關(guān) 閉

新聞中心

EEPW首頁 > 安全與國(guó)防 > 業(yè)界動(dòng)態(tài) > 公布最常被濫用的20大域名排行榜

公布最常被濫用的20大域名排行榜

—— Palo Alto Networks(派拓網(wǎng)絡(luò))監(jiān)測(cè)發(fā)現(xiàn):知名品牌域名最易被模仿?lián)屪?,用于欺騙消費(fèi)者
作者:Palo Alto Networks(派拓網(wǎng)絡(luò))威脅情報(bào)團(tuán)隊(duì)Unit 42 時(shí)間:2020-09-09 來源:電子產(chǎn)品世界 收藏

網(wǎng)絡(luò)犯罪分子利用域名在互聯(lián)網(wǎng)上的重要作用,注冊(cè)與現(xiàn)有域名或品牌相關(guān)的名稱,意圖從用戶犯錯(cuò)中謀利。這種行為稱為“域名搶注”,雖然域名搶注不一定對(duì)用戶有害,但遭搶注的域名經(jīng)常被利用或變更以用于網(wǎng)絡(luò)攻擊。

本文引用地址:http://m.butianyuan.cn/article/202009/418123.htm

Palo Alto Networks(派拓網(wǎng)絡(luò))威脅情報(bào)團(tuán)隊(duì)Unit 42旗下的域名搶注檢測(cè)系統(tǒng)發(fā)現(xiàn),2019年12月間共有13,857個(gè)域名遭搶注,平均每天450個(gè)。情報(bào)團(tuán)隊(duì)發(fā)現(xiàn),其中有2,595個(gè) (18.59%)遭搶注的域名為惡意,經(jīng)常發(fā)布惡意軟件或進(jìn)行網(wǎng)絡(luò)釣魚攻擊,另有5,104個(gè) (36.57%)遭搶注的域名對(duì)訪客構(gòu)成高風(fēng)險(xiǎn),意味著這些域名與惡意網(wǎng)址有關(guān),或使用防彈主機(jī)(bulletproof hosting)。

根據(jù)調(diào)整后的惡意比率,Palo Alto Networks(派拓網(wǎng)絡(luò))列出在2019年12月最常被濫用的20個(gè)域名。這些域名是許多搶注域名的目標(biāo),或模仿的大部分搶注域名被確認(rèn)為惡意。研究發(fā)現(xiàn),域名搶注分子傾向于那些有利可圖的目標(biāo),例如主流搜索引擎及社交媒體、金融、購物和銀行網(wǎng)站,并通過網(wǎng)絡(luò)釣魚和詐騙,竊取敏感憑證或金錢。

image.png

圖一 2019年12月最常被濫用的20大域名排行榜

由2019年12月至今,Palo Alto Networks(派拓網(wǎng)絡(luò))觀察到不同惡意域名的不同目的:

●   網(wǎng)絡(luò)釣魚:一個(gè)模仿富國(guó)銀行的域名(secure-wellsfargo[.]org)以竊取客戶的敏感信息為目的,包括郵件憑證和ATM PIN碼。此外,一個(gè)模仿亞馬遜的域名 (amazon-india[.]online)會(huì)竊取用戶憑證,特別針對(duì)印度的手機(jī)用戶。

image.pngimage.pngimage.png

圖二 偽造的Amazon網(wǎng)站: amazon-india[.]online

●   傳播惡意軟件: 一個(gè)模仿三星的域名(samsungeblyaiphone[.]com)帶有惡意軟件Azorult,能竊取信用卡資料。

●   命令和控制(C2): 模仿微軟的域名(microsoft-store-drm-server[.]com和 microsoft-sback-server[.]com)試圖進(jìn)行C2攻擊,危害整個(gè)網(wǎng)絡(luò)。

