現在的網路消費者依賴搜尋網域名稱以便找到特定品牌、服務、專業人員或網站已經成為常態。網路犯罪者利用消費者的這個習慣,刻意註冊與知名品牌相似的商品名稱,其目的在於混淆消費者,藉此使其上鉤。此類的犯罪手法叫做「網域搶註」(Cybersquatting),目的在於誤導消費者對品牌的認知,像是誤以為netflix-payment.com為Netflix所有,或是利用消費者的拼字錯誤,像是whatsalpp與WhatsApp來獲利。雖然網域搶註這樣的行為並非總是惡意,但是網域搶註在美國是非法的,並且網域搶註經常被有心人士作為網路攻擊的手段。
Palo Alto Networks的網域搶註偵測系統在2019年12月發現有13,857件的網域搶註事件,平均每天有450件,而其中,Palo Alto Networks發現有2,595 件案例 (18.59%)是惡意的,這些案例經常利用網域搶註散播惡意軟體或進行網路釣魚;當中有5,104件案例 (36.57%)是有高度風險,因當中包含了惡意的URL網址或防彈主機(Bulletproof Hosting)。
在2019年12月,我們也根據調整後的惡意比例排出前20個最常被濫用的網域,這意味著通常一個網域名稱與許多個網域搶註行為相關,或者這些網域名稱中大多數被認定為有惡意意圖的。Palo Alto Networks發現網域搶註的攻擊者傾向高獲利的目標,例如主流的搜尋引擎、社群媒體、金融銀行或購物網站,透過網路釣魚或詐騙行為竊取消費者的私密資訊或金錢。
排名前20最常被濫用的網域名稱
網域搶註攻擊者偏好受歡迎且容易賺取利潤的目標。圖1展示了排名前20最容易被濫用的網域名稱,這些目標都是很受歡迎的網站,例如主流搜索引擎、社群媒體、金融、購物和銀行網站,在這些網域中,消費者被鎖定成釣魚或是被詐騙的目標,以便竊取機密的憑證資料或金錢。雖然模仿這些知名網站的網域搶註有利於網域的知名度,但卻使得更多消費者容易受騙上當。因此,這些知名網域在搶註偵測的數量相對較高。以下是排名前20名最容易被濫用的網域名稱。
圖1.排名前20最易被濫用的網域名稱
從2019年12月至今,Palo Alto Networks觀察了許多以不同目的為手法的惡意網域包括:
• 網路釣魚:網路釣魚是最常見利用網域搶註進行的網路威脅之一。所有討論到的網域搶註手段都是在說服消費者,使消費者相信此網域名稱為正規公司所有,進而增加網路釣魚及詐騙的效率。
圖2展示了一個網域名稱的組合搶註的網路釣魚案例,以模仿Amazon來竊取消費者的身分資訊,目標受害者為印度的手機消費者。就像常見的詐騙手法一樣,所有在手機介面上的互動會被重新導向至相同的產品頁面 (如圖2中間的截圖所示),接著再被導向付款頁面,消費者因而受騙。
圖2.不實的Amazon手機版介面
• 散播惡意軟體: 其中一個案例是三星電子的網域名稱組合搶註,其中包含了Azorult惡意軟體的URL。此外,Azorult是一個專門偷竊消費者個人資料及信用卡資訊的惡意軟體,通常是以email的方式傳播,Azorult已經從2016年活躍至今,且是最常見的惡意軟體。只要執行此惡意軟體,它便會藉由機器的使用名稱產生獨特的識別器,接著此惡意軟體會經由此識別器聯繫Command and control (C2)伺服器以取得受感染的裝置,包括運作程序及服務。
• 重新計費詐騙:重新計費詐騙會需要先支付小額訂閱產品的款項,如訂購減肥藥。若消費者在宣傳期後忘記取消訂閱的款項,通常是50至100美元便會直接從他們的信用卡中扣除。另外,網域名稱組合搶註,例如netflixbrazilcovid[.]com 借用 Netflix及新冠肺炎雙重名稱取利。它的主要頁面看似葡萄牙的Netflix網站 (圖3a),且要求消費者的電郵地址。或是利用潛在受害者顯示詐騙獎勵訊息 (圖3b)。最後,消費者將被重新導向至一個問卷,再到一個重新計費詐騙頁面 (圖3c)
圖3.a.netflixbrazilcovid[.]com製造的假的Netflix首頁
圖3.b.譯為英文網頁
圖3.c.偽社交工程的獎勵電郵
• 潛在附加軟體(PUP): 潛在附加軟體類似於間諜軟體、廣告軟體或瀏覽器擴充的獨立軟體。他們通常會有多餘的改變,像改變瀏覽器的默認頁面或劫持瀏覽器插入廣告。研究發現,下載PUP的人也會被導向惡意程式。使用PUP的網站通常會使用「你的電腦中毒了!」或「你的認證過期了!」等警告訊息,威嚇消費者下載廣告上的軟體。
圖4顯示了沃爾瑪的網域名稱組合搶註(walrmart44[.]com)。根據瀏覽器使用,消費者被重新導向登陸頁面,提供不同的PUP載點。當Palo Alto Networks以Safari進入此網域名,它顯示Flash需要更新,且本網站可提供最新版本,如圖4.a.。使用Chrome時,「點擊繼續以安裝擴充」頁面出現,如圖4.b.,重新將消費者導向Chrome商店的Security for Chrome擴充頁面。或者,網站會重新導向合法的電子商務網站,如沃爾瑪、亞馬遜,及全球速賣通。經過重複進入網站,IP地址來源將會被記住,且使用其他不同瀏覽器也會被拒絕訪問 (圖4c)。
圖4.a.重新導向至walrmart44[.]com Safari PUP安裝
圖4.b. 重新導向至walrmart44[.]com Chrome PUP安裝
圖4.c. 太頻繁進入walrmart44[.]com時會阻擋網路爬蟲
• 獎勵詐騙:另一個知名的詐騙手法是給予消費者免費產品或獎金的獎勵。最初選取facebookwinners2020[.]com時,如圖5.a.網頁開發狀態只有一張替代圖片及文字。近期,犯罪者將替代圖片改為含有意義的圖片。從下圖可以看到頁面仿造成Facebook相關的免費樂透。要贏得獎勵的話,消費者需要填寫個人資料,如生日、電話號碼、職業,及收入。(圖5.b.)
圖5.a.獎勵詐騙頁面:facebookwinners2020[.]com
圖5.b. Facebookwinners2020[.]com的申請表格,其要求個人資訊
為了偵測網域搶註,Palo Alto Networks開發了一個自動化系統,可以從新註冊的網域名稱和被動DNS (pDNS)數據中攔截新興活動。Palo Alto Networks惡意和可疑的網域搶註,並將它們分類到適當的組別 (例如網絡釣魚,惡意軟件,C2或灰色軟體)。這些分類的域名能在多種Palo Alto Networks的安全訂閱中取得,包含網路篩選以及網域名稱系統安全。
Palo Alto Networks建議企業阻擋並密切注意他們的網路流量,消費者也應該確保自己正確地輸入網域名稱並在進入任何網站之前再次檢查是否能信任這些網域的擁有者。更多網路攻擊的防範方法請造訪此網頁。