookwinners2020 [.] com) 以免費產品或金錢等獎賞騙取用戶。用戶需要在表格填寫個人資料,例如出生日期、電話號碼、職業和收入,才能領取獎賞。
- 域名停泊:一個與加拿大皇家銀行相關的域名 (rbyroyalbank[.]com) 利用流行的域名停泊服務ParkingCrew,根據瀏覽該網站的用戶數量及廣告點擊率來賺取利潤。
Unit 42研究人員調查了各種域名搶注技倆,包括錯別字搶注 (typosquatting)、組合詞搶注 (combosquatting)、級別搶注 (level-squatting),字母差異搶注 (bitsquatting) 及同形異義字搶注 (homograph-squatting)。惡意分子可以利用這些技倆散播惡意軟件或進行欺詐和網絡釣魚活動。
Palo Alto Networks特別開發了自動化系統檢測域名搶注,能夠從新註冊的域名以及被動DNS (pDNS) 數據中採集潛伏的動態。Palo Alto Networks識別惡意及可疑的域名搶注,並將其分類為適當類別,例如網絡釣魚、惡意軟件、C2或灰色軟件。多個Palo Alto Networks的保安計劃已提供針對這些域名類別的保護,包括URL篩選和DNS保安。
Palo Alto Networks建議企業阻止及密切監察網絡流量,而消費者應確保正確輸入域名,並在進入任何網站前仔細檢查域名持有者是否可信。如需更多有關如何防範網絡攻擊的詳情,請按此處。
如欲了解是次研究的更多詳情,請瀏覽Unit 42 網誌。
這篇文章 防不勝防!網絡攻擊者模仿知名品牌網站域名以欺騙消費者! 最早出現於 TechApple.com。