防止组合抢注攻击

组合抢注,即欺骗用户访问包含不同或额外单词的熟悉商标的域名,已经成为日益严重的问题,并可能对用户产生不利影响。

通过格雷戈里·黑尔,ISSSource 2018年1月2日

在点击一个链接之前,不断地仔细检查网站的网址,这已经在电脑用户的大脑中根深蒂固。聪明而狡猾的攻击者知道这一点,并利用这一做法诱骗用户访问包含熟悉商标的网站域名——但使用附加的单词将目的地更改为攻击站点。

例如,攻击者可能会注册一个用户熟悉的类似名称的网站。粗心的用户在URL中看到熟悉的银行名称,但附加的连字符意味着目的地与预期的非常不同。结果可能是假冒商品、被盗凭证、恶意软件感染,或者另一台计算机被征召进入僵尸网络攻击。

根据一项新的研究,众所周知的“域名抢注”(Combosquatting)是一种日益严重的威胁,数以百万计的域名被用于恶意目的。

佐治亚理工学院(Georgia Institute of Technology)电气与计算机工程学院助理教授马诺斯·安东纳卡基斯(Manos Antonakakis)说,“对手越来越多地使用这种策略,因为他们看到了这种策略的效果。”“这种攻击隐藏在显而易见的地方,但许多人并不精通计算机,无法注意到包含熟悉商标名称的url的区别。”

来自佐治亚理工学院和石溪大学的研究人员进行了这项研究,这被认为是第一次大规模的组合抢注实证研究。

组合抢注不同于其更为人所知的同类类型——打字抢注,在这种情况下,攻击者会注册用户可能输入错误的url的变体。组合抢注域名并不依赖于受害者的输入错误,而是提供嵌入在电子邮件、网络广告或网络搜索结果中的恶意链接。组合抢注攻击者通常将商标名称与一个旨在传达紧迫感的术语结合起来,以鼓励受害者点击第一眼看起来是合法链接的内容。

欺骗专家

佐治亚理工学院研究生研究助理、该研究的第一作者帕纳乔蒂斯·金蒂斯(Panagiotis Kintis)说:“我们已经看到组合抢注被用于我们所知道的几乎所有类型的网络攻击,从飞车下载到民族国家的网络钓鱼攻击。”“这些攻击甚至可以骗过可能正在查看网络流量是否有恶意活动的安全人员。当他们看到一个熟悉的商标时,他们可能会有一种虚假的舒适感。”

在他们的研究中,研究人员从美国500个最受欢迎的商标域名开始,并排除了由常用词组成的某些组合。他们将这些领域分为20个类别,然后增加了两个额外的领域:一个是政治领域——这项研究是在2016年大选之前完成的——另一个是能源领域。

有了268个包含商标的url,他们开始寻找那些在开头或结尾添加额外单词的域名。他们搜索了北美最大的互联网服务提供商之一提供的六年主动和被动域名系统(DNS)请求——超过4680亿条记录。

“结果令人兴奋,”金蒂斯说。“例如,我们发现组合抢注域名比打字抢注域名多出几个数量级。组合抢注的空间几乎是无限的,因为攻击者可以注册尽可能多的域名,并使用他们想要的任何变体。在某些情况下,注册一个域名的费用可能不到一美元。”

在六年的数据集中,研究人员发现,仅268个流行商标就有270万个组合抢注域名,组合抢注域名的流行程度是打字抢注域名的100倍。组合抢注攻击似乎很难对付,近60%的滥用域名运行超过1000天,几乎是三年。从2011年到2016年,注册的组合抢注域名数量每年都在增长。

域的收购

在这些恶意域名中,研究人员发现了一些之前由合法公司注册的域名,这些域名将单词与其商标结合在一起。出于某种原因,这些公司允许注册失效,允许包含商标的域名——这些域名曾经导致合法网站——被组合抢注攻击者接管。

在许多情况下,恶意域名在过期后被多次重新注册,这表明可能需要改善“互联网卫生”来解决这一威胁。

安东纳卡基斯说:“想象一下,如果一个城市的垃圾没有被定期清理,会发生什么。”“垃圾堆积起来,你就会患上疾病。没有人收集互联网上的垃圾域名,因为这不是任何人的工作。但是应该有一个组织来收集这些恶意域名,这样它们就不会被重新用来感染人们。”

他补充说,对注册域名的人进行更严格的反欺诈审查也会有所帮助。“我们不想阻止合法用户上网,但注册商可能会发现潜在欺诈的警告信号。”

普通计算机用户和他们工作的组织可以做什么?

“不幸的是,用户必须接受比现在更好的教育,”安东纳卡基斯说。“组织可以在新员工入职过程中提供培训,他们可以保护自己的网络边界,防止用户接触到已知的组合抢注域名。我们需要做更多的工作来解决日益严重的网络安全问题。”

格雷戈里·黑尔是《工业安全与保安资源》(ISSSource.com)是一个新闻及资讯网站,内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource.com。ISSSource是CFE Media的内容合作伙伴。Chris Vavra编辑,CFE Media制作编辑,cvavra@cfemedia.com

在线额外

参见下面链接的ISSSource的相关故事。

原创内容可在www.isssource.com

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献,并获得您和您的公司应得的认可。点击在这里开始这个过程。

面向工程师的新产品
搜索产品并发现您所在行业的新创新