扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:汤姆·欧扎克
域名欺骗不仅仅是一种赚钱的方式。它也有可能导致数据的泄露。秘密的攻击者甚至不用为被抢注的域名建立对应的网页。只要存在一个邮件交换记录(MX Record)就可以将电子邮件发送给潜在的恶意邮件服务器。
--------------------------------------------------------------------------------------------
域名欺骗不是什么新事情。罪犯、不道德的公司和一般情况下的不满者利用这种行为已经有很多年的历史了,毕竟我们总有输错一个字母的可能。谨慎的操作可以帮助你区分真正的和虚假的页面之间的区别。但显然罪犯的技术水平已经上升到一个新的层次上了,他们现在可以对电子邮件进行操作和控制了。
在本文中,我将对通常的域名欺骗行为和它是如何被应用在更阴险的目的进行介绍。对于这种导致数据泄漏的新兴威胁,我建议大家一定要进行讨论分析和了解。
什么是“域名欺骗”
根据微软研究人员的观点:
· 域名欺骗指的是对拥有巨大流量网站的近似/错误拼写的域名进行注册的行为。
· 从商业的角度来看,很多域名欺骗事件涉及“恶意”注册的域名或商标侵权。更糟糕的是,这种情况并不罕见,对于实际拥有者来说,在错误拼写域名的网站上看到竞争对手发布的广告甚至负面内容之类的情况都是非常普遍的。
· 资料来源:微软研究中心2006年发布的调查报告“域名欺骗的发展历程:对域名欺骗行为的发现和分析”,作者王益民、道格·贝克、杰夫里·王、乍得·威伯斯卡和布拉德·丹尼尔斯
在点击发送或按下ENTER的时间,没有发现打错的字是非常正常的现象。大部分的欺骗是基于常见的关键错误。举例来说,在输入adventuresinsecurity.com的时间,a可能被打错为z或Q,这样的情况下,zdventuresinsecurity.com或者tom.olzak@qdventuresinsecurity.com就出现了。(看看你键盘的关键位置)当一封包含了敏感信息的电子邮件被发出,域名欺骗者就拥有了相关的资料了。你能说健康保险可携性及责任法强制要求的安全和隐私保护审核会造成障碍么?当然,每一个人必须使用加密的电子邮件是规则所要求的,不是吗?
实施域名欺骗的三个步骤:
1. 确定准备实施欺骗行为的域名。域名的选择通常基于实施者的目的。他或者她可能希望通过外挂或者广告获得收入。这种情况的,高流量的网站是最好的选择。不过攻击者会转移焦点,导致流量的损失。这就意味着,任何公司组织都可能是一个潜在的受害者。
2. 建立一个错别字的列表。拼错一个网站的名称有许多不同的方式。攻击者可以花费时间记录所有的可能性,也可以利用专业工具迅速地建立属于他们自己的列表。图一就是一个网站web-professor.net的截图。它提供的专业工具不仅可以显示可能的错误域名,还可以显示这个域名是否已经投入使用以及谁拥有它,甚至还包含了它的潜在价值(基于Overture的评价)。在这篇文章中,我测试了一下搜索的能力,但多次测试的结果都是收到一个错误。
3. 购买和设置域名。终于到了最后一步,现在可以选择域名并在往往存在道德问题的供应商的网站上进行设置了。现在,我们有可能实现提供广告、恶意间谍工具或者收集包含有敏感资料的电子邮件等活动了。图二描述了在今天的环境下,域名欺骗活动的工作过程。
图一:网站web-professor.net的截图
图二:域名欺骗活动的原理图(微软2006年发布)
如何对域名欺骗行为进行防御
对域名欺骗行为进行防御的第一步是真正地认识到它带来的威胁。了解这篇文章仅仅是一个开始。在网络上关于域名欺骗行为的资料有很多,其中包括了上面提到的微软研究中心发布的报告。
接下来需要做的是,确保所有来自外部域的电子邮件是受到保护的。坚持客户、供应商、员工和其他人只有在受到保护的情况下,才能使用外部的电子邮件服务传送敏感的资料。确保邮件系统安全的方法有这么一个。我们使用Tumbleweed软件公司提供的技术。它不需要安装客户端,并且登陆起来非常快。
最后,对风险进行评估和消除。工具软件可以对域名欺骗者进行分析,找出可能对公司组织带来威胁的潜在风险。象Web Professor网站提供的Typo Squatter(图一) 等类型的工具也可以用来对付域名欺骗者,不过,可能比较慢,深度也没有你希望的那么大。不过,经过对大量工具的测试,我发现Strider URL Tracer with Typo-Patrol是最佳的域名欺骗活动检测与分析工具。 (它不支持IE7,但是可以很好地在IE7的兼容模式以及IE8的测试版上工作)。
图三:维拉实验室(Vera Labs)的反域名欺骗工具
图四显示的是URL Tracer的主界面。为了测试这个从微软下载的工具的速度和效力,我输入了自己的域名,并点击开始按钮。在几秒钟内,我就得到了一个包含二百九十五项变化的列表。为了节约时间,我选择前十个进行扫描。图五显示的就是扫描的结果。
图四: Strider URL Tracer with Typo Patrol的主界面
图五:Strider URL Tracer的扫描结果
在wdventuresinsecurity.com网站上,只有一个变化被发现。它在opendns.com中出现。对缓存cookies的扫描结果被用红色标注出来。自从我开始使用opendns.com作为本地的域名服务以来,这样的结果是非常有趣的。通过使用Sandboxie建立的沙盘环境,我试图利用IE7浏览器登陆wdventuresinsecurity.com网站。结果出现的是opendns.com的页面,询问我是不是其实想访问的是adventuresinsecurity.com。过了几秒钟,当确认你的网络地址没有错误后,它就恢复到opendns正常的搜索/广告页。没有出现什么大问题,但至少我了解了它是在工作并且速度很快。
扫描产生的列表也可以用来减少域名欺骗行为的几率。公司如果拥有足够的资金的话,可以将最可能被用来进行域名欺骗行为的目标购买下来,让其脱离无法控制的个人或者团体之手。
最后的话
域名欺骗不仅仅是一种骗子挣钱的方法。它也会导致数据的泄露。秘密的攻击者甚至不用为被抢注的域名建立对应的网页。只要有一个邮件交换记录(MX Record)存在可以将电子邮件发送给潜在的恶意邮件服务器就可以了。对于公司来说,将电子邮件的保护提高到是合理的程度是行之有效的做法。但是,如果忽略了这些袭击造成的日益严重的威胁将会让你的风险日益增加。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。