「品牌+子域名」如何成為網(wǎng)絡(luò)釣魚(yú)欺詐的“魚(yú)餌”？

#本文僅代表作者觀點(diǎn)，不代表IPRdaily立場(chǎng)#

來(lái)源：IPRdaily中文網(wǎng)（iprdaily.cn）

供稿：CSC數(shù)字品牌服務(wù)

原標(biāo)題：「品牌+子域名」如何成為網(wǎng)絡(luò)釣魚(yú)欺詐的“魚(yú)餌”？

子域名的世界

網(wǎng)絡(luò)域名是互聯(lián)網(wǎng)財(cái)產(chǎn)的基礎(chǔ)元素，可使其所有人（注冊(cè)人）構(gòu)建和主機(jī)托管某個(gè)關(guān)聯(lián)網(wǎng)站。所有人還能在域名下面建立其想要的子域名，通過(guò)在授權(quán)的域名系統(tǒng) （DNS） 服務(wù)器上配置記錄，在技術(shù)上即可實(shí)現(xiàn)該過(guò)程。

子域名是 URL 中域名之前的部分，通常用點(diǎn)分隔（例如https://blog.cscglobal.com/ 中的“blog”）。子域可用于構(gòu)建具有各種用途的網(wǎng)址，比如為子品牌或活動(dòng)創(chuàng)建單個(gè)微網(wǎng)站，或建設(shè)特定地區(qū)或主題的子網(wǎng)站。

有些互聯(lián)網(wǎng)服務(wù)提供商 （ISP），也被稱(chēng)為私人子域名注冊(cè)機(jī)構(gòu)，也銷(xiāo)售其網(wǎng)站的具體商品化的子域名，從而可使用戶創(chuàng)建自己的網(wǎng)站（如“二級(jí)”域名， blogspot.com用戶可以 username.blogspot.com 的形式注冊(cè)URL，在本例中用于創(chuàng)建個(gè)性化博客）。

子域名濫用的四種情況

從品牌監(jiān)控角度來(lái)看，在第三方URL子域名中出現(xiàn)的品牌名稱(chēng)或其他相關(guān)關(guān)鍵詞，可能會(huì)與各種品牌侵權(quán)問(wèn)題相關(guān)聯(lián)。

子域名一些潛在的擔(dān)憂包括：

① 通過(guò)誤導(dǎo)搜索引擎查詢(xún)，作為向第三方內(nèi)容引導(dǎo)流量的手段

② 創(chuàng)建聲稱(chēng)與相關(guān)品牌有附屬關(guān)系的網(wǎng)站

③ 聲譽(yù)問(wèn)題——例如，創(chuàng)建包含與特定品牌相關(guān)的信息、客戶評(píng)論或活動(dòng)材料的網(wǎng)站

④ 作為創(chuàng)建看起來(lái)與官方品牌網(wǎng)站類(lèi)似的URL（例如，用于欺詐性活動(dòng)、網(wǎng)絡(luò)釣魚(yú)或分發(fā)惡意軟件）的手段

鑒于其與熟悉的合法 URL 類(lèi)似，具體品牌的子域名可能會(huì)使互聯(lián)網(wǎng)用戶感覺(jué)困惑，從而成為有效的威脅載體。例如，假設(shè)的非官方域名cscglobal.blog.com可用于創(chuàng)建官方域名blog.cscglobal.com的可信虛假版本。

匯豐、電信企業(yè)頻頻上演“真假子域名”

就在近幾個(gè)月，CSC觀察到一些利用子域名進(jìn)行的網(wǎng)絡(luò)釣魚(yú)攻擊（通常使用短信），通過(guò)使用品牌名稱(chēng)加入子域名中，以一種特殊的方式創(chuàng)建高度可信的欺騙性URL1，2，如下圖所示。

2021年針對(duì)匯豐銀行客戶的短信網(wǎng)絡(luò)釣魚(yú)攻擊示例

如短信中的網(wǎng)絡(luò)釣魚(yú)攻擊目標(biāo)，正是該銀行的英國(guó)客戶，網(wǎng)絡(luò)釣魚(yú)URL在子域名中使用HSBC，加上以“uk-”開(kāi)頭的域名（uk-account.help），形成看起來(lái)與實(shí)際域名“hsbc.co.uk/account-help”非常相似的URL。這一網(wǎng)絡(luò)釣魚(yú)網(wǎng)站鏈接也使用了以前被認(rèn)為是可信標(biāo)志的HTTPS協(xié)議，這種現(xiàn)象在當(dāng)下變成超過(guò) 80% 網(wǎng)絡(luò)釣魚(yú)網(wǎng)站的共有特征3，因這種方式可方便地從免費(fèi)提供商處獲得安全套接層 （SSL） 證書(shū)。

