网络犯罪分子利用域名在互联网上的重要作用，注册与现有域名或品牌相关的名称，意图从用户犯错中谋利。这种行为称为“域名抢注”，虽然域名抢注不一定对用户有害，但遭抢注的域名经常被利用或变更以用于网络攻击。

Palo Alto Networks（派拓网络）威胁情报团队Unit 42旗下的域名抢注检测系统发现，2019年12月间共有13,857个域名遭抢注，平均每天450个。情报团队发现，其中有2,595个 （18.59%）遭抢注的域名为恶意，经常发布恶意软件或进行网络钓鱼攻击，另有5,104个 （36.57%）遭抢注的域名对访客构成高风险，意味着这些域名与恶意网址有关，或使用防弹主机（bulletproof hosting）。

根据调整后的恶意比率，Palo Alto Networks（派拓网络）列出在2019年12月最常被滥用的20个域名。这些域名是许多抢注域名的目标，或模仿的大部分抢注域名被确认为恶意。研究发现，域名抢注分子倾向于那些有利可图的目标，例如主流搜索引擎及社交媒体、金融、购物和银行网站，并通过网络钓鱼和诈骗，窃取敏感凭证或金钱。

图一：2019年12月最常被滥用的20大域名排行榜

由2019年12月至今，Palo Alto Networks（派拓网络）观察到不同恶意域名的不同目的：

• 网络钓鱼：一个模仿富国银行的域名（secure-wellsfargo[.]org）以窃取客户的敏感信息为目的，包括邮件凭证和ATM PIN码。此外，一个模仿亚马逊的域名 （amazon-india[.]online）会窃取用户凭证，特别针对印度的手机用户。

图二：伪造的Amazon网站：amazon-india[.]online

• 传播恶意软件：一个模仿三星的域名（samsungeblyaiphone[.]com）带有恶意软件Azorult，能窃取信用卡资料。
• 命令和控制(C2)：模仿微软的域名（microsoft-store-drm-server[.]com和 microsoft-sback-server[.]com）试图进行C2攻击，危害整个网络。
• 再付费欺诈：数个模仿Netflix的钓鱼网站（例如netflixbrazilcovid[.]com）首先以小金额的首次付款优惠诱使用户订购减肥药等产品。但是，如果用户在促销期后没有取消订购，其信用卡会被收取更高的费用，通常为50至100美元。

图三a：netflixbrazilcovid[.]com上伪造的Netflix主页

图三b：以社交工程诈骗用户的奖励邮件

• 潜在有害程序（Potentially unwanted program，PUP）：模仿沃尔玛及三星的域名（walrmart44[.]com和samsungpr0mo[.]online）传播潜在有害程序，例如间谍软件、广告软件或浏览器扩展功能。这些域名通常会执行有害变更，例如更改浏览器的默认页面或劫持浏览器以插入广告。值得一提的是，这个三星域名看起来像是一个合法的澳大利亚教育新闻网站。

图四：点击来自samsungpr0mo[.]online的警告信息后，出现伪造的病毒扫描页面

• 技术支持欺诈：一些模仿微软的域名（例如microsoft-alert[.]club）试图威吓用户为伪造的客户支持服务付费。

图五：microsoft-alert[.]club上伪造的技术支持页面

• 奖励欺诈：一个模仿Facebook的域名（facebookwinners2020 [.] com）以免费产品或金钱等奖励欺骗用户。用户需要在表格填写出生日期、电话号码、职业和收入等个人信息，才能领奖。

图六：facebookwinners2020[.]com上索取个人资料的表格

• 域名停放：一个模仿加拿大皇家银行的域名（rbyroyalbank[.]com）利用流行的域名停放服务ParkingCrew，根据浏览该网站的用户数量及广告点击率来赚取利润。

Unit 42研究人员调查了各种域名抢注伎俩，包括误植抢注（typosquatting）、组合抢注 （combosquatting）、级别抢注（level-squatting），比特抢注（bitsquatting）及同形异义字抢注（homograph-squatting）。恶意分子可以利用这些伎俩传播恶意软件或进行欺诈和网络钓鱼活动。

Palo Alto Networks（派拓网络）特别开发了自动化系统检测域名抢注，能够从新注册的域名以及被动DNS（pDNS）数据中捕捉新出现的活动。Palo Alto Networks（派拓网络）持续检测目前活跃的网络域名抢注——识别恶意及可疑的域名抢注，并将其指定为适当的类别，例如网络钓鱼、恶意软件、C2或灰色软件。Palo Alto Networks（派拓网络）的多个安全订阅服务已提供针对这些域名类别的保护措施，包括URL过滤和DNS安全。

Palo Alto Networks（派拓网络）建议企业屏蔽并密切监测来自这些域名的网络流量，而消费者则应确保正确输入域名，并在进入任何网站前再次确认域名所有者是否可信。有关如何防范网络攻击的更多技巧，请点击此处。

