“reopen”域名在美国大量激增，如何看待“网络门牌”背后的攻击价值？

大家好，我是 零日情报局。

本文首发于公众号 零日情报局，微信ID：lingriqingbaoju。

疫情当前，特朗普试图解除“居家隔离令”、重启经济，而这一决定遭到卫生专家和部分州长的严重反对。随后，在保守派团体和*支协会的煽动下，民众爆发大规模**活动，开始持***，要求解除封锁，尽快复工。

保守派的**并未止步于此。就在**活动爆发前后，大量以“reopen（重新开放）”+“美国城市或州名”格式的域名集中涌现，其中多数域名可跳转到保守派共和党人的Facebook页面、*支协会网站，网站内容大多为煽动群众组织**、向州长**复产复工。

非常肯定的是，“reopen”域名激增背后，矛头对准了这场全国性的**活动。今天零日要和大家说的就是，域名，这个虚拟“网络名片”，如今如何成为发起网络攻击的新媒介。

“网络门牌”蕴藏巨大价值

为什么越来越多攻击者开始青睐“域名”为攻击媒介？首先要从域名背后蕴藏的巨大价值说起。

4月初，微软以170万美金的高价买下“魔鬼域名”——corp.com，但并非是因为追求“靓号”，其最终目的是防止网络犯罪分子滥用。

此话怎讲？因为技术测试表明，任何人只要拥有corp.com，就能访问全球主要公司数十万台 Windows PC 中海量的密码、电子邮件和其他敏感数据。这就是说，谁掌握了 corp.com域名，就等于扼住了大多数公司的信息安全命脉。

尽管像“魔鬼域名”这样的存在只是个例。但我们要警惕的是，域名的拥有者可将域名随意指向任意网站，加上域名背后所汇集的巨大流量，对攻击者来说都是一笔笔无形宝藏。

而在了解域名所具备的巨量价值后，接下来我们重点关注的就是，攻击者如何利用域名发起攻击？对此，零日将域名背后的安全威胁分为网络钓鱼和舆论传播两个方向。

其一，偷天换日，利用域名发起网络钓鱼，窃取机密信息。这就是常说的“域名欺诈”，这种安全威胁随着新顶级域名的出现，隐私政策和社交工程策略的变化，演变出新的攻击形式，这种域名欺诈的攻击形式表现有三：搭建钓鱼网站、发送钓鱼邮件以及劫持误植流量。

（1）搭建钓鱼网站：攻击者可以搭建一个山寨高仿网站销售商品、进行交易，或是伪装成企业网站窃取访者隐私数据、登录凭证等核心信息。

根据Proofpoint Digital Risk Protection 研究人员的发现，超过四分之三的企业发现了与自身品牌相似的高仿域名，例如，真实域名以 “.net”结尾，高仿域名则以 “.com”结尾。