Registreringsmönster för bedrägliga domäner

Registreringsmönster för bedrägliga domäner

Ett viktigt krav för en illvillig aktör som vill inleda en varumärkesattack är registreringen av ett noggrant utvalt domännamn. De mest övertygande intrången använder ofta ett domännamn som är förvillande likt domännamnet på det attackerade varumärkets officiella hemsida. Detta möjliggör utförandet av en mängd attacker, inklusive phishing-attacker (där domänen används som värd för en webbplatskopia eller för att skapa en vilseledande avsändaradress för e-post) och andra typer av varumärkesintrång där användarna leds till falska webbplatser via felskrivna webbadresser eller manipulation av sökmotorer.

En väletablerad hotbärare som används för att skapa bedrägliga webbplatser är användningen av strängar som ”www” eller ”http” i själva domännamnet, t.ex. genom att registrera domäner som www-google.com eller httpgoogle.com för att utge sig för att vara den legitima webbplatsen (dvs. www.google.com eller http://google.com).

CSC genomförde en undersökning i augusti 2022 med hjälp av sin 3D Domain Monitoring-teknik för att undersöka aktivitetsmönster för domänregistreringar av namn som börjar på ”www” eller ”http” under den föregående ettårsperioden. Analysen inkluderar identifiering av nyligen registrerade domäner (N), omregistrerade domäner (R) eller borttagna domäner (dvs. förfallna domäner) (D). Varje exempel på dessa aktiviteter för en viss domän kallas för en ”händelse”.

Resultat

Mellan augusti 2021 och augusti 2022 identifierades mer än 230 000 händelser för ”www”-domäner och mer än 12 000 för ”http”-domäner. Bild 1 visar den fortlöpande aktiviteten under ettårsperioden, med ett flertal toppar och dalar.

I den fullständiga datamängden hittades ett antal specifika nyckelordsträngar som förekom flera gånger som domännamn på sekundärnivån (den del av domännamnet som ligger till vänster om punkten). Det rör sig antingen om vissa domännamn som upprepade gånger har förfallit och omregistrerats eller registrering av olika domäner med samma domännamn på sekundärnivån men med olika toppdomäntillägg, så kallade ”kusindomäner”. Av de här nyckelordsträngarna hänvisade flera till välkända varumärkesnamn, varianter eller stavfel, vilket tyder på en avsikt att rikta in sig på varumärket i fråga, som framgår av tabell 1 och 2.

NyckelordsträngAntal registreringar eller borttagningar
www-roblox21
www-lcloud16
www-apple15
wwwgoogle13
www-avito12
www-citizens11
www-yandex10
www-torproject10
www-icloud10
www-blablacar10
www-bitstamp10
www1royalbank10
Tabell 1: De vanligast förekommande domännamnen på sekundärnivå med varumärkesspecifika nyckelord i datamängden ”www”-domäner.

NyckelordsträngAntal registreringar eller borttagningar
https-skinbaron9
https-www-ruraivla-com-lsum-main8
httpsgoogle7
https-csmoney7
httpgoogle7
http18comic7
httpsstreamlabs6
https-googlecom6
https-httpsgoogle6
httpsgoogledotcom6
httpsgoogleplay6
https–google6
httpsgoogle-com6
httpsgooglecom6
httpsecuregoogle6
httpsdealersvwcredit6
https-anydesk6
httpqgoogle6
httpagoogle6
httpcredito-app-nubank6
http2google6
Tabell 2: De vanligast förekommande domännamnen på sekundärnivå med varumärkesspecifika nyckelord i datamängden ”http”-domäner.

Tabell 3 och 4 visar de toppdomäner som ingår i datamängden.

ToppdomänAntal registreringar eller borttagningar
.COM204 795
.XYZ6 233
.NET4 411
.ORG3 008
.TOP1 646
.VIP1 423
.INFO950
.FR937
.ONLINE714
.UK676
Tabell 3: De 10 vanligast förekommande toppdomänerna i datamängden med händelser för ”www”-domäner.

ToppdomänAntal registreringar eller borttagningar
.COM8 284
.XYZ1 267
.NET429
.ORG388
.LIVE228
.ONLINE180
.INFO170
.UK160
.FR154
.SITE150
Tabell 4: De 10 vanligast förekommande toppdomänerna i datamängden med händelser för ”http”-domäner.
 

