自去年12月以来,新增了136,000多个 新冠肺炎以主题为主题的域已经出现,并且尽管许多托管合法网站,但已经设置了其他网站来提供恶意软件,彩票网app钓鱼页面或欺骗访问者。
间谍云研究人员还发现,现有的社区威胁情报源(如Google安全浏览,OpenPhish或ThreatsHub)仅将一小部分域标记为恶意域。
“一个潜在的原因是我们使用的供稿关注于特定于威胁的情报 彩票网app钓鱼 和恶意软件,不一定是欺诈网站。此外,有时有时会将这些供稿自动吸收到安全产品中,从而增加误报的潜在影响,因为它们可能导致公司和专用彩票网app中的服务中断,” the researchers 注意到的.
其他有趣的发现
在从各种开源源(威胁列表,SSL证书数据集等)中收集了超过136,000个主机名和具有COVID-19或冠状病毒主题的完全限定域名的列表之后,“使用HTTP,其他DNS分析和手动收集的WHOIS数据对数据进行解析,重复数据删除和扩展”并发现许多域都有活跃的Web内容,但有些仅显示“placeholder”内容表明他们’已经购买了“parked” at the registrar.
他们指出,并非所有“parked”域可能会变得恶意。“域规模扩展可能是其中一些购买的原因。例如,某人可能会购买与COVID-19疗法或疫苗相关的域名,并希望最终将其出售给制药公司。”
另一方面,有一些无疑(如果不是很明显)是恶意的:
“威胁参与者很可能正在发送彩票网app钓鱼邮件‘from’追逐有关该银行COVID-19响应的某种形式的消息,使用户似乎很可能认为他们的银行可能已经建立了与该病毒有关的专用页面,” they explained.
其他发现包括:
- 78.4%的COVID-19主题域使用HTTP,其余HTTPS
- GoDaddy,NameCheap,Google,Name.com和Tucows是COVID-19主题站点的注册人使用的最受欢迎的域注册商。
每个人都可以参加战斗
一些域名注册商已承诺加大力度,积极寻找并关闭欺诈性网站,并防止使用某些关键字进行注册。
间谍云研究人员敦促安全社区为公共提要(例如由 新冠肺炎彩票网app威胁联盟 或组织的活动,例如 彩票网app志愿者(CV19) 使每个人都更安全。
他们还提供了 数据集 他们进行了汇编,以便其他研究人员可以将其用于自己的研究。
最后,他们指出,甚至个人用户也可以通过向电子邮件提供商和公司IT报告可疑消息来帮助确保所有人的安全。
“尽管在收件箱中标记彩票网app钓鱼邮件似乎并不重要,但该操作有助于提供商识别恶意内容并将其标记给其他用户,” they concluded.