当前位置: CompoTech China > 业界资讯 >
Palo Alto Networks(派拓网络)监测发现:知名品牌域名最易被模仿抢注,用于欺骗消费者
前言:
公布最常被滥用的20大域名排行榜
网络犯罪分子利用域名在互联网上的重要作用,注册与现有域名或品牌相关的名称,意图从用户犯错中谋利。这种行为称为“域名抢注”,虽然域名抢注不一定对用户有害,但遭抢注的域名经常被利用或变更以用于网络攻击。
Palo Alto Networks(派拓网络)威胁情报团队Unit 42旗下的域名抢注检测系统发现,2019年12月间共有13,857个域名遭抢注,平均每天450个。情报团队发现,其中有2,595个 (18.59%)遭抢注的域名为恶意,经常发布恶意软件或进行网络钓鱼攻击,另有5,104个 (36.57%)遭抢注的域名对访客构成高风险,意味着这些域名与恶意网址有关,或使用防弹主机(bulletproof hosting)。
根据调整后的恶意比率,Palo Alto Networks(派拓网络)列出在2019年12月最常被滥用的20个域名。这些域名是许多抢注域名的目标,或模仿的大部分抢注域名被确认为恶意。研究发现,域名抢注分子倾向于那些有利可图的目标,例如主流搜索引擎及社交媒体、金融、购物和银行网站,并通过网络钓鱼和诈骗,窃取敏感凭证或金钱。
图一:2019年12月最常被滥用的20大域名排行榜
由2019年12月至今,Palo Alto Networks(派拓网络)观察到不同恶意域名的不同目的:
● 网络钓鱼:一个模仿富国银行的域名(secure-wellsfargo[.]org)以窃取客户的敏感信息为目的,包括邮件凭证和ATM PIN码。此外,一个模仿亚马逊的域名 (amazon-india[.]online)会窃取用户凭证,特别针对印度的手机用户。
图二:伪造的Amazon网站:amazon-india[.]online
● 传播恶意软件:一个模仿三星的域名(samsungeblyaiphone[.]com)带有恶意软件Azorult,能窃取信用卡资料。
● 命令和控制(C2):模仿微软的域名(microsoft-store-drm-server[.]com和 microsoft-sback-server[.]com)试图进行C2攻击,危害整个网络。
● 再付费欺诈:数个模仿Netflix的钓鱼网站(例如netflixbrazilcovid[.]com)首先以小金额的首次付款优惠诱使用户订购减肥药等产品。但是,如果用户在促销期后没有取消订购,其信用卡会被收取更高的费用,通常为50至100美元。
图三a:netflixbrazilcovid[.]com上伪造的Netflix主页
图三b:以社交工程诈骗用户的奖励邮件
● 潜在有害程序(Potentially unwanted program,PUP):模仿沃尔玛及三星的域名(walrmart44[.]com和samsungpr0mo[.]online)传播潜在有害程序,例如间谍软件、广告软件或浏览器扩展功能。这些域名通常会执行有害变更,例如更改浏览器的默认页面或劫持浏览器以插入广告。值得一提的是,这个三星域名看起来像是一个合法的澳大利亚教育新闻网站。
samsungpr0mo[.]online
图四:点击来自samsungpr0mo[.]online的警告信息后,出现伪造的病毒扫描页面
● 技术支持欺诈:一些模仿微软的域名(例如microsoft-alert[.]club)试图威吓用户为伪造的客户支持服务付费。
图五:microsoft-alert[.]club上伪造的技术支持页面
● 奖励欺诈:一个模仿Facebook的域名(facebookwinners2020 [.] com)以免费产品或金钱等奖励欺骗用户。用户需要在表格填写出生日期、电话号码、职业和收入等个人信息,才能领奖。
图六:facebookwinners2020[.]com上索取个人资料的表格
● 域名停放:一个模仿加拿大皇家银行的域名(rbyroyalbank[.]com)利用流行的域名停放服务ParkingCrew,根据浏览该网站的用户数量及广告点击率来赚取利润。
Unit 42研究人员调查了各种域名抢注伎俩,包括误植抢注(typosquatting)、组合抢注 (combosquatting)、级别抢注(level-squatting),比特抢注(bitsquatting)及同形异义字抢注(homograph-squatting)。恶意分子可以利用这些伎俩传播恶意软件或进行欺诈和网络钓鱼活动。
Palo Alto Networks(派拓网络)特别开发了自动化系统检测域名抢注,能够从新注册的域名以及被动DNS(pDNS)数据中捕捉新出现的活动。Palo Alto Networks(派拓网络)持续检测目前活跃的网络域名抢注——识别恶意及可疑的域名抢注,并将其指定为适当的类别,例如网络钓鱼、恶意软件、C2或灰色软件。Palo Alto Networks(派拓网络)的多个安全订阅服务已提供针对这些域名类别的保护措施,包括URL过滤和DNS安全。
Palo Alto Networks(派拓网络)建议企业屏蔽并密切监测来自这些域名的网络流量,而消费者则应确保正确输入域名,并在进入任何网站前再次确认域名所有者是否可信。有关如何防范网络攻击的更多技巧,请点击此处。
如欲了解此次研究的更多详情,请浏览Unit 42 博客文章。
关于Palo Alto Networks(派拓网络)
作为全球网络安全领导企业,Palo Alto Networks(派拓网络)正借助其先进技术重塑着以云为中心的未来社会,改变着人类和组织运作的方式。我们的使命是成为首选网络安全伙伴,保护人们的数字生活方式。借助我们在人工智能、分析、自动化与编排方面的持续性创新和突破,助力广大客户应对全球最为严重的安全挑战。通过交付集成化平台和推动合作伙伴生态系统的不断成长,我们始终站在安全前沿,在云、网络以及移动设备方面为数以万计的组织保驾护航。我们的愿景是构建一个日益安全的世界。更多内容,敬请登录Palo Alto Networks(派拓网络)官网www.paloaltonetworks.com或中文网站www.paloaltonetworks.cn。
关于 Unit 42
Unit 42 是 Palo Alto Networks 旗下的全球威胁情报团队,是网络威胁防御领域公认的权威,全球多家企业及政府机构经常向他们寻求帮助。我们的分析师是寻找和收集未知威胁以及使用代码分析进行完全逆向工程解析恶意软件的专家。凭借这些专业知识,我们提供优质、深入的研究,以深入了解威胁执行者用来入侵组织的各种工具、技术和程序。我们的目标是尽可能提供背景信息,解释攻击的具体细节、攻击的执行者及其原因,以便世界各地的安全人员可以洞悉威胁,从而更好地防御攻击。
本月热点 HOME
