返回
顶部
我们已发送验证链接到您的邮箱,请查收并验证
没收到验证邮件?请确认邮箱是否正确或 重新发送邮件
确定
产业行业政策诉讼TOP100招聘湾区IP动态职场人物国际视野许可交易深度专题活动商标版权Oversea晨报董图产品公司审查员说法官说首席知识产权官G40领袖机构企业专利大洋洲律所

「品牌+子域名」如何成为网络钓鱼欺诈的“鱼饵”?

行业
知联社3年前
「品牌+子域名」如何成为网络钓鱼欺诈的“鱼饵”?

「品牌+子域名」如何成为网络钓鱼欺诈的“鱼饵”?

#本文仅代表作者观点,不代表IPRdaily立场#


来源:IPRdaily中文网(iprdaily.cn)

供稿:CSC数字品牌服务

原标题:「品牌+子域名」如何成为网络钓鱼欺诈的“鱼饵”?


子域名的世界

「品牌+子域名」如何成为网络钓鱼欺诈的“鱼饵”?


网络域名是互联网财产的基础元素,可使其所有人(注册人)构建和主机托管某个关联网站。所有人还能在域名下面建立其想要的子域名,通过在授权的域名系统 (DNS) 服务器上配置记录,在技术上即可实现该过程。


子域名是 URL 中域名之前的部分,通常用点分隔(例如https://blog.cscglobal.com/ 中的“blog”)。子域可用于构建具有各种用途的网址,比如为子品牌或活动创建单个微网站,或建设特定地区或主题的子网站。


有些互联网服务提供商 (ISP),也被称为私人子域名注册机构,也销售其网站的具体商品化的子域名,从而可使用户创建自己的网站(如“二级”域名, blogspot.com用户可以 username.blogspot.com 的形式注册URL,在本例中用于创建个性化博客)。


「品牌+子域名」如何成为网络钓鱼欺诈的“鱼饵”?


子域名滥用的四种情况


「品牌+子域名」如何成为网络钓鱼欺诈的“鱼饵”?


从品牌监控角度来看,在第三方URL子域名中出现的品牌名称或其他相关关键词,可能会与各种品牌侵权问题相关联。


子域名一些潜在的担忧包括:


① 通过误导搜索引擎查询,作为向第三方内容引导流量的手段

② 创建声称与相关品牌有附属关系的网站

③ 声誉问题——例如,创建包含与特定品牌相关的信息、客户评论或活动材料的网站

④ 作为创建看起来与官方品牌网站类似的URL(例如,用于欺诈性活动、网络钓鱼或分发恶意软件)的手段


鉴于其与熟悉的合法 URL 类似,具体品牌的子域名可能会使互联网用户感觉困惑,从而成为有效的威胁载体。例如,假设的非官方域名cscglobal.blog.com可用于创建官方域名blog.cscglobal.com的可信虚假版本。


汇丰、电信企业频频上演“真假子域名”


「品牌+子域名」如何成为网络钓鱼欺诈的“鱼饵”?


就在近几个月,CSC观察到一些利用子域名进行的网络钓鱼攻击(通常使用短信),通过使用品牌名称加入子域名中,以一种特殊的方式创建高度可信的欺骗性URL1,2,如下图所示。


「品牌+子域名」如何成为网络钓鱼欺诈的“鱼饵”?


2021年针对汇丰银行客户的短信网络钓鱼攻击示例


如短信中的网络钓鱼攻击目标,正是该银行的英国客户,网络钓鱼URL在子域名中使用HSBC,加上以“uk-”开头的域名(uk-account.help),形成看起来与实际域名“hsbc.co.uk/account-help”非常相似的URL。这一网络钓鱼网站链接也使用了以前被认为是可信标志的HTTPS协议,这种现象在当下变成超过 80% 网络钓鱼网站的共有特征3,因这种方式可方便地从免费提供商处获得安全套接层 (SSL) 证书。


