最常见的组合式域名仿冒关键词是“Support”

攻击者每天都在模仿品牌网站。他们的行动在现实生活中很难实现；例如，可能很难获得必要的实体建筑。但在网上，这些攻击者可以托管设计良好、外观相似的网站（包括模仿的域名）。

这些网站通常托管在与原始品牌的域名非常接近的域名上。我们把这些域称为网络仿冒域。

我们对恶意域的分析表明，组合式域名仿冒是最大的网络仿冒威胁。在这篇文章中，我们介绍了如何在 DNS 流量中检测组合式域名仿冒，并列出了攻击者用来欺骗企业和个人的、最常见的组合式域名仿冒关键词。

网络仿冒域是指攻击者注册和使用的域名，目的是利用并非由他们拥有的品牌或名称的商誉获利。在试图安装勒索软件（例如，通过恶意广告）、进行网络钓鱼尝试或盗用他人身份的攻击活动中，网络仿冒通常被视为一种助推手段。

表 1：网络仿冒的变体

在这些变体中，点占式域名仿冒值得额外一提。在对现有文献的研究中，我们找不到任何关于它的记载。但是，在我们的数据中，我们经常看到这些案例，数量多到足以占有一席之地。点占式域名仿冒是我们团队对它使用的描述性名称，因此，我们在此处也这样称呼它。

各种仿冒类型之间有一些重叠（特别是在域名级别仿冒和域名误植之间）。上面的域名级别仿冒示例就证明了这一点：由于“g”在 QWERTY 键盘上紧挨着“f”，它也可以被认为是域名误植。

这些类型也不是相互排斥的。多种域名仿冒类型也可以组合用于单个域名，比如 safebank-security[.]co，该域名可被视为采用了组合式域名仿冒和 TLD 仿冒。

最后需要说明的是，表 1 中并没有涵盖网上的所有网络仿冒。由于这些攻击媒介往往会不断演变，未来可能会有更多的变体。

网络仿冒造成的经济损失和影响已经存在多年，而它如今仍然是对企业和个人的巨大威胁。

该术语也常用于更广泛的上下文。这一领域的典型方法是 域名仓储 和 域名前置。例如，有人购买了 coke[.]net （TLD 仿冒），并试图将其卖给 Coca-Cola Company，以获得巨额利润。另一种常见的盈利方式是通过窃取点击率进行联盟营销。例如，注册 payypal[.]com ，然后通过一个推荐码将访问者重定向到真正的网站。这种尝试有很多，而且经常取得成功。过去的成功攻击导致了各种法律和法规的出台，其中也包括美国的《反网络仿冒消费者保护法》(ACPA)。

2023 年，Reddit 成为了一次有高度针对性的网络钓鱼活动的受害者。该攻击涉及一个克隆其内网网关行为的网站，该网站托管在一个遭到网络仿冒的域上， Reddit 的安全事件回应中隐约提及到了后者。攻击者可访问员工和广告商的有限信息。

2011 年，在 100 多个由简单的拼写错误创建的 相似域名影响下，Facebook 成为了受害者。后来，Facebook 获得了近 280 万美元的损失赔偿金。

消费者也可能成为直接攻击目标。2022 年 10 月，Bleepingcomputer 报道了一次 大规模的域名误植活动 ，其目的是让人们安装遭到恶意软件感染的应用程序。受害者的设备感染了按键记录器和恶意软件，这些工具盗取了银行账户和 加密货币钱包的凭据。

在我们的 2022 年分析中，就唯一域名而言，组合式域名仿冒是最常见的网络仿冒类型。换句话说，攻击者使用组合式域名仿冒作为其攻击媒介的一部分，使用频率比其他类型的网络仿冒要多得多。

组合式域名仿冒似乎也生成了最多的 DNS 查询，这些查询中的每一个都代表着有一个潜在的受害者在访问一个恶意域名。

根据我们的分析，这两个数据点使组合式域名仿冒成为了最大的网络仿冒威胁。

我们团队的这一见解与 2017 年一项专门针对组合式域名仿冒开展的 大规模研究 的结果是一致的：“我们发现，组合式域名仿冒域的普遍程度是域名误植域的 100 倍。”

