網絡犯罪分子利用新型頂級域名、熱門關鍵詞和有針對性的電子郵件誘騙受害者點擊惡意鏈接。
域名欺詐是一種古老的網絡安全威脅,隨著網絡犯罪分子利用新的頂級域名、隱私法規和社交工程策略,這種欺詐方法以新的表現形式出現在大眾眼前。
Proofpoint Digital Risk Protection 的研究人員在 2019 年域名欺詐報告中發現,超過 3/4 的企業發現了冒充其品牌的 “相似” 域名。幾乎所有人企業 (96%) 都發現自己的品牌域名與另一個頂級域名(TLD)完全相同;例如,URL以 “.net” 結尾的,而不是以 “.com”。
Proofpoint 負責威脅業務的副總裁 Kevin Epstein 表示:不論是從直接收入還是間接損失的角度來看,這都給品牌造成了巨大的問題。
在最理想的情況下,消費者可能偶然發現了一個與你的域名類似的空白網站。最糟糕的情況是,他們最終進入了冒牌網站,進行了一筆交易,他們的資金和信用卡信息被發送給了網絡犯罪分子。他們對攻擊者和品牌都感到憤怒。
冒牌域名會損害企業聲譽,導致客戶流失造成間接財務影響。
大多數域名都是由個人和企業為了合法業務注冊的。而有一些域名則是被攻擊者注冊用來發起網絡釣魚攻擊、在冒牌網站上銷售山寨商品、或通過 “誤植域名 (typo-squatting) ” 劫持誤植流量來賺錢。Proofpoint 發現,在 2018 年第一季度到第四季度,欺詐性域名的注冊數量增長了 11%。這些域名會根據一個分析域名記錄、信譽、網站內容、電子郵件活動和其他因素的分類引擎被歸為欺詐性域名。
Epstein在今年的報告中說道:最有趣的事情是攻擊者策略的變化。網絡犯罪分子已經從投資先進技術攻擊轉向 “發生在互聯網的每一個角落”,更針對個人的網絡釣魚攻擊。任何一封電子郵件都可能想要騙取你的錢財,假裝來自你的老板或銀行。
這些把戲都源于社交工程。新頂級域名 (TLD) 的興起導致了欺詐性域名注冊激增。研究人員發現,除了傳統的 “.com”,“.net” 和 “.org” 之外,其他欺詐域名呈 “顯著增長” 趨勢。有一些不太為人所知的欺詐性頂級域名包括 “.top” (#2),”.fr”(#3), “.men”(#19),和 “.work”(50)。歐洲國家代碼經常被那些希望通過虛假鏈接欺騙受害者的犯罪分子們使用。
如果有人在 URL 中看到知名銀行的名稱,他們很可能會點擊鏈接,而不會注意到末尾的 .pop 或 .xyz。看到這些人們應該會停下來,但這發生在知名品牌身上似乎看起來是安全的。
這種傾向可以在 Segasec 的新發現中得到證實,該公司最近發現針對 Walmart、Best Buy 和 Wayfair 客戶的域名欺騙行為有所增加。據有關人士透露,就是在母親節前一周,他們注意到有 188 個與沃爾瑪品牌相關的域名被創建,而在節日前兩周則有 80 個新域名被創建:walmartgiftpromo[.]com 就是一個例子。其他的還包括了bestbuy-survey[.],online,bestbuyus[.]org和bestbuycyprus[.]eu。
Segasec首席執行官Elad Schulman表示:
一些詐騙網站有證書,這也讓受害者放心。攻擊者正從普通域名轉向合法證書,這一趨勢導致了受害者的 “歸因錯誤”。當然,掛鎖表示與服務器的連接是加密的,但這并不意味著服務器是合法的。人們看到掛鎖時感到安全;因此,他們很可能會接觸這些潛在的惡意網站。
更多的攻擊者不再依賴于被動的搶注域名策略,而是直接通過釣魚攻擊欺騙受害者。研究人員稱,商務郵件詐騙 (BEC) 非常常見。很多犯罪分子會挑選一大群人作為目標發送惡意鏈接,這些鏈接似乎來自真正的品牌,或者包含他們認為受害者可能會點擊的關鍵詞。
哪些術語最常見?有一些詞語常年占據榜單;例如 “房地產”(real estate),在六月到十二月穩居榜首,以及 “待售”(for sale)、“我是”(I am)、“區塊鏈”(block chain)、“比特幣”(bit coin) 以及其他與加密貨幣相關的美國城市名稱和術語。其他經常出現在域名中的技術相關術語包括 “服務器”、“安全性” 和 “系統”。
受到這些惡意郵件攻擊的不是首席執行官或首席財務官,而通常是與之共事的中層管理人員。Epstein 表示:這并不一定和高層有關。攻擊者更有可能成功地欺騙 CEO 的助理,而不是 CEO 本人,他們會頻繁地瀏覽 LinkedIn 和其他社交平臺,找出他們的目標。
Schulman 指出,不僅電子郵件會帶來域欺欺詐的風險。
