域欺骗攻击是一种复杂的机制,可以(大部分)欺骗用户,而无需用户犯任何“愚蠢的错误”。 让我们对此进行解码,看看如何进行维护。
想象一下,使用合法的网址登录您的网上银行后不久,毕生积蓄就消失了。
这是域欺骗攻击的一种方式。
pharming 一词是从网络钓鱼(攻击)和 farming 🚜 中创造出来的。
简单地说; 网络钓鱼需要您单击可疑链接(愚蠢的错误),该链接会下载导致经济损失的恶意软件。 此外,这可能是一封来自您的“CEO”的电子邮件,要求向“供应商”进行“紧急”银行转账,这是一种称为捕鲸网络钓鱼欺诈的特殊类别骗局。
简而言之,网络钓鱼需要您的积极参与,而域欺骗攻击(在大多数情况下)则不需要。
什么是域欺骗攻击?
我们习惯于域名(如 techblik.com.com),而机器理解 IP 地址(如 24.237.29.182)。
当我们输入网址(域名)时,它(查询)会转到 DNS 服务器(互联网的电话簿),DNS 服务器会将其与关联的 IP 地址相匹配。
因此,域名与实际网站关系不大。
例如,如果 DNS 服务器将域名与托管欺骗性网站的非真实 IP 地址相匹配,那么无论您输入的“正确”URL 是什么,您都将看到这一点。
接下来,用户毫不费力地将详细信息(卡号、身份证号、登录凭据等)交给模仿者,认为这是合法的。
这使得域欺骗攻击变得危险。
它们制作精良,工作隐秘,最终用户在收到来自银行的“借记金额”消息之前一无所知。 或者,他们在暗网上出售个人身份信息。
让我们详细检查一下他们的作案手法。
域欺骗攻击如何运作?
这些在两个级别上编排,与用户或整个 DNS 服务器。
#1。 用户级域名嫁接
这类似于网络钓鱼,您单击可下载恶意软件的可疑链接。 随后,主机的文件(又名本地 DNS 记录)被更改,用户访问与原始网站相似的恶意网站。
主机文件是一个标准的文本文件,它保存本地管理的 DNS 记录,并为更快的连接和更少的延迟铺平道路。
通常,网站管理员在修改域名注册商的实际 DNS 记录之前使用主机文件来测试网站。
但是,恶意软件可能会将虚假条目写入您计算机的本地主机文件。 这样,即使是正确的网站地址也会解析为欺诈网站。
#2。 服务器级域嫁接
发生在单个用户身上的事情也可以发生在整个服务器上。
这称为 DNS 中毒或 DNS 欺骗或 DNS 劫持。 由于这发生在服务器级别,因此受害者可能是成百上千,甚至更多。
目标 DNS 服务器通常更难控制并且是一种冒险的操作。 但如果完成,网络犯罪分子的回报将成倍增加。
服务器级域名嫁接是通过物理劫持 DNS 服务器或中间人 (MITM) 攻击来完成的。
后者是用户与 DNS 服务器之间或 DNS 服务器与权威 DNS 名称服务器之间的软件操作。
此外,黑客可能会更改您的 WiFi 路由器的 DNS 设置,这被称为本地 DNS 定位。
记录在案的域欺骗攻击
用户级域欺骗攻击通常隐藏起来,很少被报道。 即使注册了,也很难出现在新闻媒体上。
此外,服务器级攻击的复杂性也使得它们很难被注意到,除非网络犯罪分子消灭了大量资金,影响到许多人。
让我们检查一些,看看它在现实生活中是如何工作的。
#1。 曲线金融
Curve Finance 是一个加密货币交易平台,于 2022 年 8 月 9 日遭受了 DNS 中毒攻击。
我们从@iwantmyname 那里收到了一份关于发生的事情的简短报告。 简而言之:DNS 缓存中毒,而不是名称服务器妥协。https://t.co/PI1zR96M1Z
网络上没有人能 100% 免受这些攻击。 发生了什么 强烈建议开始转向 ENS 而不是 DNS
– Curve Finance (@CurveFinance) 2022 年 8 月 10 日
在幕后,是 Curve 的 DNS 提供商 iwantmyname 遭到破坏,导致其用户被模仿并造成超过 55 万美元的损失。
#2。 我的以太钱包
