受信任的证书使网络钓鱼网站看起来有效

相似网域迅速增长,通常被用来从在线购物者那里窃取敏感数据。

危险的相似域名

维纳菲分析了针对美国,英国,法国,德国和澳大利亚的20家主要零售商的可疑域名,发现超过100,000个相似的域名使用有效的TLS证书显得安全可靠。

根据这项研究,自2018年以来,相似域名的数量增长了两倍以上,是合法域名的近四倍。

主要发现

  • 相似域使用的证书总数比真实零售域的总数大400%以上。
  • 主要零售商是网络罪犯的重要目标。美国顶级零售商之一拥有以客户为目标的超过49,500个相似域名。
  • 在英国排名前20位的在线零售商中,相似域名的数量是有效域名的六倍以上。
  • 在研究的相似域名中,超过一半(60%)使用来自Let's Encrypt的免费证书。

随着在线购物的持续增长,通过看起来相似的恶意域名瞄准消费者的趋势也在增长。网络攻击者创造 欺诈性域名 通过在URL中替换一些字符。

因为它们指向的恶意在线购物网站紧密地模仿了合法的知名零售网站,所以这使得客户越来越难以检测到假域名。

此外,鉴于这些恶意页面中有许多使用受信任的TLS证书,对于不知道提供敏感帐户信息和付款数据的在线购物者而言,它们似乎是安全的。

在线零售商的保护步骤

随着假期购物旺季的临近,针对在线购物者的相似域名数量将成倍增加。发现恶意域的在线零售商可以采取几个步骤来保护其客户,包括:

  • 使用Google安全浏览搜索和报告可疑域。 Google安全浏览是一项行业反网络钓鱼服务,可识别危险网站并将其列入黑名单。
  • 添加证书颁发机构授权(民航局)到域和子域的DNS记录。 民航局使组织可以确定哪些CA可以为其所拥有的域颁发证书。它是域DNS记录的扩展,并支持属性标签,该属性标签使所有者可以为整个域或特定主机名设置CA策略。
  • 利用技术解决方案搜索可疑域。品牌保护服务可以帮助零售商找到恶意网站,并阻止未经授权使用其徽标或品牌。还提供反网络钓鱼功能的解决方案可以帮助搜索相似的域。
  • 使用证书透明性检测恶意证书。所有公共信任的计算机标识(例如TLS证书)都会发布以打开日志。监视和分析这些日志使组织能够在将相似的域和证书用于对客户的攻击之前检测出它们。

“我们继续看到在掠夺性网络钓鱼攻击中使用的相似危险域数量正在迅速增长,”威胁情报高级研究员谢静说。 维纳菲.

“这是推动对更多和潜在的所有网络流量进行加密的结果,这种趋势通常可以提高用户的安全性,但无意中给现有的网络钓鱼检测方法带来了新的挑战。大多数企业和许多零售商都没有更新的技术来找到这些恶意站点并删除它们以保护他们的客户。”

分享这个