This post is also available in: 简体中文 (簡體中文)
網絡犯罪分子利用域名在互聯網上的重要性,註冊與現有域名或品牌相關的名稱,務求從用戶的錯誤中圖利。這種行為稱為「域名搶注」(cybersquatting),雖然域名搶注不一定對用戶有害,但遭搶注的域名經常被利用或改用於網絡攻擊。
Palo Alto Networks威脅情報團隊Unit 42旗下的域名搶注檢測系統發現,共有13,857個域名於2019年12月遭搶注,平均每天450個。情報團隊發現,當中有2,595個 (18.59%) 遭搶注的域名為惡意,經常發佈惡意軟件或進行網絡釣魚攻擊,另有 5,104個 (36.57%) 遭搶注的域名對訪客構成高風險,意味這些域名與惡意網址有關,或使用防彈主機 (bulletproof hosting)。
根據調整後的惡意比率,Palo Alto Networks列出在2019年12月最常被濫用的20個域名。這些域名都是與許多搶注的域名相關,或大部分模仿的搶注域名被確認為惡意。團隊發現,域名搶注分子喜歡有利可圖的目標,例如主流搜索引擎及社交媒體、金融、購物和銀行網站,並透過網絡釣魚和騙局,竊取用戶機密的身份驗證資料或金錢。
圖一:2019年12月最常被濫用的20個域名
由2019年12月至今,Palo Alto Networks觀察到不同惡意域名各有不同目的:
圖二:偽冒的Amazon網站:amazon-india[.]
圖三a:netflixbrazilcovid[.]com上偽冒的Netflix主頁
圖三b:以社交工程詐騙用戶的獎賞電郵
圖四:點擊來自samsungpr0mo[.]online的警告訊息後,出現偽造的病毒掃描頁面
圖五:microsoft-alert[.]club上偽冒的技
Unit 42研究人員調查了各種域名搶注技倆,包括錯別字搶注 (typosquatting)、組合詞搶注 (combosquatting)、級別搶注 (level-squatting),字母差異搶注 (bitsquatting) 及同形異義字搶注 (homograph-squatting)。惡意分子可以利用這些技倆散播惡意軟件或進行欺詐和網絡釣魚活動。
Palo Alto Networks特別開發了自動化系統檢測域名搶注,能夠從新註冊的域名以及被動DNS (pDNS) 數據中採集潛伏的動態。Palo Alto Networks識別惡意及可疑的域名搶注,並將其分類為適當類別,例如網絡釣魚、惡意軟件、C2或灰色軟件。多個Palo Alto Networks的保安計劃已提供針對這些域名類別的保護,包括URL篩選和DNS保安。
Palo Alto Networks建議企業阻止及密切監察網絡流量,而消費者應確保正確輸入域名,並在進入任何網站前仔細檢查域名持有者是否可信。如需更多有關如何防範網絡攻擊的詳情,請按此處。
如欲了解是次研究的更多詳情,請瀏覽Unit 42 網誌。
By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement. Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.