一個使用「.tk」域名後綴的詐騙活動發現從今年 5 月開始活躍起來,把沒有疑心的用戶重新導引到偽裝的博客網站,藉此每月賺取約 22,000 美元的廣告收入,而除了博客網站,同時也設置技術支援詐騙的網站,同樣使用 .tk 作為域名。
國家頂級域名免費使用引致
「.tk」是國家級別的頂級域名後綴,就好像.ca (加拿大) 和 .fr (法國) 一樣,而這次涉事的就是隸屬於紐西蘭的太平洋島國托克勞,人口大約 1,300 人,似乎並非進行大型廣告詐騙活動的地方。事件源於「.tk」的域名並非一般的便宜,而是「免費」!對於想快速建立網絡攻擊架構的人事極為吸引,研究人員就發現數以千計的 .tk 登記的網站正進行類似的行為。
令事件曝光的原因是研究人員發現有一連串合法的網站被入侵,然後被導引到相關域名的網站,而有趣的是並非每次都會進行重新導引,而是當隨機數字 3 出現時才會發生。當導引發生就會利用到 .tk 域名的網站,把用戶傳送到偽裝成不同主題的博客網站,又或者假技術支援網站,自稱可以為用戶移除病毒並要求用戶致電求助。
詐騙活動涉及超過 3 千個域名
研究人員總共找到 3,804 獨立的 .tk 域名牽涉到詐騙活動,部份只在今年 5 月才建立,.tk 域名有時只用戶中介導引,部份偽裝的博客網站並非使用 .tk 作為域名。導引的網址也並不固定,網址在 72 個偽裝博客網站中循環,而網站名稱都以沒有意思的方式命名,但全部都使用相同的 IP 地址,博客內客通常是抄襲或垃圾內容,真正目的只是顯示廣告,研究人員估計每個月廣告收入約 21,600 美元,而且那些網站的流量與日俱增。
至於假技術支援的詐騙網站,網站名依然是沒有意思的命名,進入後會顯示驚告訊息,讓用戶致電指定電話號碼以取得協助,當用戶致電該號碼便會有真人接聽和收費詳情的資訊。
可能演變成其他惡意攻擊
研究人員發現詐騙網站的流量穩步上升,不但活躍,而且無處不在和不斷成長,這些詐騙活動可能只是整個惡意行為的冰山一角。即使現時只是導引用戶到偽裝博客網站和假技術支援網站,但在未來大有可能引導用戶到釣魚網站或其他載有惡意程式的網站,藉此增加收入的來源。
資料來源:ThreatPost