如何阻止域名抢注攻击

网络犯罪分子正在转向社会工程学，试图欺骗毫无戒心的人泄露私人信息或有价值的凭据。 这是许多网络钓鱼诈骗的幕后黑手，攻击者冒充信誉良好的公司或组织，并以此为幌子传播病毒或其他恶意软件。

其中一种风险是域名抢注，这是一种社会工程攻击形式，试图诱骗用户访问恶意站点，这些站点的 URL 是合法站点的常见拼写错误。 这些站点可能会严重损害受这些攻击者侵害的组织的声誉，并损害被诱骗在虚假站点中输入敏感详细信息的用户的利益。 系统管理员和用户都需要意识到这些风险并采取措施保护自己。

开源软件由大型团体在公共存储库中开发和测试，因此通常因其安全性而受到称赞。 但是，在社会工程计划和恶意软件植入方面，即使是开源工具也可能成为受害者。

本文着眼于域名抢注的日益增长的趋势，以及这些攻击在未来可能对开源软件意味着什么。

什么是域名抢注？

域名抢注是一种非常特殊的网络犯罪形式，通常与更大的网络钓鱼攻击相关联。 它始于网络犯罪分子购买和注册域名，该域名是热门站点的拼写错误。 例如，网络犯罪分子可能会添加一个额外的元音或将“i”替换为小写字母“l”。 有时，网络犯罪分子会获得数十个域名，每个域名都有不同的拼写变体。

只有当真实用户开始访问该站点时，域名抢注攻击才会变得危险。 为了实现这一目标，犯罪分子会运行网络钓鱼诈骗，通常通过电子邮件，敦促人们单击链接并访问域名抢注网站。 通常，这些恶意页面具有简单的登录屏幕，带有熟悉的徽标，试图模仿真实公司的设计。

如果用户没有意识到他们正在访问虚假网站并在页面中输入敏感详细信息（例如他们的密码、用户名或信用卡号），则网络犯罪分子将获得对该数据的完全访问权限。 如果用户在多个站点上使用相同的密码，则他们的其他在线帐户也可能被利用。 这是网络犯罪分子的回报：身份盗窃、信用报告被毁、记录被盗，有时甚至更糟。

近期的一些攻击

从公司的角度来看，将域名抢注攻击与您的域名相关联可能是一场公共关系灾难，即使您没有直接参与其中，因为它被视为不负责任的互联网管理。 作为域名所有者，您有责任主动防御域名抢注，以限制此类欺诈造成的痛苦。

几年前，许多健康保险客户成为受害者受到域名抢注攻击，当时他们收到一封网络钓鱼电子邮件，该邮件指向 we11point.com，其中数字 1 替换了 URL 中的字符“l”。

当国际域名规则更改为允许任何人注册扩展名以前与特定国家/地区相关的 URL 时，它引发了新一轮的域名抢注攻击。 今天最流行的攻击之一是当网络犯罪分子注册与流行的 .com 域名匹配的 .om 域名，以利用在输入网址时意外省略字母“c”的情况。

如何保护您的网站免受域名抢注

对于公司而言，最佳策略是努力领先于域名抢注攻击。

这意味着花钱注册您的域名商标，并购买所有可能出现拼写错误的关联 URL。 您不需要购买您站点名称的所有顶级域名变体，但至少要关注您主要站点名称的常见拼写错误。

如果您需要将您的用户发送到第三方站点，请从您的官方网站执行此操作，而不是通过群发电子邮件。 重要的是要牢固确立一项策略，即官方通信始终只将用户发送到您的站点。 这样，如果网络犯罪分子试图欺骗您的通信，您的用户将知道当他们最终出现在不熟悉的页面或 URL 结构上时，会发生一些错误。

使用像 DNS Twist 这样的开源工具来自动扫描您公司的域名，并确定是否可能已经发生域名抢注攻击。 DNS Twist 在 Linux 操作系统上运行，可以通过一系列 shell 命令使用。

一些 ISP 将域名抢注保护作为其产品的一部分提供。 这可以作为额外的 Web 过滤层发挥作用——如果您组织中的用户意外拼错了常见的 URL，他们会收到警报，提示该页面已被阻止并重定向到正确的域名。

如果您是系统管理员，请考虑运行您自己的 DNS 服务器以及不正确和禁止的域名的黑名单。

发现正在进行的域名抢注攻击的另一种有效方法是密切监控您的站点流量，并为特定区域访问者突然减少设置警报。 这可能是因为大量常规用户已被重定向到虚假站点。

与几乎任何形式的网络攻击一样，阻止域名抢注的关键是持续的警惕。 您的用户指望您识别并关闭以您的名义运营的任何虚假站点，如果您不这样做，您可能会失去受众的信任。

开源软件的域名抢注威胁

大多数主要的开源项目都会经过安全和渗透测试，这主要是因为代码是公开的。 但是，即使在最好的情况下，也可能会发生错误。 如果您参与开源项目，以下是一些需要注意的事项。

当您从未知来源收到合并请求或补丁时，请在合并之前仔细检查它，尤其是在涉及网络堆栈的情况下。 不要屈服于只测试您的构建的诱惑； 查看代码以确保没有任何恶意的东西被嵌入到其他功能增强中。

此外，像企业保护其域名一样，对保护项目的身份也采取同样的严格措施。 不要让网络犯罪分子创建替代下载站点并提供您的项目的带有其他有害代码的版本。 使用数字签名，如下所示，为您的软件创建真实性保证

gpg --armor --detach-sig \
--output advent-gnome.sig \
example-0.0.1.tar.xz

您还应该为您交付的文件提供校验和

sha256sum example-0.0.1.tar.xz > example-0.0.1.txt

即使您不相信您的用户会利用它们，也要提供这些保障措施，因为只需要一个有洞察力的用户注意到替代下载中缺少签名，就可以提醒您有人在某个地方欺骗您的项目。

最后的想法

人容易犯错误。 当全世界有数百万人输入一个常见的网址时，一定比例的人在 URL 中输入错误并不奇怪。 网络犯罪分子正试图通过域名抢注来利用这一趋势。

很难阻止网络犯罪分子注册可供购买的域名，因此请通过关注域名抢注的传播方式来减轻域名抢注攻击。 最好的保护是建立与用户的信任，并勤于检测域名抢注尝试。 作为一个社区，我们可以共同努力，确保域名抢注尝试无效。