域名资讯

「品牌+子域名」如何成为网络钓鱼欺诈的“鱼饵”?

2022-05-18 09:40:58

IPRdaily导读:子域名是URL中域名之前的部分,通常用点分隔。子域可用于构建具有各种用途的网址,比如为子品牌或活动创建单个微网站,或建设特定地区或主题的子网站。从品牌监控角度来看,在第三方URL子域名中出现的品牌名称或其他相关关键词,可能会与各种品牌侵权问题相关联。因此,品牌所有人应该考虑采用一个稳健的域名安全措施系统,与全面的品牌监控和维权计划相结合,减轻威胁和控制风险。

「品牌+子域名」如何成为网络钓鱼欺诈的“鱼饵”?(图1)

网络域名是互联网财产的基础元素,可使其所有人(注册人)构建和主机托管某个关联网站。所有人还能在域名下面建立其想要的子域名,通过在授权的域名系统 (DNS) 服务器上配置记录,在技术上即可实现该过程。

子域名是 URL 中域名之前的部分,通常用点分隔(例如https://blog.cscglobal.com/ 中的“blog”)。子域可用于构建具有各种用途的网址,比如为子品牌或活动创建单个微网站,或建设特定地区或主题的子网站。

有些互联网服务提供商 (ISP),也被称为私人子域名注册机构,也销售其网站的具体商品化的子域名,从而可使用户创建自己的网站(如“二级”域名, blogspot.com用户可以 username.blogspot.com 的形式注册URL,在本例中用于创建个性化博客)。

「品牌+子域名」如何成为网络钓鱼欺诈的“鱼饵”?(图2)

从品牌监控角度来看,在第三方URL子域名中出现的品牌名称或其他相关关键词,可能会与各种品牌侵权问题相关联。

子域名一些潜在的担忧包括:

① 通过误导搜索引擎查询,作为向第三方内容引导流量的手段

② 创建声称与相关品牌有附属关系的网站

③ 声誉问题——例如,创建包含与特定品牌相关的信息、客户评论或活动材料的网站

④ 作为创建看起来与官方品牌网站类似的URL(例如,用于欺诈性活动、网络钓鱼或分发恶意软件)的手段

鉴于其与熟悉的合法 URL 类似,具体品牌的子域名可能会使互联网用户感觉困惑,从而成为有效的威胁载体。例如,假设的非官方域名cscglobal.blog.com可用于创建官方域名blog.cscglobal.com的可信虚假版本。

汇丰、电信企业频频上演“真假子域名”

就在近几个月,CSC观察到一些利用子域名进行的网络钓鱼攻击(通常使用短信),通过使用品牌名称加入子域名中,以一种特殊的方式创建高度可信的欺骗性URL1,2,如下图所示。

如短信中的网络钓鱼攻击目标,正是该银行的英国客户,网络钓鱼URL在子域名中使用HSBC,加上以“uk-”开头的域名(uk-account.help),形成看起来与实际域名“hsbc.co.uk/account-help”非常相似的URL。这一网络钓鱼网站链接也使用了以前被认为是可信标志的HTTPS协议,这种现象在当下变成超过 80% 网络钓鱼网站的共有特征3,因这种方式可方便地从免费提供商处获得安全套接层 (SSL) 证书。

此方法特别有效的原因有很多,包括使用一些用户可能不熟悉的全新通用顶级域名 (gTLD) 扩展,以及在移动设备上显示时通常在连字符后插入换行符。区域文件分析显示,至少几百个新的 gTLD 注册域名使用可能被用于欺诈性的类似名称。已发现的示例包括:

uk-authorization-online.support、

uk-gov.tax、

uk-insurance.claims、

uk-border.agency 、

uk-lottery.win。 

CSC还在最近网络钓鱼欺诈中,发现了很多品牌子域名遭遇的困境,包括 hermes.online-parcel-reschedule.com(冒充物流公司 Hermes)和 o2.billing9k7j.com(冒充电信组织O2)等。这类攻击不需要欺诈者注册品牌特定的域名(这更容易被使用基本域名监控服务的品牌所有人发现)。在许多情况下,父域的 WHOIS 记录是匿名的,所以难以建立案例之间的链接。这些域名通常是在攻击前刚注册,只在短时间内使用,用以规避检测和关停。

游走在监管“缝隙”的子域名欺诈

一般来说,第三方网站上的品牌相关子域名比域名本身更难检测,后者更容易通过注册表区域文件的通配符搜索被发现。识别子域名最简单的方法是使用搜索引擎元搜索,前提是相关子域名链接自其他网站,且已被搜索引擎收录索引。

此外,此问题还可以使用其他技术予以部分解决,比如域名区域配置信息的详细分析(例如被动 DNS 分析)、证书透明度 (CT) 分析,或者对特定域使用显式查询,以确定特定子域名是否存在。 

其他问题还包括私人子域名注册存在问题,因其不一定受互联网名称与数字地址分配机构 (ICANN) 监管,因此可能缺少争议解决程序、滥用报告流程或任何类型的 WHOIS 信息记录。 

在考虑对侵权子域名维权时,可选择的方法可能相对有限——尤其是与可用于域名的方法相比。有时,可以让注册局、注册商、主机托管提供商或 DNS 提供商帮助维权,但是他们可能没有相应义务。而且,许多既定的争议解决流程不一定适用于子域名,比如统一域名争议解决规则 (UDRP)。然而,在某些情况下也有例外,例如特定新的 gTLD、主机域名与国家/地区代码相对应的实例(例如,jp.com)或其他受限情况(例如,适用于 .NZ 域名的争议解决服务 (DRS))。如无法达到目的,则通常只能进行法庭诉讼4。

使用欺诈性域名和通配符 MX 记录(可让域名所有人接收发送到其域名上的任何子域的电子邮件),也可以使罪犯高度有效地拦截发往可信组织的邮件,从而窃取敏感信息。如果发件人输错接收者电子邮件地址,这种攻击可能会成功(例如输入了多余的“.”)。如果域名经过精心选择,则可以发动针对各种不同组织的攻击(例如,使用 *.bank.[TLD],可用于截获发给任何官方域名为 [brand]bank.[TLD])的组织的地址错误的电子邮件。 

考虑到域名安全形势,品牌所有人最担心的是其自己拥有的域名上存在的那些子域名。IBM®有大约  6万个子域名,而 Microsoft®有超过12万个子域名——子域名管理就会耗费巨大精力。同时不法分子可能会通过“子域名劫持”或“域遮蔽”等方式,威胁品牌及其客户的安全。2021 年的一项研究发现,50000 个全球最重要的网站上有超过 1500 个易受攻击的子域名5。