尽管如此，在我们看来，域名误植（而不是组合式域名仿冒）是在研究、博客和杂志中得到最多关注的变体。作为研究人员，我们无法找到任何数据来支持对域名误植给予的这种关注。我们看到的数据使我们相信，攻击者更乐于看到域名误植受到关注，从而使组合式域名仿冒可以继续规避检测。

表 2：关键词的示例和它们所唤起的感觉

品牌名称 (safebank) 使该链接看起来合法。当然，“某个链接包含某个品牌名称”这一事实并不意味着它是安全的。没有什么可以阻止任何人注册含有商标品牌名称的域名。很明显，攻击者这样做的目的是引发用户的快速感性反应（而不是理性反应）。将品牌与关键词结合起来似乎是实现这一目标的明智之举。

现在，我们如何利用这些知识来保护人们？

作为一个网络安全研究团队，我们拥有最强大的武器：数据！我们可以接触到一个被我们标记为恶意的大型域名列表。我们与客户分享的正是这个列表，它使客户能够在最终用户浏览互联网时保护他们。此外，我们还可以使用 DNS 流量数据来查看 新观察到的域名（其中包含良性域名和恶意域名）中的关键词趋势。

值得注意的是，我们用于该分析的数据集 只包含恶意的网络钓鱼域名。这使我们能够完全专注于攻击者如今正在积极使用的关键词。每次输入都通过多个内部流程被标记为网络钓鱼，以确保准确性。在本部分中，我们将向您概括介绍我们如何整理常见关键词列表。

您可能还记得，有时关键词通过连字符与品牌相连，有时则是直接连接起来。

前者的关键词是很容易找到的，我们只需要用连字符分割一个域名，因为连字符是自然的分隔符。例如：假设我们有一个域名 amazon-e[.]com。连字符使关键词暴露无遗：品牌名称 amazon 和关键词 e。非常简单。

但是，直接连接的关键词则带来了更大的挑战。它们需要各种知识点，比如语言、本地化的品牌，甚至是浏览行为。关键词重叠是一个常见的示例。

我们来看看 amazone[.]com。此处，我们不知道这个品牌是 Ama （意大利皮革运动鞋制造商）、 Amaz （希腊女装设计师），还是 Amazon （美国科技公司）。此域名为我们提供了以下关键词的选项： zone、 one、 e，它们全都可能有效。

现在，我们大大简化了此任务。我们将分析限制在第一类容易提取的关键词上：包含连字符的域名。这个子集上的分布应该遵循整个数据集上的分布，因为数据量太大了。

简而言之，最初的过程包括四个主要步骤：

1. 从我们的网络钓鱼网站列表中获取域名作为输入

2. 剥离 TLD

3. 在剩余列表中筛选常见品牌名称

4. 通过连字符分割

一旦这四个步骤完成，我们便将所有产生的词语收集到了一个大的列表中。然后我们进一步细化这个列表（通过移除品牌名称），只留下关键词。最后，我们对所有关键词进行汇编并进行统计。

表 3：按热门程度排名的 10 大组合式域名仿冒关键词

这使我们能够对攻击者用于欺骗受害者的关键词一目了然。如您所见，最常使用的组合式域名仿冒关键词是“support”。这很可能是由于合法的支持页面通常是网站中的门户，因此使得 URL 变成了类似 support[.]company-name[.]com 的样子。

一个令人惊讶的发现是“com”。这是一个我们没有想到会有如此高排名的关键词，如果没有概述的数据驱动型方法和我们庞大的数据集，我们不会意识到这个关键词。一些示例包括 accountpaypal-com[.]info 和 com-apple[.]co。

另一个关键词是“jp”，这是日本的 TLD。一些示例包括 apple1-jp[.]com 和 jp-rakuten[.]com。这个列表上还有几个关键词是 TLD 代码：“US”、“UK”和“FR”。这可能指向遭到攻击最多的国家/地区。