公布最常被濫用的20大域名排行榜

網(wǎng)絡(luò)犯罪分子利用域名在互聯(lián)網(wǎng)上的重要作用，注冊與現(xiàn)有域名或品牌相關(guān)的名稱，意圖從用戶犯錯中謀利。這種行為稱為“域名搶注”，雖然域名搶注不一定對用戶有害，但遭搶注的域名經(jīng)常被利用或變更以用于網(wǎng)絡(luò)攻擊。

Palo Alto Networks（派拓網(wǎng)絡(luò)）威脅情報團(tuán)隊Unit 42旗下的域名搶注檢測系統(tǒng)發(fā)現(xiàn)，2019年12月間共有13,857個域名遭搶注，平均每天450個。情報團(tuán)隊發(fā)現(xiàn)，其中有2,595個 （18.59%）遭搶注的域名為惡意，經(jīng)常發(fā)布惡意軟件或進(jìn)行網(wǎng)絡(luò)釣魚攻擊，另有5,104個 （36.57%）遭搶注的域名對訪客構(gòu)成高風(fēng)險，意味著這些域名與惡意網(wǎng)址有關(guān)，或使用防彈主機(jī)（bulletproof hosting）。

根據(jù)調(diào)整后的惡意比率，Palo Alto Networks（派拓網(wǎng)絡(luò)）列出在2019年12月最常被濫用的20個域名。這些域名是許多搶注域名的目標(biāo)，或模仿的大部分搶注域名被確認(rèn)為惡意。研究發(fā)現(xiàn)，域名搶注分子傾向于那些有利可圖的目標(biāo)，例如主流搜索引擎及社交媒體、金融、購物和銀行網(wǎng)站，并通過網(wǎng)絡(luò)釣魚和詐騙，竊取敏感憑證或金錢。

圖一 2019年12月最常被濫用的20大域名排行榜

由2019年12月至今，Palo Alto Networks（派拓網(wǎng)絡(luò)）觀察到不同惡意域名的不同目的：

●   網(wǎng)絡(luò)釣魚：一個模仿富國銀行的域名（secure-wellsfargo[.]org）以竊取客戶的敏感信息為目的，包括郵件憑證和ATM PIN碼。此外，一個模仿亞馬遜的域名 （amazon-india[.]online）會竊取用戶憑證，特別針對印度的手機(jī)用戶。

圖二 偽造的Amazon網(wǎng)站： amazon-india[.]online

●   傳播惡意軟件： 一個模仿三星的域名（samsungeblyaiphone[.]com）帶有惡意軟件Azorult，能竊取信用卡資料。

●   命令和控制(C2)： 模仿微軟的域名（microsoft-store-drm-server[.]com和 microsoft-sback-server[.]com）試圖進(jìn)行C2攻擊，危害整個網(wǎng)絡(luò)。

●   再付費(fèi)欺詐： 數(shù)個模仿Netflix的釣魚網(wǎng)站（例如netflixbrazilcovid[.]com）首先以小金額的首次付款優(yōu)惠誘使用戶訂購減肥藥等產(chǎn)品。但是，如果用戶在促銷期后沒有取消訂購，其信用卡會被收取更高的費(fèi)用，通常為50至100美元。

圖三a  netflixbrazilcovid[.]com 上偽造的Netflix主頁

圖三b 以社交工程詐騙用戶的獎勵郵件

●   潛在有害程序（Potentially unwanted program，PUP）：模仿沃爾瑪及三星的域名（walrmart44[.]com和samsungpr0mo[.]online）傳播潛在有害程序，例如間諜軟件、廣告軟件或瀏覽器擴(kuò)展功能。這些域名通常會執(zhí)行有害變更，例如更改瀏覽器的默認(rèn)頁面或劫持瀏覽器以插入廣告。值得一提的是，這個三星域名看起來像是一個合法的澳大利亞教育新聞網(wǎng)站。

samsungpr0mo[.]online   圖四 點(diǎn)擊來自 samsungpr0mo[.]online 的警告信息后，出現(xiàn)偽造的病毒掃描頁面

●   技術(shù)支持欺詐：一些模仿微軟的域名（例如microsoft-alert[.]club）試圖威嚇用戶為偽造的客戶支持服務(wù)付費(fèi)。

圖五 microsoft-alert[.]club 上偽造的技術(shù)支持頁面

●   獎勵欺詐： 一個模仿Facebook的域名（facebookwinners2020 [.] com）以免費(fèi)產(chǎn)品或金錢等獎勵欺騙用戶。用戶需要在表格填寫出生日期、電話號碼、職業(yè)和收入等個人信息，才能領(lǐng)獎。

圖六 facebookwinners2020[.]com 上索取個人資料的表格

●   域名停放：一個模仿加拿大皇家銀行的域名（rbyroyalbank[.]com）利用流行的域名停放服務(wù)ParkingCrew，根據(jù)瀏覽該網(wǎng)站的用戶數(shù)量及廣告點(diǎn)擊率來賺取利潤。

Unit 42研究人員調(diào)查了各種域名搶注伎倆，包括誤植搶注（typosquatting）、組合搶注 （combosquatting）、級別搶注（level-squatting），比特?fù)屪ⅲ╞itsquatting）及同形異義字搶注（homograph-squatting）。惡意分子可以利用這些伎倆傳播惡意軟件或進(jìn)行欺詐和網(wǎng)絡(luò)釣魚活動。

Palo Alto Networks（派拓網(wǎng)絡(luò)）特別開發(fā)了自動化系統(tǒng)檢測域名搶注，能夠從新注冊的域名以及被動DNS（pDNS）數(shù)據(jù)中捕捉新出現(xiàn)的活動。Palo Alto Networks（派拓網(wǎng)絡(luò)）持續(xù)檢測目前活躍的網(wǎng)絡(luò)域名搶注——識別惡意及可疑的域名搶注，并將其指定為適當(dāng)?shù)念悇e，例如網(wǎng)絡(luò)釣魚、惡意軟件、C2或灰色軟件。Palo Alto Networks（派拓網(wǎng)絡(luò)）的多個安全訂閱服務(wù)已提供針對這些域名類別的保護(hù)措施，包括 URL過濾 和 DNS安全 。

Palo Alto Networks（派拓網(wǎng)絡(luò)）建議企業(yè)屏蔽并密切監(jiān)測來自這些域名的網(wǎng)絡(luò)流量，而消費(fèi)者則應(yīng)確保正確輸入域名，并在進(jìn)入任何網(wǎng)站前再次確認(rèn)域名所有者是否可信。