難以發現的影子網域
過往有介紹過Domain Hijacking (網域劫持),一般是指當攻擊者成功劫持了你的域名,通常做法是修改你的域名紀錄,把正常使用者通過修改的紀錄,引導到攻擊者的假網站,網站會做得跟官方網站一樣,從而騙取使用者的登入名稱和密碼。但今天想介紹的,是透過這種技巧引伸出來的另一種攻擊,名為Domain Shadowing (影子網域) 。
影子網域是一種通過入侵域管理員的帳戶並在域中創建多個子網域。簡單來說,就是成功劫持你的網域後,他沒有修改你主域名的IP 地址,反而是不斷建立子網域。例如 domainshadowing.hk 就是主域,假設被劫持後,他會保持你的域名運作正常,然後就在你的域名增加子域名,例如hijacking.doamainshadowing.hk。這樣做有甚麼好處?
第一是製造假釣魚連結。首先,子網域和主網域是可以完全連上不同的網站,所以攻擊只要把劫持後的子網域連接到釣魚網站便可。當他發送釣魚電郵時,基於主域名是有信譽的域名,很大機會可以避開電郵的安全性檢查,而且在一般用家不懂分主網域和子網域的情況下,很大機會就會相信該連結是正常的。
第二是透過影子網域來發怖惡意軟件。由於子域名也是可以在搜尋器找到,所以會被不法份子加以利用,例如建立一個download.doaminshadowing.hk,這樣訪客很大機會以為這是一個官方的下載連結。
影子網域是很難發現的,一般用家正常情況下也不會去考究這個子網域是否正確,也未必有能力去查證。所以域名的管理人員須要定期檢查,因為域名有可能是以「年」計算不會修改的設定,很多時管理人員也會忽略這個地方。目前開始也有一些技術人員是透過AI 來查出影子網域,但以現況來看,還是用家自己提高警覺會比較好。
例如:
- 看到子域名的電郵要小心,一般公司不會用子域名作電郵地址。
- 看到電郵有子域名的連結,要保持零信任的態度。
- 不妨去一些免費的資源檢查連結是否被列入黑名單。(e.g.: 守網者的防騙伺服器)
- 不要直接點擊子域名的網站,應該主網頁再一步一步瀏覽。
網絡安全在很多方面還需要注意,如有任何疑問歡迎加入我們的 Cybersec Infohub 計劃,讓行業裏的網絡安全專家為您解決,如果您懷疑自己或公司的電腦被駭或有可疑的行為,亦請盡快聯絡網絡安全專家求助。