●   再付費(fèi)欺詐: 數(shù)個(gè)模仿Netflix的釣魚網(wǎng)站(例如netflixbrazilcovid[.]com)首先以小金額的首次付款優(yōu)惠誘使用戶訂購減肥藥等產(chǎn)品。但是,如果用戶在促銷期后沒有取消訂購,其信用卡會(huì)被收取更高的費(fèi)用,通常為50至100美元。

image.png

圖三a  netflixbrazilcovid[.]com 上偽造的Netflix主頁

image.png

圖三b 以社交工程詐騙用戶的獎(jiǎng)勵(lì)郵件

●   潛在有害程序(Potentially unwanted program,PUP):模仿沃爾瑪及三星的域名(walrmart44[.]com和samsungpr0mo[.]online)傳播潛在有害程序,例如間諜軟件、廣告軟件或?yàn)g覽器擴(kuò)展功能。這些域名通常會(huì)執(zhí)行有害變更,例如更改瀏覽器的默認(rèn)頁面或劫持瀏覽器以插入廣告。值得一提的是,這個(gè)三星域名看起來像是一個(gè)合法的澳大利亞教育新聞網(wǎng)站。

image.png

samsungpr0mo[.]online   圖四 點(diǎn)擊來自 samsungpr0mo[.]online 的警告信息后,出現(xiàn)偽造的病毒掃描頁面

●   技術(shù)支持欺詐:一些模仿微軟的域名(例如microsoft-alert[.]club)試圖威嚇用戶為偽造的客戶支持服務(wù)付費(fèi)。

image.png

圖五 microsoft-alert[.]club 上偽造的技術(shù)支持頁面

●   獎(jiǎng)勵(lì)欺詐: 一個(gè)模仿Facebook的域名(facebookwinners2020 [.] com)以免費(fèi)產(chǎn)品或金錢等獎(jiǎng)勵(lì)欺騙用戶。用戶需要在表格填寫出生日期、電話號(hào)碼、職業(yè)和收入等個(gè)人信息,才能領(lǐng)獎(jiǎng)。

image.png

圖六 facebookwinners2020[.]com 上索取個(gè)人資料的表格

●   域名停放:一個(gè)模仿加拿大皇家銀行的域名(rbyroyalbank[.]com)利用流行的域名停放服務(wù)ParkingCrew,根據(jù)瀏覽該網(wǎng)站的用戶數(shù)量及廣告點(diǎn)擊率來賺取利潤(rùn)。

Unit 42研究人員調(diào)查了各種域名搶注伎倆,包括誤植搶注(typosquatting)、組合搶注 (combosquatting)、級(jí)別搶注(level-squatting),比特?fù)屪ⅲ╞itsquatting)及同形異義字搶注(homograph-squatting)。惡意分子可以利用這些伎倆傳播惡意軟件或進(jìn)行欺詐和網(wǎng)絡(luò)釣魚活動(dòng)。

Palo Alto Networks(派拓網(wǎng)絡(luò))特別開發(fā)了自動(dòng)化系統(tǒng)檢測(cè)域名搶注,能夠從新注冊(cè)的域名以及被動(dòng)DNS(pDNS)數(shù)據(jù)中捕捉新出現(xiàn)的活動(dòng)。Palo Alto Networks(派拓網(wǎng)絡(luò))持續(xù)檢測(cè)目前活躍的網(wǎng)絡(luò)域名搶注——識(shí)別惡意及可疑的域名搶注,并將其指定為適當(dāng)?shù)念悇e,例如網(wǎng)絡(luò)釣魚、惡意軟件、C2或灰色軟件。Palo Alto Networks(派拓網(wǎng)絡(luò))的多個(gè)安全訂閱服務(wù)已提供針對(duì)這些域名類別的保護(hù)措施,包括 URL過濾 和 DNS安全 。

Palo Alto Networks(派拓網(wǎng)絡(luò))建議企業(yè)屏蔽并密切監(jiān)測(cè)來自這些域名的網(wǎng)絡(luò)流量,而消費(fèi)者則應(yīng)確保正確輸入域名,并在進(jìn)入任何網(wǎng)站前再次確認(rèn)域名所有者是否可信。



關(guān)鍵詞:

評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