網站和電郵地址網常用作網絡釣魚和針對性攻擊,這些域名除了直接入侵真實目標公司的官方域名,另一個方法就是登記一個看以該公司的相近域名,希望受害者疏忽沒有留意到真為的差別,以下就是攻擊者常用的假域名技倆。
同形字:不同字母,相同拼寫
其中一種技倆是使用視覺上十分相以或無法分辨的字母,例如小階”L”(l)在很多字體內與大階”i”(I)相似,例如JOHN@MlCROSOFT.COM就可能令人信以為真,其實是送到john@mLcrosoft.com的郵箱。自從域名容許登其不同的語言,這種挑戰立即倍增,包括不使用拉丁字母,希臘的”ο”、俄文的”о”與拉丁的”o”從肉眼看來並無分別,但電腦卻能辨別他們屬於3種不同的字母,利用不同的組合便能登記很多看似microsoft.com的網域,這類型的技術被稱為同形字攻擊。
組合名稱:一點額外的
近年網絡犯罪份子喜歡使用組合名稱來偽裝目標公司的電郵或網站,通常會加入相關輔助詞,例如:Microsoft-login.com或skypeSupport.com等等,電郵的主旨和域名的末端可以互相配合,警告未經授權存取電郵帳號,便把連結指名outlook-alert的網域。而部份公司的域名真的以類似輔助詞構成令情況更壞,例如login.microsoftonline.com是合法的Microsoft網站。根據Akamai,最常見的組合字是support、com、login、help、secure、www、account、app、verify和service,其中www和com傾向用於網站域名為主,大意的用戶可能忽略了wwwmicrosoft.com和microsoftcom.au其實缺少了「.」。
頂級域名詐騙
有時候網絡犯罪份子能夠登記一個以不同的top-level domain(TLD)分身,例如microsoft.co或office.pro而不是原有的.com,在這種情況下詐騙公司的名字與真實相同,事實上這種方式十分有效,近期有報導指出,美國國防部不同的承包商和合作伙伴在過去10年,錯誤發送電郵到屬於馬里共和國的.ML域名,而不是原本美軍的.MIL,單是2023年,一家荷蘭承包商攔截了超過11萬7千封發往馬里而不是國防部的錯誤電郵。
打錯字:串錯字的域名
最簡單和早期的製作假域名的方法,就是運用各種容易打錯的字並難以察覺,多年來發展出很多組合,例如增加或刪除重複的字母(ofice.com)、增加或刪除標點(cloud-flare或c.loudflare)、以同音字代替(savebank代替safebank)等等。初期這種錯字攻擊為騙徒和濫發電郵者所利用,時至今日這種技倆則會配合假網站內容進行針對性釣魚和商用電郵攻擊(BEC)。
防範假域名和相似域名攻擊
同形字是最難察覺,而且幾乎不會用作合法用途,結果是瀏覽器開發商和部份網域登記機構嘗試對這種攻擊作出防護,有部份網域禁止登記字母表以外的字母,但很多TLD則沒有這種保護,所以就需要保安工具的協助,部份瀏覽器會以特別方式顯示含有複數字母,例如以punycode顯示的xn--micrsoft-qbh.xn--cm-fmc其實就是含有兩個俄文”o”的microsoft.com。
面對錯字和組合字的攻擊則需要用戶自己的警覺性,為員工準備基本的安全意識培訓,藉此學習察覺主流的釣魚技術。可惜網絡犯罪份子並不會局限於使用相似域名的攻擊,為公司的電郵伺服器配備專門的防護對抗垃圾和針對性釣魚,為所有工作用的電腦和智能手機提供防護都有助攔截惡意的威脅。
資料來源:Kaspersky Blog
