• 首页
  • 最新消息
  • 产业讯息
  • 图文资通
  • 网域抢註:攻击者利用模仿Facebook、Apple等知名品牌相似的网域名称来诈骗消费者

详细内容
分类: 图文资通
点击数: 578

文章提供:图文资通组
文章来源:https://udn.com/news/story/7240/4841988
发佈日期:2020.09.07 消息来源:联合新闻 #资讯安全 #网路钓鱼

现在的网路消费者依赖搜寻网域名称以便找到特定品牌、服务、专业人员或网站已经成为常态。网路犯罪者利用消费者的这个习惯,刻意註册与知名品牌相似的商品名称,其目的在于混淆消费者,藉此使其上钩。此类的犯罪手法叫做「网域抢註」(Cybersquatting),目的在于误导消费者对品牌的认知,像是误以为netflix-payment.com为Netflix所有,或是利用消费者的拼字错误,像是whatsalpp与WhatsApp来获利。虽然网域抢註这样的行为并非总是恶意,但是网域抢註在美国是非法的,并且网域抢註经常被有心人士作为网路攻击的手段。
Palo Alto Networks的网域抢註侦测系统在2019年12月发现有13,857件的网域抢註事件,平均每天有450件,而其中,Palo Alto Networks发现有2,595 件案例 (18.59%)是恶意的,这些案例经常利用网域抢註散播恶意软体或进行网路钓鱼;当中有5,104件案例 (36.57%)是有高度风险,因当中包含了恶意的URL网址或防弹主机(Bulletproof Hosting)。
在2019年12月,我们也根据调整后的恶意比例排出前20个最常被滥用的网域,这意味着通常一个网域名称与许多个网域抢註行为相关,或者这些网域名称中大多数被认定为有恶意意图的。Palo Alto Networks发现网域抢註的攻击者倾向高获利的目标,例如主流的搜寻引擎、社群媒体、金融银行或购物网站,透过网路钓鱼或诈骗行为窃取消费者的私密资讯或金钱。

排名前20最常被滥用的网域名称
网域抢註攻击者偏好受欢迎且容易赚取利润的目标。排名前20最容易被滥用的网域名称都是很受欢迎的网站,例如主流搜索引擎、社群媒体、金融、购物和银行网站,在这些网域中,消费者被锁定成钓鱼或是被诈骗的目标,以便窃取机密的凭证资料或金钱。虽然模仿这些知名网站的网域抢註有利于网域的知名度,但却使得更多消费者容易受骗上当。因此,这些知名网域在抢註侦测的数量相对较高。以下是排名前20名最容易被滥用的网域名称。从2019年12月至今,Palo Alto Networks观察了许多以不同目的为手法的恶意网域包括:
•网路钓鱼:网路钓鱼是最常见利用网域抢註进行的网路威胁之一。所有讨论到的网域抢註手段都是在说服消费者,使消费者相信此网域名称为正规公司所有,进而增加网路钓鱼及诈骗的效率。
•散播恶意软体:其中一个案例是三星电子的网域名称组合抢註,其中包含了Azorult恶意软体的URL。此外,Azorult是一个专门偷窃消费者个人资料及信用卡资讯的恶意软体,通常是以email的方式传播,Azorult已经从2016年活跃至今,且是最常见的恶意软体。只要执行此恶意软体,它便会藉由机器的使用名称产生独特的识别器,接着此恶意软体会经由此识别器联繫Command and control (C2)伺服器以取得受感染的装置,包括运作程序及服务。
•重新计费诈骗:重新计费诈骗会需要先支付小额订阅产品的款项,如订购减肥药。若消费者在宣传期后忘记取消订阅的款项,通常是50至100美元便会直接从他们的信用卡中扣除。另外,网域名称组合抢註,例如netflixbrazilcovid[.]com 借用 Netflix及新冠肺炎双重名称取利。它的主要页面看似葡萄牙的Netflix网站,且要求消费者的电邮地址。或是利用潜在受害者显示诈骗奖励讯息。最后,消费者将被重新导向至一个问卷,再到一个重新计费诈骗页面。
•潜在附加软体(PUP): 潜在附加软体类似于间谍软体、广告软体或浏览器扩充的独立软体。他们通常会有多余的改变,像改变浏览器的默认页面或劫持浏览器插入广告。研究发现,下载PUP的人也会被导向恶意程式。使用PUP的网站通常会使用「你的电脑中毒了!」或「你的认证过期了!」等警告讯息,威吓消费者下载广告上的软体。
•奖励诈骗:另一个知名的诈骗手法是给予消费者免费产品或奖金的奖励。最初选取facebookwinners2020[.]com时,网页开发状态只有一张替代图片及文字。近期,犯罪者将替代图片改为含有意义的图片。可以看到页面仿造成Facebook相关的免费乐透。要赢得奖励的话,消费者需要填写个人资料,如生日、电话号码、职业,及收入。
为了侦测网域抢註,Palo Alto Networks开发了一个自动化系统,可以从新註册的网域名称和被动DNS (pDNS)数据中拦截新兴活动。Palo Alto Networks恶意和可疑的网域抢註,并将它们分类到适当的组别 (例如网络钓鱼,恶意软件,C2或灰色软体)。这些分类的域名能在多种Palo Alto Networks的安全订阅中取得,包含网路筛选以及网域名称系统安全。
Palo Alto Networks建议企业阻挡并密切注意他们的网路流量,消费者也应该确保自己正确地输入网域名称并在进入任何网站之前再次检查是否能信任这些网域的拥有者。

前往页首