Föga förvånande domineras datamängden av .COM, vilket återspeglar både toppdomänens fortsatta popularitet och dess omfattande användning i officiella domännamn för de varumärken som imiteras. En rad nya generiska toppdomäner såsom .XYZ, .TOP, .VIP, .ONLINE, .LIVE och .SITE förekommer också i listorna, vilket stämmer med tidigare observationer om att de här tilläggen är populära bland bedragare[1],[2],[3].

Intrång riktade mot toppvarumärken

CSC analyserade också förekomsten av registreringar och borttagningar för ”www”- och ”http”-domännamn som innehåller något av de 10 mest värdefulla företagsvarumärkena år 2022[4] baserat på antagandet att de sannolikt kommer att vara attraktiva måltavlor för illasinnade aktörer. Resultaten visas i tabell 5.

VarumärkessträngAntal registreringar eller borttagningar för ”www”-domänerAntal registreringar eller borttagningar för ”http”-domäner
apple21243
google143120
amazon11419
microsoft146
tencent00
mcdonalds82
visa5810
facebook3831
alibaba74
vuitton10
TOTALT595235
Tabell 5: Antal registreringar och borttagningar av domäner som innehåller namnen på de 10 mest värdefulla varumärkena 2022.

De relaterade nyckelord som också finns i domännamnen kan ge ytterligare information om avsikterna hos dem som registrerar domänerna. I datamängden med 255 händelser inom ”apple”-domänen ser vi till exempel ofta vissa nyckelord, varianter eller felstavningar som kan tyda på phishing, bland annat ”login” (13 fall), ”support” (47) och ”activate” (17).

Det är anmärkningsvärt att av de 564 aktiva, unika domäner som innehåller något av de 10 största varumärkesnamnen i datamängden ovan har 16 % aktiva MX-poster, vilket visar att de är konfigurerade för att skicka eller ta emot e-post och är ytterligare en indikation på att de kan ha registrerats för att användas i phishing-kampanjer.

När man tittar på innehållet på webbplatserna i den varumärkesspecifika datamängden var majoriteten av domänerna inaktiva vid tidpunkten för analysen, även om flera domäner hade flaggats som farliga eller vilseledande på webbläsarnivå, vilket tyder på att de tidigare kan ha innehållit bedrägliga webbplatser. Andra innehöll pay-per-click-länkar och tjänade pengar på den feldirigerade webbtrafik som drogs till dessa webbplatser och som potentiellt kunde leda användarna till konkurrentwebbplatser. Några av webbplatserna visar också banderollannonser för spelrelaterade webbplatser eller webbplatser för vuxna. Bild 2 visar tre exempel på webbplatser som befanns innehålla aktivt intrångsinnehåll.

Bild 2: Aktiva bedrägliga webbplatser eller webbplatser med intrångsinnehåll på ”www”- eller ”http”-domäner, med inriktning på Apple® (en potentiell phishing-webbplats), Microsoft® och Facebook®.

Slutsatser

Under ett år har CSC:s 3D Domain Monitoring-teknik identifierat nästan en kvarts miljon registreringar eller borttagningar av domäner avsedda att vara medvetet vilseledande genom att de innehåller strängarna ”www” eller ”http” i början. En betydande andel verkar vara inriktade på specifika varumärken, och 830 av händelserna gällde de 10 mest värdefulla varumärkena.

Flera domäner visade sig leda till (eller hade tidigare lett till) intrångsinnehåll, medan 16 % av domänerna för de 10 mest värdefulla varumärkena var konfigurerade med aktiva MX-poster. Det antyder att de kan ha registrerats för sin e-postfunktion, en indikation på möjliga phishing-kampanjer.

Resultaten understryker vikten av att varumärkesägare använder sig av ett aktivt domänövervaknings- och bekämpningsprogram. CSC:s 3D Domain Monitoring-teknik kan upptäcka registrering, omregistrering och borttagning av domännamn som innehåller varumärkesbegrepp och andra intressanta nyckelord (inklusive varianter som ungefärliga matchningar och teckenersättningar) i ett stort antal tillägg. Det gör det möjligt för varumärkesägare att identifiera och minska riskerna i samband med kränkande domänregistreringar av tredje part.

Om du vill veta mer om CSC:s 3D Domain Monitoring and Enforcement-tjänster, fyll i vårt kontaktformulär för att få prata med en av våra specialister.


[1] cscdbs.com/blog/branded-domains-are-the-focal-point-of-many-phishing-attacks/

[2] circleid.com/posts/20210908-credential-hinting-domain-names-a-phishing-lure

[3] unit42.paloaltonetworks.com/top-level-domains-cybercrime/

[4] en.wikipedia.org/wiki/List_of_most_valuable_brands