警惕!大多数停放域名现已转向提供恶意内容

安全公司Infoblox最新研究发现,超过90%的停放域名会将访问者重定向至诈骗、恐吓软件或恶意软件网站。文章详细分析了恶意重定向的技术链条、攻击者的运营模式,并探讨了谷歌广告政策变化可能带来的意外风险,为用户提供了防护建议。

直接导航——即在浏览器中手动输入域名访问网站的行为——正变得前所未有的危险。一项新研究发现,绝大多数“停放”域名——主要是过期或休眠的域名,或是流行网站的常见拼写错误——现在都被配置为重定向访问者到实施诈骗和传播恶意软件的网站。

当互联网用户尝试访问过期域名或意外导航到看似相似的“误植域名”(typosquatting)时,他们通常会被带到域名停放公司的占位页面,这些公司通过显示指向多个付费展示其链接的第三方网站的链接,来试图从这些误入的流量中获利。

十年前,最终访问到这些停放域名并被重定向到恶意目的地的风险相对较小:2014年,研究人员发现停放域名将用户重定向到恶意网站的情况不到5%——无论访问者是否点击了停放页面上的任何链接。

但在过去几个月的系列实验中,安全公司Infoblox的研究人员表示,他们发现情况现已逆转,恶意内容目前是停放网站的绝对常态。

“在大规模实验中,我们发现超过90%的情况下,访问停放域名的用户会被引导至非法内容、诈骗、恐吓软件和杀毒软件订阅,或恶意软件,因为‘点击’从停放公司出售给了广告商,而广告商通常又将该流量转售给另一方,”Infoblox研究人员在今天发布的一篇论文中写道。

Infoblox发现,如果访问者使用虚拟专用网络(VPN)或通过非住宅互联网地址访问网站,则停放网站是良性的。例如,Scotiabank.com的客户如果不慎将域名错误输入为scotaibank[.]com,如果他们使用VPN,将会看到一个正常的停放页面,但如果来自住宅IP地址,则会被重定向到一个试图强加诈骗、恶意软件或其他不需要内容的网站。同样,仅使用带有住宅IP地址的移动设备或台式电脑访问拼写错误的域名,就会发生这种重定向。

根据Infoblox的说法,拥有scotaibank[.]com的个人或实体拥有近3000个类似域名组合,包括gmail.com(缺“l”),后者已被证实配置了用于接收传入电子邮件的自有邮件服务器。这意味着,如果您向Gmail用户发送电子邮件时不小心从“gmail.com”中遗漏了“l”,该邮件不会消失在以太网中或产生退信回复:它会直接发送给这些诈骗者。报告注意到,该域名最近还被用于多起商业电子邮件入侵(BEC)攻击中,使用带有木马恶意软件的“付款失败”诱饵。

Infoblox发现这个特定的域名持有者(通过一个共同的DNS服务器——torresdns[.]com暴露)已建立针对数十个顶级互联网目的地的误植域名,包括Craigslist、YouTube、Google、Wikipedia、Netflix、TripAdvisor、Yahoo、eBay和Microsoft。这些误植域名的无害化列表可在此处获取(所列域名中的点已替换为逗号)。

Infoblox的威胁研究员David Brunsdon表示,停放页面会引导访问者经历一系列重定向,同时使用IP地理位置、设备指纹识别和Cookie来分析访问者的系统,以确定将域名访问者重定向到何处。

“在威胁到达之前,通常是一条重定向链——在停放公司外部有一两个域名,” Brunsdon说。“每次转手时,设备都会被一次又一次地分析,然后才被传递给恶意域名,或者如果他们认为不值得攻击,则传递给像Amazon.com或Alibaba.com这样的诱饵页面。”

Brunsdon表示,域名停放服务声称他们在停放页面上返回的搜索结果旨在与其停放的域名相关,但他们测试的几乎所有显示内容都与他们测试的类似域名无关。

Infoblox表示,拥有domaincntrol[.]com的另一个威胁行为者(该域名与GoDaddy的名称服务器仅一个字符之差)长期以来一直利用DNS配置中的拼写错误将用户引导至恶意网站。然而,最近几个月,Infoblox发现恶意重定向仅发生在对错误配置域名的查询来自使用Cloudflare的DNS解析器(1.1.1.1)的访问者时,而所有其他访问者将得到一个拒绝加载的页面。

研究人员发现,即使是知名政府域名的变体也正成为恶意广告网络的目标。

“当我们的一位研究人员试图向FBI的互联网犯罪投诉中心(IC3)举报犯罪时,他们不小心访问了ic3[.]org而不是ic3[.]gov,”报告指出。“他们的手机很快被重定向到一个虚假的‘Drive订阅已过期’页面。他们很幸运只是收到诈骗;根据我们所了解的情况,他们同样可能轻易收到信息窃取程序或木马恶意软件。”

Infoblox报告强调,他们追踪的恶意活动并未归因于任何已知方,并指出研究中命名的域名停放或广告平台并未涉及他们记录到的恶意广告。

然而,报告总结说,虽然停放公司声称只与顶级广告商合作,但这些域名的流量经常被出售给联盟网络,而联盟网络经常将流量多次转售,以至于最终的广告商与停放公司没有任何业务关系。

Infoblox还指出,谷歌最近的政策变化可能无意中增加了用户因直接搜索滥用而面临的风险。Brunsdon表示,谷歌Adsense之前默认允许其广告投放在停放页面上,但在2025年初,谷歌实施了一项默认设置,让他们的客户默认选择不在停放域名上展示广告——要求投放广告的人自愿进入其设置并启用停放作为展示位置

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次