此方法特別有效的原因有很多，包括使用一些用戶可能不熟悉的全新通用頂級(jí)域名 （gTLD） 擴(kuò)展，以及在移動(dòng)設(shè)備上顯示時(shí)通常在連字符后插入換行符。區(qū)域文件分析顯示，至少幾百個(gè)新的 gTLD 注冊(cè)域名使用可能被用于欺詐性的類(lèi)似名稱(chēng)。已發(fā)現(xiàn)的示例包括：

uk-authorization-online.support、

uk-gov.tax、

uk-insurance.claims、

uk-border.agency 、

uk-lottery.win。 

CSC還在最近網(wǎng)絡(luò)釣魚(yú)欺詐中，發(fā)現(xiàn)了很多品牌子域名遭遇的困境，包括 hermes.online-parcel-reschedule.com（冒充物流公司 Hermes）和 o2.billing9k7j.com（冒充電信組織O2）等。這類(lèi)攻擊不需要欺詐者注冊(cè)品牌特定的域名（這更容易被使用基本域名監(jiān)控服務(wù)的品牌所有人發(fā)現(xiàn)）。在許多情況下，父域的 WHOIS 記錄是匿名的，所以難以建立案例之間的鏈接。這些域名通常是在攻擊前剛注冊(cè)，只在短時(shí)間內(nèi)使用，用以規(guī)避檢測(cè)和關(guān)停。

游走在監(jiān)管“縫隙”的子域名欺詐

一般來(lái)說(shuō)，第三方網(wǎng)站上的品牌相關(guān)子域名比域名本身更難檢測(cè)，后者更容易通過(guò)注冊(cè)表區(qū)域文件的通配符搜索被發(fā)現(xiàn)。識(shí)別子域名最簡(jiǎn)單的方法是使用搜索引擎元搜索，前提是相關(guān)子域名鏈接自其他網(wǎng)站，且已被搜索引擎收錄索引。

此外，此問(wèn)題還可以使用其他技術(shù)予以部分解決，比如域名區(qū)域配置信息的詳細(xì)分析（例如被動(dòng) DNS 分析）、證書(shū)透明度 （CT） 分析，或者對(duì)特定域使用顯式查詢(xún)，以確定特定子域名是否存在。 

其他問(wèn)題還包括私人子域名注冊(cè)存在問(wèn)題，因其不一定受互聯(lián)網(wǎng)名稱(chēng)與數(shù)字地址分配機(jī)構(gòu) （ICANN） 監(jiān)管，因此可能缺少爭(zhēng)議解決程序、濫用報(bào)告流程或任何類(lèi)型的 WHOIS 信息記錄。 

在考慮對(duì)侵權(quán)子域名維權(quán)時(shí)，可選擇的方法可能相對(duì)有限——尤其是與可用于域名的方法相比。有時(shí)，可以讓注冊(cè)局、注冊(cè)商、主機(jī)托管提供商或 DNS 提供商幫助維權(quán)，但是他們可能沒(méi)有相應(yīng)義務(wù)。而且，許多既定的爭(zhēng)議解決流程不一定適用于子域名，比如統(tǒng)一域名爭(zhēng)議解決規(guī)則 （UDRP）。然而，在某些情況下也有例外，例如特定新的 gTLD、主機(jī)域名與國(guó)家/地區(qū)代碼相對(duì)應(yīng)的實(shí)例（例如，jp.com）或其他受限情況（例如，適用于 .NZ 域名的爭(zhēng)議解決服務(wù) （DRS））。如無(wú)法達(dá)到目的，則通常只能進(jìn)行法庭訴訟4。

使用欺詐性域名和通配符 MX 記錄（可讓域名所有人接收發(fā)送到其域名上的任何子域的電子郵件），也可以使罪犯高度有效地?cái)r截發(fā)往可信組織的郵件，從而竊取敏感信息。如果發(fā)件人輸錯(cuò)接收者電子郵件地址，這種攻擊可能會(huì)成功（例如輸入了多余的“.”）。如果域名經(jīng)過(guò)精心選擇，則可以發(fā)動(dòng)針對(duì)各種不同組織的攻擊（例如，使用 *.bank.[TLD]，可用于截獲發(fā)給任何官方域名為 [brand]bank.[TLD]）的組織的地址錯(cuò)誤的電子郵件。 

考慮到域名安全形勢(shì)，品牌所有人最擔(dān)心的是其自己擁有的域名上存在的那些子域名。IBM?有大約  6萬(wàn)個(gè)子域名，而 Microsoft?有超過(guò)12萬(wàn)個(gè)子域名——子域名管理就會(huì)耗費(fèi)巨大精力。同時(shí)不法分子可能會(huì)通過(guò)“子域名劫持”或“域遮蔽”等方式，威脅品牌及其客戶的安全。2021 年的一項(xiàng)研究發(fā)現(xiàn)，50000 個(gè)全球最重要的網(wǎng)站上有超過(guò) 1500 個(gè)易受攻擊的子域名5。

因此，品牌所有人應(yīng)該考慮采用一個(gè)穩(wěn)健的域名安全措施系統(tǒng)，與全面的品牌監(jiān)控和維權(quán)計(jì)劃相結(jié)合，減輕威脅和控制風(fēng)險(xiǎn)。如果您想與該領(lǐng)域?qū)＜姨接懹蛎O(jiān)控、維權(quán)或反欺詐策略，歡迎您點(diǎn)擊文末“閱讀原文”。

