难以发现的影子网域
过往有介绍过Domain Hijacking (网域劫持),一般是指当攻击者成功劫持了你的域名,通常做法是修改你的域名纪录,把正常使用者通过修改的纪录,引导到攻击者的假网站,网站会做得跟官方网站一样,从而骗取使用者的登入名称和密码。但今天想介绍的,是透过这种技巧引伸出来的另一种攻击,名为Domain Shadowing (影子网域) 。
影子网域是一种通过入侵域管理员的帐户并在域中创建多个子网域。简单来说,就是成功劫持你的网域后,他没有修改你主域名的IP 地址,反而是不断建立子网域。例如 domainshadowing.hk 就是主域,假设被劫持后,他会保持你的域名运作正常,然后就在你的域名增加子域名,例如hijacking.doamainshadowing.hk。这样做有甚么好处?
第一是制造假钓鱼连结。首先,子网域和主网域是可以完全连上不同的网站,所以攻击只要把劫持后的子网域连接到钓鱼网站便可。当他发送钓鱼电邮时,基于主域名是有信誉的域名,很大机会可以避开电邮的安全性检查,而且在一般用家不懂分主网域和子网域的情况下,很大机会就会相信该连结是正常的。
第二是透过影子网域来发怖恶意软件。由于子域名也是可以在搜寻器找到,所以会被不法份子加以利用,例如建立一个download.doaminshadowing.hk,这样访客很大机会以为这是一个官方的下载连结。
影子网域是很难发现的,一般用家正常情况下也不会去考究这个子网域是否正确,也未必有能力去查证。所以域名的管理人员须要定期检查,因为域名有可能是以「年」计算不会修改的设定,很多时管理人员也会忽略这个地方。目前开始也有一些技术人员是透过AI 来查出影子网域,但以现况来看,还是用家自己提高警觉会比较好。
例如:
- 看到子域名的电邮要小心,一般公司不会用子域名作电邮地址。
- 看到电邮有子域名的连结,要保持零信任的态度。
- 不妨去一些免费的资源检查连结是否被列入黑名单。(e.g.: 守网者的防骗伺服器)
- 不要直接点击子域名的网站,应该主网页再一步一步浏览。
网络安全在很多方面还需要注意,如有任何疑问欢迎加入我们的 Cybersec Infohub 计划,让行业里的网络安全专家为您解决,如果您怀疑自己或公司的电脑被骇或有可疑的行为,亦请尽快联络网络安全专家求助。
