域名欺骗攻击:一种隐蔽的网络威胁
域名欺骗攻击是一种复杂的网络攻击手段,它可以在用户不知情的情况下,几乎完全地欺骗他们,而无需用户犯下任何明显的“错误”。让我们深入了解其运作机制,并探讨如何进行防范。
试想一下,您在访问一个看似合法的网上银行网站并成功登录后,您的毕生积蓄却不翼而飞。这正是域名欺骗攻击可能造成的后果。
“Pharming”这个词是由网络钓鱼(phishing)攻击和“farming”耕作的概念结合而来。
简单来说,网络钓鱼需要用户点击可疑的链接,这些链接可能会下载恶意软件,从而导致经济损失。此外,还存在一种称为“捕鲸式网络钓鱼”的特殊类型的欺诈,它通常以来自“首席执行官”的电子邮件为幌子,要求向“供应商”进行“紧急”银行转账。
简而言之,网络钓鱼需要用户的积极参与,而域名欺骗攻击(在大多数情况下)则无需用户的直接操作。
什么是域名欺骗攻击?
我们通常使用域名(例如techblik.com)来访问网站,而机器则理解IP地址(例如24.237.29.182)。
当我们输入网址(域名)时,系统会将其发送到DNS服务器(互联网的电话簿),DNS服务器会将域名与对应的IP地址进行匹配。
因此,域名与实际的网站关联不大。
例如,如果DNS服务器将域名与托管欺诈网站的虚假IP地址相匹配,那么无论您输入的网址多么“正确”,您都会被重定向到该欺诈网站。
接下来,用户会在不知情的情况下,将个人信息(例如卡号、身份证号码和登录凭据等)泄露给冒充者,因为他们误以为自己正在访问合法的网站。
这使得域名欺骗攻击非常危险。它们通常经过精心设计,隐蔽性强,最终用户通常直到收到银行的“扣款通知”时才意识到自己被骗,或者当他们的个人信息在暗网上被出售时才恍然大悟。
让我们详细了解一下他们的作案手法。
域名欺骗攻击是如何运作的?
域名欺骗攻击可以在两个层面进行,即用户层面和整个DNS服务器层面。
#1. 用户级域名嫁接
这类似于网络钓鱼,您点击可疑链接,从而下载恶意软件。随后,计算机的hosts文件(也称为本地DNS记录)被修改,导致用户访问与原始网站相似的恶意网站。
hosts文件是一个标准的文本文件,用于保存本地管理的DNS记录,以便加快连接速度和减少延迟。
通常,网站管理员会在修改域名注册商的实际DNS记录之前,使用hosts文件来测试网站。
然而,恶意软件可能会将虚假的条目写入您计算机的本地hosts文件。这样,即使您输入了正确的网址,也会被解析到欺诈网站。
#2. 服务器级域名嫁接
发生在单个用户身上的情况,也可能发生在整个服务器上。
这种情况被称为DNS中毒、DNS欺骗或DNS劫持。由于攻击发生在服务器层面,受害者可能成百上千,甚至更多。
攻击目标DNS服务器通常更难控制,是一种冒险的操作。但如果成功,网络犯罪分子获得的回报将成倍增加。
服务器级域名嫁接是通过物理劫持DNS服务器或中间人(MITM)攻击来实现的。
后者是指用户与DNS服务器之间,或DNS服务器与权威DNS名称服务器之间的软件操作。
此外,黑客还可能更改您的Wi-Fi路由器的DNS设置,这被称为本地DNS定位。
已记录在案的域名欺骗攻击
用户级域名欺骗攻击通常隐蔽性强,很少被报道。即使有所记录,也很难登上新闻媒体。
此外,服务器级攻击的复杂性也使得它们难以被察觉,除非网络犯罪分子窃取了大量资金,影响到很多人。
让我们来看一些实际发生的案例,了解它们是如何运作的。
#1. Curve Finance
Curve Finance是一个加密货币交易平台,在2022年8月9日遭受了DNS中毒攻击。
我们从@iwantmyname那里收到了一份关于发生的事情的简短报告。简而言之:DNS缓存中毒,而不是名称服务器妥协。 https://t.co/PI1zR96M1Z
网络上没有人能100%免受这些攻击。 发生了什么 强烈建议开始转向ENS而不是DNS
— Curve Finance (@CurveFinance) 2022年8月10日
在幕后,Curve的DNS提供商iwantmyname遭到入侵,导致其用户被重定向到仿冒网站,并造成了超过55万美元的损失。
#2. MyEtherWallet
