This post is also available in: 繁體中文 (繁体中文)
网络犯罪分子利用域名在互联网上的重要作用,注册与现有域名或品牌相关的名称,意图从用户犯错中谋利。这种行为称为“域名抢注”,虽然域名抢注不一定对用户有害,但遭抢注的域名经常被利用或变更以用于网络攻击。
Palo Alto Networks(派拓网络)威胁情报团队Unit 42旗下的域名抢注检测系统发现,2019年12月间共有13,857个域名遭抢注,平均每天450个。情报团队发现,其中有2,595个 (18.59%)遭抢注的域名为恶意,经常发布恶意软件或进行网络钓鱼攻击,另有5,104个 (36.57%)遭抢注的域名对访客构成高风险,意味着这些域名与恶意网址有关,或使用防弹主机(bulletproof hosting)。
根据调整后的恶意比率,Palo Alto Networks(派拓网络)列出在2019年12月最常被滥用的20个域名。这些域名是许多抢注域名的目标,或模仿的大部分抢注域名被确认为恶意。研究发现,域名抢注分子倾向于那些有利可图的目标,例如主流搜索引擎及社交媒体、金融、购物和银行网站,并通过网络钓鱼和诈骗,窃取敏感凭证或金钱。
图一:2019年12月最常被滥用的20大域名排行榜
由2019年12月至今,Palo Alto Networks(派拓网络)观察到不同恶意域名的不同目的:
图二:伪造的Amazon网站:amazon-india[.]
图三a:netflixbrazilcovid[.]com上伪
图三b:以社交工程诈骗用户的奖励邮件
图四:点击来自samsungpr0mo[.]online的警
图五:microsoft-alert[.]club上伪造的技
图六:facebookwinners2020[.]com上索
Unit 42研究人员调查了各种域名抢注伎俩,包括误植抢注(typosquatting)、组合抢注 (combosquatting)、级别抢注(level-squatting),比特抢注(bitsquatting)及同形异义字抢注(homograph-squatting)。恶意分子可以利用这些伎俩传播恶意软件或进行欺诈和网络钓鱼活动。
Palo Alto Networks(派拓网络)特别开发了自动化系统检测域名抢注,能够从新注册的域名以及被动DNS(pDNS)数据中捕捉新出现的活动。Palo Alto Networks(派拓网络)持续检测目前活跃的网络域名抢注——识别恶意及可疑的域名抢注,并将其指定为适当的类别,例如网络钓鱼、恶意软件、C2或灰色软件。Palo Alto Networks(派拓网络)的多个安全订阅服务已提供针对这些域名类别的保护措施,包括URL过滤和DNS安全。
Palo Alto Networks(派拓网络)建议企业屏蔽并密切监测来自这些域名的网络流量,而消费者则应确保正确输入域名,并在进入任何网站前再次确认域名所有者是否可信。有关如何防范网络攻击的更多技巧,请点击此处。
如欲了解此次研究的更多详情,请浏览Unit 42 博客文章。
敬请关注Palo Alto Networks(派拓网络)官方微信账号
By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement. Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.