如欲了解此次研究的更多详情，请浏览Unit 42 博客文章。

敬请关注Palo Alto Networks（派拓网络）官方微信账号

網絡犯罪分子利用域名在互聯網上的重要性，註冊與現有域名或品牌相關的名稱，務求從用戶的錯誤中圖利。這種行為稱為「域名搶注」(cybersquatting)，雖然域名搶注不一定對用戶有害，但遭搶注的域名經常被利用或改用於網絡攻擊。

Palo Alto Networks威脅情報團隊Unit 42旗下的域名搶注檢測系統發現，共有13,857個域名於2019年12月遭搶注，平均每天450個。情報團隊發現，當中有2,595個 (18.59%) 遭搶注的域名為惡意，經常發佈惡意軟件或進行網絡釣魚攻擊，另有 5,104個 (36.57%) 遭搶注的域名對訪客構成高風險，意味這些域名與惡意網址有關，或使用防彈主機 (bulletproof hosting)。

根據調整後的惡意比率，Palo Alto Networks列出在2019年12月最常被濫用的20個域名。這些域名都是與許多搶注的域名相關，或大部分模仿的搶注域名被確認為惡意。團隊發現，域名搶注分子喜歡有利可圖的目標，例如主流搜索引擎及社交媒體、金融、購物和銀行網站，並透過網絡釣魚和騙局，竊取用戶機密的身份驗證資料或金錢。

圖一：2019年12月最常被濫用的20個域名

由2019年12月至今，Palo Alto Networks觀察到不同惡意域名各有不同目的：

• 網絡釣魚：一個與富國銀行相關的域名 (secure-wellsfargo[.]org) 以竊取客戶的敏感資料為目的，包括電郵身份驗證資料和ATM密碼。此外，一個與Amazon相關的域名 (amazon-india[.]online) 會竊取用戶的身份驗證資料，特別是印度的手機用家。

圖二：偽冒的Amazon網站：amazon-india[.]online

• 散播惡意軟件：一個與Samsung相關的域名 (samsungeblyaiphone[.]com) 載有惡意軟件Azorult，能竊取信用卡資料。
• 指揮控制 (C2)：與Microsoft相關的域名 (microsoft-store-drm-server[.]com和 microsoft-sback-server[.]com) 試圖進行C2攻擊，危害整個網絡。
• 再付費詐騙：數個與Netflix相關的釣魚網站 (例如netflixbrazilcovid[.]com) 首先以小金額的首次付款優惠誘使用戶訂購減肥藥等產品。但是，如果用戶在促銷期後沒有取消訂購，其信用卡則會被收取更高的費用，通常介乎50至100美金。

圖三a：netflixbrazilcovid[.]com上偽冒的Netflix主頁

圖三b：以社交工程詐騙用戶的獎賞電郵

• 潛在附加程式 (Potentially unwanted program，PUP)：與Walmart及Samsung相關的域名 (walrmart44[.]com和samsungpr0mo[.]online) 散播潛在附加程式，例如間諜軟件、廣告軟件或瀏覽器擴充功能。這些域名通常會執行不需要的更改，例如更改瀏覽器的默認頁面或騎劫瀏覽器以插入廣告。值得一提的是，這個Samsung域名看似是個正規的澳洲教育新聞網站。

圖四：點擊來自samsungpr0mo[.]online的警告訊息後，出現偽造的病毒掃描頁面

• 技術支援騙局：一些與Microsoft相關的域名 (例如microsoft-alert[.]club) 試圖威嚇用戶購買偽冒的客戶支援。

圖五：microsoft-alert[.]club上偽冒的技術支援頁面

• 獎賞騙局：一個與Facebook相關的域名 (facebookwinners2020 [.] com) 以免費產品或金錢等獎賞騙取用戶。用戶需要在表格填寫個人資料，例如出生日期、電話號碼、職業和收入，才能領取獎賞。

• 域名停泊：一個與加拿大皇家銀行相關的域名 (rbyroyalbank[.]com) 利用流行的域名停泊服務ParkingCrew，根據瀏覽該網站的用戶數量及廣告點擊率來賺取利潤。

Unit 42研究人員調查了各種域名搶注技倆，包括錯別字搶注 (typosquatting)、組合詞搶注 (combosquatting)、級別搶注 (level-squatting)，字母差異搶注 (bitsquatting) 及同形異義字搶注 (homograph-squatting)。惡意分子可以利用這些技倆散播惡意軟件或進行欺詐和網絡釣魚活動。

Palo Alto Networks特別開發了自動化系統檢測域名搶注，能夠從新註冊的域名以及被動DNS (pDNS) 數據中採集潛伏的動態。Palo Alto Networks識別惡意及可疑的域名搶注，並將其分類為適當類別，例如網絡釣魚、惡意軟件、C2或灰色軟件。多個Palo Alto Networks的保安計劃已提供針對這些域名類別的保護，包括URL篩選和DNS保安。

Palo Alto Networks建議企業阻止及密切監察網絡流量，而消費者應確保正確輸入域名，並在進入任何網站前仔細檢查域名持有者是否可信。如需更多有關如何防範網絡攻擊的詳情，請按此處。

如欲了解是次研究的更多詳情，請瀏覽Unit 42 網誌。