域欺骗是指网络犯罪分子假冒网站名称或电子邮件域来欺骗用户。域欺骗的目的是将恶意电子邮件或网络钓鱼网站伪装成合法电子邮件或网站,诱使用户与之交互。域欺骗就像骗子一样,向人们展示伪造的凭据以获得信任,然后再利用其获得好处。
域欺骗通常用于网络钓鱼攻击中。网络钓鱼攻击的目的是窃取个人信息(例如帐户登录凭据或信用卡详细信息),诱骗受害者向攻击者汇款,或诱骗用户下载恶意软件。域欺骗还可以用于广告欺骗,以诱使广告客户付款,但客户的广告展示在假冒网站上,而非他们以为的网站上。
域欺骗不同于 DNS 欺骗或缓存中毒,也不同于 BGP 劫持。这些方法用于将用户定向到错误网站,比直接伪造域名更为复杂。
什么是域?
域是网站的全名,更准确的称呼是域名。"cloudflare.com" 是域名的一个示例。对于公司和组织,域显示在员工的电子邮件地址中,在 "@" 符号后。个人电子邮件帐户可以使用 "gmail.com"或 "yahoo.com"作为域,但是公司电子邮件通常会使用公司网站做域名。(要了解有关域的更多信息,请参阅什么是 DNS? )
域欺骗的主要类型有哪些?
网站/URL 欺骗
网站欺骗是指攻击者使用与用户知道并信任的合法网站的 URL 非常相似甚至完全相同的 URL 构建网站,以欺骗用户。除了欺骗 URL 外,攻击者还可以复制网站的内容和样式以及图像和文本。
为了模仿 URL,攻击者可以使用其他语言的字符或 Unicode 字符,这些字符看起来与常规 ASCII 字符几乎完全相同。(这称为同形异义词攻击。)不太令人信服的欺骗性 URL 可能会在 URL 中添加或替换常用字符,并期望用户不会注意到这些字符。
这些假冒网站通常用于网络钓鱼等犯罪活动。通过 URL 看似合法的假冒登录页面,可以诱骗用户提交其登录凭据。欺骗性网站也可以用于骗局或恶作剧。
电子邮件欺骗
电子邮件欺骗是指攻击者使用带有合法网站域名的虚假电子邮件地址。由于域验证未内置在简单邮件传输协议(SMTP)(构建电子邮件的协议)中,因此导致了这种可能。最近开发的电子邮件安全协议,例如 DMARC 和 DKIM,可以提供更好的验证功能。
在网络钓鱼攻击中,攻击者经常使用电子邮件欺骗。攻击者会冒用域名,让用户以为网络钓鱼电子邮件是合法的。乍一看,电子邮件似乎来自公司代表,比来自某个随机域的电子邮件更可信。
网络钓鱼攻击的目标可能是:让用户访问某个网站,下载恶意软件,打开恶意电子邮件附件,输入帐户凭据或将资金转入攻击者控制的帐户。
电子邮件欺骗通常与网站欺骗结合使用:通过电子邮件将用户引向欺骗性网站,然后让用户在网站中输入目标帐户的用户名和密码。
广告中的域欺骗
广告欺诈者会伪造其自有网站的名称,掩盖其真正的流量来源,并提供欺骗性域名供广告商出价。然后,展示广告最终会出现在不良网站上,而不是广告客户想要展示其广告的网站上。
用户如何保护自身免受域欺骗?
留意来源。链接来自电子邮件吗?该电子邮件是意外邮件吗?意外的请求和警告通常来自诈骗者。
仔细查看 URL。是否包含其他多余的字符?尝试将 URL 复制并粘贴到新标签页中:看起来仍然一样吗?(这可以检测同形异义词攻击。)
确保有 SSL 证书。SSL 证书是一个文本文件,可识别网站并帮助加密往返网站的流量。SSL 证书通常是由外部证书颁发机构颁发的,在颁发证书之前,证书颁发机构将验证请求方确实拥有该域名(尽管有时这种验证非常简单)。如今,几乎所有合法网站都有 SSL 证书。
检查 SSL 证书(若有)。SSL 证书上列出的域是预期的域名吗?(要在 Chrome 浏览器中查看 SSL 证书,请点击 URL 栏中的挂锁,然后点击“证书”。)欺骗性网站可能有真实的 SSL 证书,但是是针对欺骗性域名的证书,而非实际域名的证书。
为重要网站添加书签。保留每个合法网站的浏览器内书签。点击书签,而不是点击链接或键入 URL,可确保每次都加载正确的 URL。例如,不要输入 "mybank.com"或通过 Google 搜索银行网站,而是为该网站创建书签。
公司如何阻止其域名被冒用?
SSL 证书可以使攻击者更加难以进行网站欺骗,因为攻击者除了注册欺骗性域名外还必须注册欺骗性 SSL 证书。
很遗憾,没有方法可以阻止电子邮件中的域欺骗。公司可以在通过 DMARC、DKIM 和其他协议发送的电子邮件中添加更多的验证,但是在没有此验证的情况下,外部仍可以使用其域发送伪造的电子邮件。