本文節(jié)選自CSC《The World of the Subdomain》主題研究，了解更多“子域名劫持”或“域遮蔽”相關(guān)內(nèi)容，請(qǐng)長(zhǎng)按二維碼閱讀全文（英文）。

1 cscdbs.com/blog/phishing-scams-how-to-spot-them/ 

2 thewebisround.xyz/2021/06/28/the-reality-behind-the-smishers/ 

3 docs.apwg.org/reports/apwg_trends_report_q2_2021.pdf 

4 worldtrademarkreview.com/enforcement-and-litigation/subdomains-and-online-brand-protection-what-you-need-know-long-read 

5 eurekalert.org/news-releases/698257 

在企業(yè)域名、域名系統(tǒng)（DNS）、數(shù)字證書(shū)管理以及數(shù)字品牌和欺詐保護(hù)領(lǐng)域，CSC（即“CSC數(shù)字品牌服務(wù)”）是福布斯全球2000強(qiáng)和全球最佳品牌100強(qiáng)（100 Best Global Brands?）企業(yè)所信賴(lài)的優(yōu)選提供商。隨著跨國(guó)公司在安全性方面進(jìn)行大量投資，“CSC數(shù)字品牌服務(wù)”可以幫助他們了解潛在的安全隱患并保護(hù)其數(shù)字資產(chǎn)。

“CSC數(shù)字品牌服務(wù)”可提供在線品牌保護(hù)——包括在線品牌監(jiān)控及維權(quán)活動(dòng)——采用完整方案來(lái)保護(hù)數(shù)字資產(chǎn)，并提供欺詐保護(hù)服務(wù)來(lái)打擊網(wǎng)絡(luò)釣魚(yú)。通過(guò)利用“CSC數(shù)字品牌服務(wù)”的獨(dú)有解決方案，公司可以安全地抵御針對(duì)其在線資產(chǎn)的網(wǎng)絡(luò)威脅，從而幫助他們避免嚴(yán)重的收入損失、品牌聲譽(yù)受損或由于《通用數(shù)據(jù)保護(hù)條例》等政策而受到重大財(cái)務(wù)處罰。

“CSC數(shù)字品牌服務(wù)”成立于1899年，總部位于美國(guó)特拉華州威爾明頓，在美國(guó)、加拿大、歐洲和亞太地區(qū)設(shè)有辦事處?！癈SC數(shù)字品牌服務(wù)”是一家可以在客戶所在的任何地方開(kāi)展業(yè)務(wù)的全球性公司，我們通過(guò)聘請(qǐng)每一業(yè)務(wù)領(lǐng)域的專(zhuān)家來(lái)實(shí)現(xiàn)這一目標(biāo)。更多詳情請(qǐng)?jiān)L問(wèn)cscdbs.com/cn。

點(diǎn)擊“閱讀原文”，了解更多詳情

來(lái)源：IPRdaily中文網(wǎng)（iprdaily.cn）

供稿：CSC數(shù)字品牌服務(wù)

編輯：IPRdaily王穎          校對(duì)：IPRdaily縱橫君

注：原文鏈接：「品牌+子域名」如何成為網(wǎng)絡(luò)釣魚(yú)欺詐的“魚(yú)餌”？（點(diǎn)擊標(biāo)題查看原文）

兩天掌握涉外商標(biāo)代理業(yè)務(wù)！涉外商標(biāo)代理高研班「廣州站」

「關(guān)于IPRdaily」

IPRdaily是全球領(lǐng)先的知識(shí)產(chǎn)權(quán)綜合信息服務(wù)提供商，致力于連接全球知識(shí)產(chǎn)權(quán)與科技創(chuàng)新人才。匯聚了來(lái)自于中國(guó)、美國(guó)、歐洲、俄羅斯、以色列、澳大利亞、新加坡、日本、韓國(guó)等15個(gè)國(guó)家和地區(qū)的高科技公司及成長(zhǎng)型科技企業(yè)的管理者及科技研發(fā)或知識(shí)產(chǎn)權(quán)負(fù)責(zé)人，還有來(lái)自政府、律師及代理事務(wù)所、研發(fā)或服務(wù)機(jī)構(gòu)的全球近100萬(wàn)用戶（國(guó)內(nèi)70余萬(wàn)+海外近30萬(wàn)），2019年全年全網(wǎng)頁(yè)面瀏覽量已經(jīng)突破過(guò)億次傳播。

（英文官網(wǎng)：iprdaily.com  中文官網(wǎng)：iprdaily.cn） 

本文來(lái)自IPRdaily中文網(wǎng)（iprdaily.cn）并經(jīng)IPRdaily.cn中文網(wǎng)編輯。轉(zhuǎn)載此文章須經(jīng)權(quán)利人同意，并附上出處與作者信息。文章不代表IPRdaily.cn立場(chǎng)，如若轉(zhuǎn)載，請(qǐng)注明出處：“http://globalwellnesspartner.com