欢迎访问电脑商情在线! 请免费注册
分享到





位置:首页 > 网络与安全 > 业界新闻

Palo Alto Networks(派拓网络)监测发现:知名品牌域名最易被模仿抢注,用于欺骗消费者

作者: cbinews编辑   责任编辑:张琳 2020-09-11 09:37:09
来源:电脑商情在线关键字:派拓网络,域名

网络犯罪分子利用域名在互联网上的重要作用,注册与现有域名或品牌相关的名称,意图从用户犯错中谋利。这种行为称为“域名抢注”,虽然域名抢注不一定对用户有害,但遭抢注的域名经常被利用或变更以用于网络攻击。

Palo Alto Networks(派拓网络)威胁情报团队 Unit 42 旗下的域名抢注检测系统发现,2019 年 12 月间共有 13,857 个域名遭抢注,平均每天 450 个。情报团队发现,其中有 2,595 个 (18.59%)遭抢注的域名为恶意,经常发布恶意软件或进行网络钓鱼攻击,另有 5,104 个 (36.57%)遭抢注的域名对访客构成高风险,意味着这些域名与恶意网址有关,或使用防弹主机(bulletproof hosting)。

根据调整后的恶意比率,Palo Alto Networks(派拓网络)列出在 2019 年 12 月最常被滥用的 20 个域名。这些域名是许多抢注域名的目标,或模仿的大部分抢注域名被确认为恶意。研究发现,域名抢注分子倾向于那些有利可图的目标,例如主流搜索引擎及社交媒体、金融、购物和银行网站,并通过网络钓鱼和诈骗,窃取敏感凭证或金钱。 

图一:2019 年 12 月最常被滥用的 20 大域名排行榜

由 2019 年 12 月至今,Palo Alto Networks(派拓网络)观察到不同恶意域名的不同目的:

网络钓鱼:一个模仿富国银行的域名(secure-wellsfargo[.]org)以窃取客户的敏感信息为目的,包括邮件凭证和 ATM PIN 码。此外,一个模仿亚马逊的域名 (amazon-india[.]online)会窃取用户凭证,特别针对印度的手机用户。 

图二:伪造的 Amazon 网站:amazon-india[.]online

传播恶意软件:一个模仿三星的域名(samsungeblyaiphone[.]com)带有恶意软件 Azorult,能窃取信用卡资料。

命令和控制(C2):模仿微软的域名(microsoft-store-drm-server[.]com 和 microsoft-sback-server[.]com)试图进行 C2 攻击,危害整个网络。

再付费欺诈:数个模仿 Netflix 的钓鱼网站(例如 netflixbrazilcovid[.]com)首先以小金额的首次付款优惠诱使用户订购减肥药等产品。但是,如果用户在促销期后没有取消订购,其信用卡会被收取更高的费用,通常为 50 至 100 美元。

图三 a:netflixbrazilcovid[.]com 上伪造的 Netflix 主页

图三 b:以社交工程诈骗用户的奖励邮件 

潜在有害程序(Potentially unwanted program,PUP):模仿沃尔玛及三星的域名(walrmart44[.]com 和 samsungpr0mo[.]online)传播潜在有害程序,例如间谍软件、广告软件或浏览器扩展功能。这些域名通常会执行有害变更,例如更改浏览器的默认页面或劫持浏览器以插入广告。值得一提的是,这个三星域名看起来像是一个合法的澳大利亚教育新闻网站。

图四:点击来自 samsungpr0mo[.]online 的警告信息后,出现伪造的病毒扫描页面

技术支持欺诈:一些模仿微软的域名(例如 microsoft-alert[.]club)试图威吓用户为伪造的客户支持服务付费。

图五:microsoft-alert[.]club 上伪造的技术支持页面

奖励欺诈:一个模仿 Facebook 的域名(facebookwinners2020 [.] com)以免费产品或金钱等奖励欺骗用户。用户需要在表格填写出生日期、电话号码、职业和收入等个人信息,才能领奖。

图六:facebookwinners2020[.]com 上索取个人资料的表格

域名停放:一个模仿加拿大皇家银行的域名(rbyroyalbank[.]com)利用流行的域名停放服务 ParkingCrew,根据浏览该网站的用户数量及广告点击率来赚取利润。

Unit 42 研究人员调查了各种域名抢注伎俩,包括误植抢注(typosquatting)、组合抢注 (combosquatting)、级别抢注(level-squatting),比特抢注(bitsquatting)及同形异义字抢注(homograph-squatting)。恶意分子可以利用这些伎俩传播恶意软件或进行欺诈和网络钓鱼活动。

Palo Alto Networks(派拓网络)特别开发了自动化系统检测域名抢注,能够从新注册的域名以及被动 DNS(pDNS)数据中捕捉新出现的活动。Palo Alto Networks(派拓网络)持续检测目前活跃的网络域名抢注——识别恶意及可疑的域名抢注,并将其指定为适当的类别,例如网络钓鱼、恶意软件、C2 或灰色软件。Palo Alto Networks(派拓网络)的多个安全订阅服务已提供针对这些域名类别的保护措施,包括 URL 过滤和 DNS 安全。

网友评论(0) 评论仅代表网友个人观点,不代表CBINews观点。
CBINews网友您好,欢迎发表评论:(注册 后发表评论,可就本文发起辩论,将会获得更多关注)
 CBINews网友  注册邮箱:  

CBI 友情链接:

至顶网 |  腾讯科技 |  凤凰科技 |  商业伙伴 |  移动信息化 |  企业网 |  中国软件网 |  CIO时代网 |  更多>>

整合营销 |  CBINews刊例 |  《电脑商情报》刊例 |  版权声明 |  友情链接

内容版权所有:电脑商情在线 北京三人行广告有限公司

地址:北京海淀区学院南路68号吉安大厦B座308。联系电话:(010)62178877

商务、内容合作QQ:2291221 联系电话:13391790444 詹老师

ICP证:川B2-20070068-5 川预审H8VZ-RBP6-X228-T60Z号 北京市公安局海淀分局备案编号:1101083710

声明:本媒体部分图片、文章来源于网络,版权归原作者所有,我司致力于保护作者版权,如有侵权,请与我司联系删除。