2018年4月24日,对于一些MyEtherWallet用户来说是黑色的一天。MyEtherWallet是一个免费的开源以太坊(一种加密货币)钱包,具有强大的安全协议。
尽管有诸多优点,但这次事件给用户留下了苦涩的教训,净损失高达1700万美元。
从技术上讲,BGP劫持是通过MyEtherWallet使用的Amazon Route 53 DNS服务实现的,该服务将其部分用户重定向到了网络钓鱼网站。用户输入了登录信息,使犯罪分子能够访问他们的加密货币钱包,导致资金迅速流失。
然而,用户端的一个明显错误是忽略了浏览器发出的SSL警告。
MyEtherWallet关于此次诈骗的官方声明。
#3. 主要银行
早在2007年,近50家银行的用户就成为了域名嫁接攻击的目标,造成的损失金额不详。
这种典型的DNS妥协将用户重定向到恶意网站,即使他们输入了官方网址。
然而,这一切都始于受害者访问了一个恶意网站,该网站利用Windows漏洞(现已修复)下载了木马程序。
随后,病毒要求用户关闭杀毒软件、防火墙等。
之后,用户被重定向到美国、欧洲和亚太地区主要金融机构的仿冒网站。类似的事件还有很多,但它们的运作方式相似。
域名欺骗的迹象
域名嫁接本质上是将您受感染的在线帐户的完全控制权交给了威胁者。它可以是您的Facebook个人资料、网上银行帐户等。
如果您是受害者,您会发现一些不明活动。例如,可能会出现一些您没有发布的帖子、您不记得进行的交易,或者您个人资料图片中出现了一些奇怪的变化。
总之,如果发生任何您不记得做过的事情,您应该立即采取补救措施。
如何防止域名欺骗
根据您遭受的攻击类型(用户级或服务器级),有几种保护方法。由于服务器级攻击不在本文的讨论范围内,我们将重点关注您作为终端用户可以采取的措施。
#1. 使用高级杀毒软件
一个好的杀毒软件是成功抵御网络威胁的关键。它可以帮助您免受大多数恶意链接、恶意下载和欺诈网站的侵害。虽然市面上也有免费的杀毒软件,但付费软件通常性能更好。
#2. 设置强路由器密码
Wi-Fi路由器也可以充当小型DNS服务器。因此,它们的安全性至关重要,您首先应该更改由制造商提供的默认密码。
#3. 选择信誉良好的ISP
对于我们大多数人来说,互联网服务提供商(ISP)也充当DNS服务器。根据我的经验,与免费的公共DNS服务(例如Google Public DNS)相比,ISP提供的DNS在速度上略有优势。但是,重要的是选择最好的ISP,不仅要考虑速度,还要考虑整体安全性。
#4. 使用自定义DNS服务器
切换到不同的DNS服务器并不困难,也不罕见。您可以使用来自OpenDNS、Cloudflare、Google等公司提供的免费公共DNS服务。但是,重要的是要注意,DNS提供商可以看到您的网络活动。因此,您应该谨慎地选择将访问权限授予哪些提供商。
#5. 将VPN与私有DNS结合使用
使用VPN可以增加多层安全保护,包括VPN提供的自定义DNS。这不仅可以保护您免受网络犯罪分子的侵害,还可以保护您免受ISP或政府的监视。但是,您仍应验证VPN是否具有加密的DNS服务器,以获得最佳的保护效果。
#6. 保持良好的网络卫生习惯
点击恶意链接或点击“好得令人难以置信”的广告是上当受骗的主要途径之一。虽然好的杀毒软件会发出警报,但没有任何网络安全工具可以保证100%的成功率。最终,保护自己的责任在于您自己。
例如,您应该将任何可疑链接粘贴到搜索引擎中,以查看其来源。此外,在信任任何网站之前,您应该确保网站使用HTTPS协议(由URL栏中的挂锁图标表示)。
此外,定期刷新您的DNS缓存肯定会有所帮助。
请保持警惕!
域名欺骗攻击由来已久,但其运作方式非常隐蔽,难以精确定位。此类攻击的根本原因是本地DNS系统存在安全漏洞,未能得到充分解决。
因此,这并不总是取决于您。尽管如此,上述的保护措施还是有帮助的,尤其是使用像ProtonVPN这样带有加密DNS的VPN。
虽然域名绑定是基于DNS的,但您知道诈骗也可以基于蓝牙吗?您可以了解更多关于bluesnarfing 101的信息,以了解它是如何运作的以及如何保护自己。