直接导航——即在浏览器中手动输入域名访问网站的行为——正面临前所未有的风险:一项新研究发现,绝大多数"停放"域名(主要是过期或闲置域名,以及热门网站的常见拼写错误)现在都被配置为重定向访问者至传播诈骗和恶意软件的网站。

2025年10月,模仿FBI网络犯罪投诉中心网站的相似域名曾显示无威胁的停放页面(左图),而移动用户则被立即导向欺诈内容(右图)。图片来源:Infoblox。

当互联网用户尝试访问过期域名或意外导航至相似的"域名抢注"网站时,通常会被导向域名停放公司的占位页面。这些公司通过展示付费第三方网站的链接,试图从错误流量中获利。

十年前,访问这些停放域名后被重定向至恶意网站的概率相对较低:2014年研究人员发现(PDF),无论访问者是否点击停放页面上的链接,停放域名将用户重定向至恶意网站的概率不足5%。

但在过去几个月的系列实验中,安全公司Infoblox的研究人员表示,他们发现情况现已完全逆转,恶意内容目前已成为停放网站的常态。

"在大规模实验中,我们发现超过90%的情况下,停放域名的访问者会被导向非法内容、诈骗、恐吓软件和杀毒软件订阅服务或恶意软件。这是因为停放公司将'点击'出售给广告商,而广告商又经常将这些流量转售给第三方。"Infoblox研究人员在今日发布的论文中写道。

Infoblox发现,如果访问者使用虚拟专用网络(VPN)或非住宅IP地址访问停放网站,这些网站会显示正常内容。例如,Scotiabank.com客户若将域名误输为scotaibank[.]com,使用VPN时会看到正常停放页面,但使用住宅IP地址访问则会被重定向至试图传播诈骗、恶意软件或其他不良内容的网站。需要强调的是,仅需使用住宅IP地址的移动设备或台式电脑访问拼写错误的域名,就会触发这种重定向。

据Infoblox调查,scotaibank[.]com的所有者拥有近3000个仿冒域名组合,包括gmail[.]com——该域名已被证实配置了用于接收邮件的独立邮件服务器。这意味着如果您在发送邮件给Gmail用户时不小心遗漏了"gmail.com"中的字母"l",这封邮件不会消失或退回,而是直接落入诈骗者手中。报告指出,该域名近期还被用于多起商业邮件入侵攻击,通过附带木马恶意软件的"付款失败"诱饵进行欺诈。

Infoblox发现该特定域名持有者(通过公共DNS服务器torresdns[.]com暴露)针对数十个顶级网站建立了域名抢注页面,包括Craigslist、YouTube、Google、Wikipedia、Netflix、TripAdvisor、Yahoo、eBay和Microsoft。这些抢注域名的无害化列表可在此处查看(所列域名中的点号已替换为逗号)。

Infoblox威胁研究员David Brunsdon表示,停放页面会让访问者经历一系列重定向链,同时通过IP地理位置、设备指纹识别和Cookie持续分析用户系统,以确定最终重定向目标。

"通常在威胁到达前会存在重定向链——涉及停放公司外部的一到两个域名,"Brunsdon说。"每次交接时设备都会被反复分析,然后被传递到恶意域名,或者如果判定不值得攻击,则转向Amazon.com或Alibaba.com等诱饵页面。"

访问scotaibank.com时的重定向路径样本。每个分支包含观察到的系列域名,包括颜色编码的着陆页。图片来源:Infoblox。

Infoblox指出,另一个控制domaincntrol[.]com的威胁行为体(该域名与GoDaddy名称服务器仅差一个字符)长期利用DNS配置中的拼写错误将用户导向恶意网站。但最近几个月发现,这种恶意重定向仅发生在访问者使用Cloudflare DNS解析器(1.1.1.1)查询错误配置域名时,其他所有访问者只会收到拒绝加载的页面。

研究人员发现,甚至知名政府域名的变体也已成为恶意广告网络的目标。

"当我们有研究人员尝试向FBI网络犯罪投诉中心(IC3)举报犯罪时,他们意外访问了ic3[.]org而非ic3[.]gov,"报告指出。"他们的手机很快被重定向到虚假的'Drive订阅已过期'页面。他们还算幸运只遇到诈骗;根据我们的研究,他们同样可能轻易遭遇信息窃取程序或木马病毒。"

Infoblox报告强调,他们追踪的恶意活动无法归因于任何已知方,研究中提及的域名停放或广告平台与其记录的恶意广告行为无关。

但报告最终指出,尽管停放公司声称只与顶级广告商合作,但这些域名的流量经常被转售给联盟网络,经过多次倒手后,最终广告商与停放公司已不存在直接业务关系。

标签: 网络安全威胁, 域名停放, 域名抢注, 网络诈骗, 恶意重定向, 恶意软件传播, 威胁情报

添加新评论