此方法特别有效的原因有很多,包括使用一些用户可能不熟悉的全新通用顶级域名 (gTLD) 扩展,以及在移动设备上显示时通常在连字符后插入换行符。区域文件分析显示,至少几百个新的 gTLD 注册域名使用可能被用于欺诈性的类似名称。已发现的示例包括:


uk-authorization-online.support、

uk-gov.tax、

uk-insurance.claims、

uk-border.agency 、

uk-lottery.win。 


CSC还在最近网络钓鱼欺诈中,发现了很多品牌子域名遭遇的困境,包括 hermes.online-parcel-reschedule.com(冒充物流公司 Hermes)和 o2.billing9k7j.com(冒充电信组织O2)等。这类攻击不需要欺诈者注册品牌特定的域名(这更容易被使用基本域名监控服务的品牌所有人发现)。在许多情况下,父域的 WHOIS 记录是匿名的,所以难以建立案例之间的链接。这些域名通常是在攻击前刚注册,只在短时间内使用,用以规避检测和关停。


游走在监管“缝隙”的子域名欺诈


「品牌+子域名」如何成为网络钓鱼欺诈的“鱼饵”?


一般来说,第三方网站上的品牌相关子域名比域名本身更难检测,后者更容易通过注册表区域文件的通配符搜索被发现。识别子域名最简单的方法是使用搜索引擎元搜索,前提是相关子域名链接自其他网站,且已被搜索引擎收录索引。


此外,此问题还可以使用其他技术予以部分解决,比如域名区域配置信息的详细分析(例如被动 DNS 分析)、证书透明度 (CT) 分析,或者对特定域使用显式查询,以确定特定子域名是否存在。 


其他问题还包括私人子域名注册存在问题,因其不一定受互联网名称与数字地址分配机构 (ICANN) 监管,因此可能缺少争议解决程序、滥用报告流程或任何类型的 WHOIS 信息记录。 


在考虑对侵权子域名维权时,可选择的方法可能相对有限——尤其是与可用于域名的方法相比。有时,可以让注册局、注册商、主机托管提供商或 DNS 提供商帮助维权,但是他们可能没有相应义务。而且,许多既定的争议解决流程不一定适用于子域名,比如统一域名争议解决规则 (UDRP)。然而,在某些情况下也有例外,例如特定新的 gTLD、主机域名与国家/地区代码相对应的实例(例如,jp.com)或其他受限情况(例如,适用于 .NZ 域名的争议解决服务 (DRS))。如无法达到目的,则通常只能进行法庭诉讼4。


「品牌+子域名」如何成为网络钓鱼欺诈的“鱼饵”?


使用欺诈性域名和通配符 MX 记录(可让域名所有人接收发送到其域名上的任何子域的电子邮件),也可以使罪犯高度有效地拦截发往可信组织的邮件,从而窃取敏感信息。如果发件人输错接收者电子邮件地址,这种攻击可能会成功(例如输入了多余的“.”)。如果域名经过精心选择,则可以发动针对各种不同组织的攻击(例如,使用 *.bank.[TLD],可用于截获发给任何官方域名为 [brand]bank.[TLD])的组织的地址错误的电子邮件。 


考虑到域名安全形势,品牌所有人最担心的是其自己拥有的域名上存在的那些子域名。IBM®有大约  6万个子域名,而 Microsoft®有超过12万个子域名——子域名管理就会耗费巨大精力。同时不法分子可能会通过“子域名劫持”或“域遮蔽”等方式,威胁品牌及其客户的安全。2021 年的一项研究发现,50000 个全球最重要的网站上有超过 1500 个易受攻击的子域名5。


因此,品牌所有人应该考虑采用一个稳健的域名安全措施系统,与全面的品牌监控和维权计划相结合,减轻威胁和控制风险。如果您想与该领域专家探讨域名监控、维权或反欺诈策略,欢迎您点击文末“阅读原文”。


「品牌+子域名」如何成为网络钓鱼欺诈的“鱼饵”?


本文节选自CSC《The World of the Subdomain》主题研究,了解更多“子域名劫持”或“域遮蔽”相关内容,请长按二维码阅读全文(英文)。


1 cscdbs.com/blog/phishing-scams-how-to-spot-them/ 

2 thewebisround.xyz/2021/06/28/the-reality-behind-the-smishers/ 

3 docs.apwg.org/reports/apwg_trends_report_q2_2021.pdf 

4 worldtrademarkreview.com/enforcement-and-litigation/subdomains-and-online-brand-protection-what-you-need-know-long-read 

5 eurekalert.org/news-releases/698257 


「品牌+子域名」如何成为网络钓鱼欺诈的“鱼饵”?


