您在工作中收到一封電子郵件，要求您更改電子郵件密碼、確認您的假期期限或應首席執行官的要求進行緊急轉賬。 此類意外請求可能是對您公司進行網絡攻擊的開始，因此您需要確保這不是騙局。 那麼如何檢查電子郵件地址或網站鏈接呢？

假貨的核心通常是域名； 也就是說，電子郵件中 ​​@ 之後的部分或 URL 的開頭。 它的任務是激發受害者的信心。 當然，網絡犯罪分子很樂意劫持目標公司或其供應商或業務合作夥伴的官方域名，但在攻擊的早期階段，他們通常沒有這種選擇。 相反，在有針對性的攻擊之前，他們會註冊一個看起來與受害者組織相似的域名 – 他們希望您不會發現其中的差異。 此類技術稱為相似攻擊。 下一步是在該域上託管一個虛假網站，或從與其關聯的郵箱中發送欺騙性電子郵件。

在這篇文章中，我們探討了攻擊者用來防止您注意到域名欺騙的一些技巧。

同形字：不同的字母，相同的拼寫

一種技巧是使用視覺上非常相似甚至無法區分的字母。 例如，許多字體中的小寫“L”(l) 看起來與大寫“i”(I) 相同，因此從地址 [email protected] 發送的電子郵件即使是目光敏銳的人也會被欺騙。 當然，發件人的實際地址是[email protected]！

在可以用不同語言（包括不使用拉丁字母的語言）註冊域名後，惡魔雙打的數量增加了。 希臘語“ο”、俄語“о”和拉丁語“o”對於人類來說完全無法區分，但在計算機眼中它們是三個不同的字母。 這使得使用不同的 o 組合註冊許多看起來都像 microsoft.com 的域名成為可能。 這種使用視覺上相似字符的技術被稱為同形文字或同形異義詞攻擊。

組合深蹲：一點額外

近年來，組合搶注在網絡犯罪分子中越來越流行。 為了模仿目標公司的電子郵件或網站，他們創建了一個結合其名稱和相關輔助詞的域名，例如 Microsoft-login.com 或 SkypeSupport.com。 電子郵件的主題和域名的結尾應該匹配：例如，有關未經授權訪問電子郵件帳戶的警告可能會鏈接到具有域 Outlook-Alert 的網站。

一些公司確實擁有帶有輔助詞的域名，這一事實使情況變得更糟。 例如，login.microsoftonline.com 是完全合法的 Microsoft 網站。

根據 Akamai 的說法，最常見的組合搶注附加組件是：support、com、login、help、secure、www、account、app、verify 和 service。 其中兩個——www 和com——值得單獨提及。 它們經常出現在網站名稱中，粗心的用戶可能不會發現缺少的句點：wwwmicrosoft.com、microsoftcom.au。

頂級域名欺騙

有時，網絡犯罪分子會設法在不同的頂級域 (TLD) 中註冊雙重身份，例如用 microsoft.co 代替 microsoft.com，或用 office.pro 代替 office.com。 在這種情況下，被欺騙的公司的名稱可以保持不變。 這種技術稱為 Tld 搶注。

這樣的替代可能非常有效。 最近有報導稱，十多年來，美國國防部的各個承包商和合作夥伴一直錯誤地將電子郵件發送到屬於馬里共和國的 .ML 域，而不是美國軍方的 .MIL 域。 僅 2023 年，一家荷蘭承包商就攔截了超過 117,000 封發往馬里而不是國防部的誤導電子郵件。

 

拼寫錯誤搶注：拼寫錯誤的域名

產生雙重域名的最簡單（也是最早）的方法是利用各種容易出現但難以發現的拼寫錯誤。 這裡有很多變化：添加或刪除雙打（ofice.com而不是office.com），添加或刪除標點符號（cloud-flare或c.loudflare而不是cloudflare），替換發音相似的字母（savebank而不是safebank） ，等等。

打字錯誤最初被垃圾郵件發送者和廣告欺詐者用作武器，但如今，此類技巧與虛假網站內容結合使用，為魚叉式網絡釣魚和商業電子郵件洩露 (BEC) 奠定了基礎。

如何防範雙重域名和相似攻擊

同形文字是最難發現的，而且幾乎從未用於合法目的。 因此，瀏覽器開發人員以及域名註冊商正在努力防禦此類攻擊。 例如，在某些域區域中，禁止使用不同字母表中的字母註冊名稱。 但在許多其他 TLD 中沒有此類保護，因此您必須依賴安全工具。 確實，許多瀏覽器都有一種特殊的方式來顯示包含混合字母的域名。 發生的情況是，它們用 punycode 表示 URL，因此看起來像這樣：xn--micrsoft-qbh.xn--cm-fmc（這是帶有兩個俄語 o 的 microsoft.com 網站）。

防止拼寫錯誤搶注和組合搶注的最佳防禦方法是專注。 為此，我們建議所有員工接受基本的安全意識培訓，以學習如何發現主要的網絡釣魚技術。

不幸的是，網絡犯罪分子的武器庫非常廣泛，而且絕不僅限於相似的攻擊。 針對針對特定公司精心執行的攻擊，僅僅專注是不夠的。 例如，今年攻擊者創建了一個假網站，為員工克隆了 Reddit 的內聯網網關，並成功入侵了公司。 因此，信息安全團隊不僅需要考慮員工培訓，還需要考慮重要的保護工具：

專門保護郵件服務器免受垃圾郵件和魚叉式網絡釣魚的侵害。 例如，卡巴斯基郵件安全解決方案使用機器學習和實時更新的垃圾郵件數據庫來檢測惡意電子郵件。 該系統還能夠“引爆”沙箱中的可疑電子郵件或隔離它們。

保護所有員工設備 – 包括用於工作的智能手機和個人電腦。 這提高了整體安全性，但對於攔截不是通過電子郵件而是通過社交網絡等其他渠道發送的惡意鏈接和文件尤其重要。