e-works数字化企业网  »  新闻  »  硬件动态  »  正文

Palo Alto Networks(派拓网络)监测发现:知名品牌域名最易被模仿抢注,用于欺骗消费者

2020年9月14日              
关键字:网络攻击  派拓网络  

网络犯罪分子利用域名在互联网上的重要作用,注册与现有域名或品牌相关的名称,意图从用户犯错中谋利。这种行为称为“域名抢注”,虽然域名抢注不一定对用户有害,但遭抢注的域名经常被利用或变更以用于网络攻击。

Palo Alto Networks(派拓网络)威胁情报团队 Unit 42 旗下的域名抢注检测系统发现,2019 年 12 月间共有 13,857 个域名遭抢注,平均每天 450 个。情报团队发现,其中有 2,595 个 (18.59%)遭抢注的域名为恶意,经常发布恶意软件或进行网络钓鱼攻击,另有 5,104 个 (36.57%)遭抢注的域名对访客构成高风险,意味着这些域名与恶意网址有关,或使用防弹主机(bulletproof hosting)。

 

根据调整后的恶意比率,Palo Alto Networks(派拓网络)列出在 2019 年 12 月最常被滥用的 20 个域名。这些域名是许多抢注域名的目标,或模仿的大部分抢注域名被确认为恶意。研究发现,域名抢注分子倾向于那些有利可图的目标,例如主流搜索引擎及社交媒体、金融、购物和银行网站,并通过网络钓鱼和诈骗,窃取敏感凭证或金钱。

 

图一:2019 年 12 月最常被滥用的 20 大域名排行榜

 

由 2019 年 12 月至今,Palo Alto Networks(派拓网络)观察到不同恶意域名的不同目的:

 

网络钓鱼:一个模仿富国银行的域名(secure-wellsfargo[.]org)以窃取客户的敏感信息为目的,包括邮件凭证和 ATM PIN 码。此外,一个模仿亚马逊的域名 (amazon-india[.]online)会窃取用户凭证,特别针对印度的手机用户。

 

图二:伪造的 Amazon 网站:amazon-india[.]online

 

传播恶意软件:一个模仿三星的域名(samsungeblyaiphone[.]com)带有恶意软件 Azorult,能窃取信用卡资料。

 

命令和控制(C2):模仿微软的域名(microsoft-store-drm-server[.]com 和 microsoft-sback-server[.]com)试图进行 C2 攻击,危害整个网络。

 

再付费欺诈:数个模仿 Netflix 的钓鱼网站(例如 netflixbrazilcovid[.]com)首先以小金额的首次付款优惠诱使用户订购减肥药等产品。但是,如果用户在促销期后没有取消订购,其信用卡会被收取更高的费用,通常为 50 至 100 美元。

 

图三 a:netflixbrazilcovid[.]com 上伪造的 Netflix 主页

 

图三 b:以社交工程诈骗用户的奖励邮件

 

潜在有害程序(Potentially unwanted program,PUP):模仿沃尔玛及三星的域名(walrmart44[.]com 和 samsungpr0mo[.]online)传播潜在有害程序,例如间谍软件、广告软件或浏览器扩展功能。这些域名通常会执行有害变更,例如更改浏览器的默认页面或劫持浏览器以插入广告。值得一提的是,这个三星域名看起来像是一个合法的澳大利亚教育新闻网站。

 

图四:点击来自 samsungpr0mo[.]online 的警告信息后,出现伪造的病毒扫描页面

 

技术支持欺诈:一些模仿微软的域名(例如 microsoft-alert[.]club)试图威吓用户为伪造的客户支持服务付费。

 

图五:microsoft-alert[.]club 上伪造的技术支持页面

 

奖励欺诈:一个模仿 Facebook 的域名(facebookwinners2020 [.] com)以免费产品或金钱等奖励欺骗用户。用户需要在表格填写出生日期、电话号码、职业和收入等个人信息,才能领奖。

 

图六:facebookwinners2020[.]com 上索取个人资料的表格

 

域名停放:一个模仿加拿大皇家银行的域名(rbyroyalbank[.]com)利用流行的域名停放服务 ParkingCrew,根据浏览该网站的用户数量及广告点击率来赚取利润。

 

Unit 42 研究人员调查了各种域名抢注伎俩,包括误植抢注(typosquatting)、组合抢注 (combosquatting)、级别抢注(level-squatting),比特抢注(bitsquatting)及同形异义字抢注(homograph-squatting)。恶意分子可以利用这些伎俩传播恶意软件或进行欺诈和网络钓鱼活动。

 

Palo Alto Networks(派拓网络)特别开发了自动化系统检测域名抢注,能够从新注册的域名以及被动 DNS(pDNS)数据中捕捉新出现的活动。Palo Alto Networks(派拓网络)持续检测目前活跃的网络域名抢注——识别恶意及可疑的域名抢注,并将其指定为适当的类别,例如网络钓鱼、恶意软件、C2 或灰色软件。Palo Alto Networks(派拓网络)的多个安全订阅服务已提供针对这些域名类别的保护措施,包括 URL 过滤和 DNS 安全。

 

Palo Alto Networks(派拓网络)建议企业屏蔽并密切监测来自这些域名的网络流量,而消费者则应确保正确输入域名,并在进入任何网站前再次确认域名所有者是否可信。有关如何防范网络攻击的更多技巧,请点击此处。

责任编辑:王聪
e-works
官方微信
掌上
信息化
编辑推荐
文章推荐
博客推荐
视频推荐