在企业域名、域名系统(DNS)、数字证书管理以及数字品牌和欺诈保护领域,CSC(即“CSC数字品牌服务”)是福布斯全球2000强和全球最佳品牌100强(100 Best Global Brands®)企业所信赖的优选提供商。随着跨国公司在安全性方面进行大量投资,“CSC数字品牌服务”可以帮助他们了解潜在的安全隐患并保护其数字资产。


“CSC数字品牌服务”可提供在线品牌保护——包括在线品牌监控及维权活动——采用完整方案来保护数字资产,并提供欺诈保护服务来打击网络钓鱼。通过利用“CSC数字品牌服务”的独有解决方案,公司可以安全地抵御针对其在线资产的网络威胁,从而帮助他们避免严重的收入损失、品牌声誉受损或由于《通用数据保护条例》等政策而受到重大财务处罚。


“CSC数字品牌服务”成立于1899年,总部位于美国特拉华州威尔明顿,在美国、加拿大、欧洲和亚太地区设有办事处。“CSC数字品牌服务”是一家可以在客户所在的任何地方开展业务的全球性公司,我们通过聘请每一业务领域的专家来实现这一目标。更多详情请访问cscdbs.com/cn


点击“阅读原文”,了解更多详情


来源:IPRdaily中文网(iprdaily.cn)

供稿:CSC数字品牌服务

编辑:IPRdaily王颖          校对:IPRdaily纵横君


注:原文链接「品牌+子域名」如何成为网络钓鱼欺诈的“鱼饵”?点击标题查看原文)


「品牌+子域名」如何成为网络钓鱼欺诈的“鱼饵”?

两天掌握涉外商标代理业务!涉外商标代理高研班「广州站」


「品牌+子域名」如何成为网络钓鱼欺诈的“鱼饵”?

「关于IPRdaily」


IPRdaily是全球领先的知识产权综合信息服务提供商,致力于连接全球知识产权与科技创新人才。汇聚了来自于中国、美国、欧洲、俄罗斯、以色列、澳大利亚、新加坡、日本、韩国等15个国家和地区的高科技公司及成长型科技企业的管理者及科技研发或知识产权负责人,还有来自政府、律师及代理事务所、研发或服务机构的全球近100万用户(国内70余万+海外近30万),2019年全年全网页面浏览量已经突破过亿次传播。


(英文官网:iprdaily.com  中文官网:iprdaily.cn) 


本文来IPRdaily中文网(iprdaily.cn)并经IPRdaily.cn中文网编辑。转载此文章须经权利人同意,并附上出处与作者信息。文章不代表IPRdaily.cn立场,如若转载,请注明出处:“http://www.iprdaily.cn

知联社投稿作者
共发表文章1873
最近文章
关键词
首席知识产权官 世界知识产权日 美國專利訴訟管理策略 大数据 软件著作权登记 专利商标 商标注册人 人工智能 版权登记代理 如何快速获得美国专利授权? 材料科学 申请注册商标 软件著作权 虚拟现实与增强现实 专利侵权纠纷行政处理 专利预警 知识产权 全球视野 中国商标 版权保护中心 智能硬件 新材料 新一代信息技术产业 躲过商标转让的陷阱 航空航天装备 乐天 产业 海洋工程装备及高技术船舶 著作权 电子版权 医药及高性能医疗器械 中国专利年报 游戏动漫 条例 国际专利 商标 实用新型专利 专利费用 专利管理 出版管理条例 版权商标 知识产权侵权 商标审查协作中心 法律和政策 企业商标布局 新商标审查「不规范汉字」审理标准 专利机构排名 商标分类 专利检索 申请商标注册 法规 行业 法律常识 设计专利 2016知识产权行业分析 发明专利申请 国家商标总局 电影版权 专利申请 香港知识产权 国防知识产权 国际版权交易 十件 版权 顾问 版权登记 发明专利 亚洲知识产权 版权归属 商标办理 商标申请 美国专利局 ip 共享单车 一带一路商标 融资 驰名商标保护 知识产权工程师 授权 音乐的版权 专利 商标数据 知识产权局 知识产权法 专利小白 商标是什么 商标注册 知识产权网 中超 商标审查 维权 律所 专利代理人 知识产权案例 专利运营 现代产业
本文来自于iprdaily,永久保存地址为http://www.iprdaily.cn/article_31239.html,发布时间为2022-05-18 11:44:41

文章不错,犒劳下辛苦的作者吧

    我也说两句
    还可以输入140个字
    我要评论
    回复
    还可以输入 70 个字
    请选择打赏金额