現在的網路消費者依賴搜尋網域名稱以便找到特定品牌、服務、專業人員或網站已經成為常態。網路犯罪者利用消費者的這個習慣,刻意註冊與知名品牌相似的商品名稱,其目的在於混淆消費者,藉此使其上鉤。此類的犯罪手法叫做「網域搶註」。
網域搶註(Cybersquatting)目的在於誤導消費者對品牌的認知,像是誤以為netflix-payment.com為Netflix所有,或是利用消費者的拼字錯誤,像是whatsalpp與WhatsApp來獲利。雖然網域搶註這樣的行為並非總是惡意,但是網域搶註在美國是非法的,並且網域搶註經常被有心人士作為網路攻擊的手段。
Palo Alto Networks的網域搶註偵測系統在2019年12月發現有13,857件的網域搶註事件,平均每天有450件,而其中,Palo Alto Networks發現有2,595件案例 (18.59%)是惡意的,這些案例經常利用網域搶註散播惡意軟體或進行網路釣魚;當中有5,104件案例(36.57%)是有高度風險,因當中包含了惡意的URL網址或防彈主機(Bulletproof Hosting)。
在2019年12月,也根據調整後的惡意比例排出前20個最常被濫用的網域,這意味著通常一個網域名稱與許多個網域搶註行為相關,或者這些網域名稱中大多數被認定為有惡意意圖的。Palo Alto Networks發現網域搶註的攻擊者傾向高獲利的目標,例如主流的搜尋引擎、社群媒體、金融銀行或購物網站,透過網路釣魚或詐騙行為竊取消費者的私密資訊或金錢。
網域搶註攻擊者偏好受歡迎且容易賺取利潤的目標。排名前20最容易被濫用的網域名稱都是很受歡迎的網站,例如主流搜索引擎、社群媒體、金融、購物和銀行網站,在這些網域中,消費者被鎖定成釣魚或是被詐騙的目標,以便竊取機密的憑證資料或金錢。雖然模仿這些知名網站的網域搶註有利於網域的知名度,但卻使得更多消費者容易受騙上當。因此,這些知名網域在搶註偵測的數量相對較高。
排名前20最易被濫用的網域名稱 .圖說
從2019年12月至今,Palo Alto Networks觀察了許多以不同目的為手法的惡意網域包括:
- 網路釣魚:網路釣魚是最常見利用網域搶註進行的網路威脅之一。所有討論到的網域搶註手段都是在說服消費者,使消費者相信此網域名稱為正規公司所有,進而增加網路釣魚及詐騙的效率。
- 散播惡意軟體: 其中一個案例是三星電子的網域名稱組合搶註,其中包含Azorult惡意軟體的URL。此外,Azorult是一個專門偷竊消費者個人資料及信用卡資訊的惡意軟體,通常是以email的方式傳播,Azorult已經從2016年活躍至今,且是最常見的惡意軟體。只要執行此惡意軟體,它便會藉由機器的使用名稱產生獨特的識別器,接著此惡意軟體會經由此識別器聯繫Command and control(C2)伺服器以取得受感染的裝置,包括運作程序及服務。
- 重新計費詐騙:重新計費詐騙會需要先支付小額訂閱產品的款項,如訂購減肥藥。若消費者在宣傳期後忘記取消訂閱的款項,通常是50至100美元便會直接從他們的信用卡中扣除。
- 潛在附加軟體(PUP):潛在附加軟體類似於間諜軟體、廣告軟體或瀏覽器擴充的獨立軟體。通常會有多餘的改變,像改變瀏覽器的默認頁面或劫持瀏覽器插入廣告。研究發現,下載PUP的人也會被導向惡意程式。使用PUP的網站通常會使用「你的電腦中毒了!」或「你的認證過期了!」等警告訊息,威嚇消費者下載廣告上的軟體。
- 獎勵詐騙:另一個知名的詐騙手法是給予消費者免費產品或獎金的獎勵。最初選取facebookwinners2020[.]com時。近期,犯罪者將替代圖片改為含有意義的圖片。要贏得獎勵的話,消費者需要填寫個人資料,如生日、電話號碼、職業,及收入。
為了偵測網域搶註,Palo Alto Networks開發了一個自動化系統,可以從新註冊的網域名稱和被動DNS(pDNS)數據中攔截新興活動。Palo Alto Networks惡意和可疑的網域搶註,並將它們分類到適當的組別(例如網絡釣魚,惡意軟件,C2或灰色軟體)。這些分類的域名能在多種Palo Alto Networks的安全訂閱中取得,包含網路篩選以及網域名稱系統安全。
Palo Alto Networks建議企業阻擋並密切注意網路流量,消費者也應該確保自己正確地輸入網域名稱並在進入任何網站之前再次檢查是否能信任這些網域的擁有者。