2018 年 4 月 24 日对于一些 MyEtherWallet 用户来说是一个黑色的日子。 这是一个免费的开源以太坊(一种加密货币)钱包,具有强大的安全协议。
尽管有很多好处,但这种体验在其用户口中留下了苦涩的味道,净盗窃了 1700 万美元。
从技术上讲,BGP 劫持是在 MyEtherWallet 使用的 Amazon Route 53 DNS 服务上实现的,该服务将其部分用户重定向到网络钓鱼副本。 他们输入了登录详细信息,使犯罪分子能够访问他们的加密货币钱包,从而导致资金突然流失。
然而,用户端的一个明显错误是忽略了浏览器的 SSL 警告。
MyEtherWallet 关于该骗局的官方声明。
#3。 主要银行
早在 2007 年,近 50 家银行的用户就成为域名嫁接攻击的目标,造成的损失数额不详。
这种典型的 DNS 妥协将用户发送到恶意网站,即使他们输入了官方 URL。
然而,这一切都始于受害者访问一个恶意网站,该网站因 Windows 漏洞(现已修补)而下载了木马。
随后,病毒要求用户关闭杀毒软件、防火墙等。
之后,用户被发送到美国、欧洲和亚太地区领先金融机构的模仿网站。 此类事件还有很多,但它们的运作方式相似。
制药的迹象
域嫁接实质上将您受感染的在线帐户的完全控制权交给了威胁行为者。 它可以是您的 Facebook 个人资料、网上银行帐户等。
如果您是受害者,您会看到不明活动。 它可以是帖子、交易,也可以是个人资料图片中的一个有趣的变化。
最后,如果有任何事情您不记得做过,您应该从补救措施开始。
防止域欺骗
根据您遭受的攻击类型(用户或服务器级别),有几种保护方法。
由于服务器级实现不是本文的讨论范围,我们将重点关注您作为最终用户可以做什么。
#1。 使用高级防病毒软件
一个好的杀毒软件是成功的一半。 这有助于您免受大多数流氓链接、恶意下载和诈骗网站的侵害。 虽然有适用于您的 PC 的免费防病毒软件,但付费防病毒软件通常性能更好。
#2。 设置强路由器密码
WiFi 路由器还可以兼作迷你 DNS 服务器。 因此,他们的安全至关重要,首先要取消公司提供的密码。
#3。 选择信誉良好的 ISP
对于我们大多数人来说,互联网服务提供商也充当 DNS 服务器。 根据我的经验,与免费的公共 DNS 服务(例如 Google Public DNS)相比,ISP 的 DNS 提供了一个小的速度提升。 但是,重要的是选择最好的可用 ISP,不仅要考虑速度,还要考虑整体安全性。
#4。 使用自定义 DNS 服务器
切换到不同的 DNS 服务器并不困难也不罕见。 您可以使用来自 OpenDNS、Cloudflare、Google 等的免费公共 DNS。但是,重要的是 DNS 提供商可以看到您的网络活动。 因此,您应该警惕您授予谁访问您的网络活动的权限。
#5。 将 VPN 与私有 DNS 结合使用
使用 VPN 放置了许多安全层,包括他们的自定义 DNS。 这不仅可以保护您免受网络罪犯的侵害,还可以保护您免受 ISP 或政府的监视。 尽管如此,您仍应验证 VPN 是否应具有加密的 DNS 服务器以获得最佳保护。
#6。 保持良好的网络卫生
点击流氓链接或好得令人难以置信的广告是被骗的主要方式之一。 虽然好的防病毒软件会提醒您,但没有任何网络安全工具能保证 100% 的成功率。 最后,保护自己的责任落在您的肩上。
例如,应该将任何可疑链接粘贴到搜索引擎中以查看来源。 此外,在信任任何网站之前,我们应该确保 HTTPS(由 URL 栏中的挂锁表示)。
此外,定期刷新您的 DNS 肯定会有所帮助。
谨防!
域欺骗攻击由来已久,但其运作方式非常微妙,无法准确定位。 此类攻击的根本原因是未完全解决的本地 DNS 不安全问题。
因此,这并不总是取决于您。 尽管如此,列出的保护措施还是有帮助的,尤其是使用像 ProtonVPN 这样带有加密 DNS 的 VPN。
虽然域名绑定是基于 DNS 的,但您知道诈骗也可以基于蓝牙吗? 跳到这个 bluesnarfing 101 来检查它是如何完成的以及保护自己的方法。
