江蘇
關鍵詞
DNS劫持
Infoblox研究人員揭露了一個龐大的欺詐性推送通知網絡,展示了薄弱的DNS管理規范與"坐以待斃"(Sitting Ducks)漏洞如何助長全球欺詐廣告生態。最新報告詳細記錄了研究團隊如何"黑吃黑"——通過控制被遺棄的域名來監聽數百萬條惡意通知。
漏洞利用與域名劫持
調查始于名為"坐以待斃"的攻擊漏洞,威脅行為者通過認領已被原所有者放棄但仍保持活躍DNS委派的域名來實施攻擊。Infoblox研究人員發現,某大型推送通知運營商遺留了大量存在此漏洞的域名。
"我們采用DNS技術,通過在DNS提供商處簡單認領就控制了被威脅行為者遺棄的域名...這并非中間人(AiTM)攻擊,我們實際上是從側面介入了威脅行為者的運營。"研究人員解釋道。
海量數據收集與分析
注冊這些被忽視的域名后,研究人員被動接收了大量仍試圖連接攻擊者基礎設施的受害設備流量。"一天之內,我們的收集范圍從一個域名擴展到近120個,"報告指出,"數千臺受害設備連接到我們的服務器,每秒產生30MB的日志數據。"
兩周內收集的5700多萬條日志數據,揭示了一個旨在用欺詐誘餌轟炸用戶的自動化運營體系。受害者主要為Android Chrome用戶,平均每天收到140條通知。
全球分布與欺詐手法
雖然活動覆蓋全球60多種語言,但目標明顯偏向南亞地區。"孟加拉國、印度、印尼和巴基斯坦占全部流量的50%,"分析顯示。
這些通知內容極具欺騙性,利用恐懼、貪婪和"點擊誘餌"誘騙用戶。"通知主題運用欺騙、恐懼和希望誘導用戶點擊鏈接,包括冒充Bradesco、Sparkasse、Recibiste、萬事達卡、Touch 'n Go和GCash等正規金融服務。"
其他誘餌更具掠奪性,包括虛假病毒警報("您的設備已被入侵")、涉及埃隆·馬斯克等公眾人物的捏造新聞丑聞,以及成人內容詐騙鏈接。
低效卻持續的黑產運營
盡管垃圾信息數量龐大,該運營的盈利能力卻出奇低下。研究人員估計,攻擊者從觀測流量中每日僅獲利約350美元。點擊率(CTR)更是慘淡,平均僅為六萬分之一。
"其目標并非向更可能參與的用戶投放廣告,而是試圖欺騙人們...讓廣告商網站流量看似增長,"報告指出。
DNS管理的重要警示
這項研究不僅揭示了聯盟欺詐廣告的陰暗世界,也為基礎設施管理敲響警鐘。"坐以待斃"漏洞仍是攻擊者的有力工具,使其能夠劫持合法聲譽用于惡意目的。
"雖然我們'解救'了這些惡意域名,但其他惡意行為者每天都在使用相同技術從合法組織獲取休眠域名。"研究人員強調,這不僅關乎詐騙者,合法組織若未能清理DNS記錄同樣面臨風險。
報告總結道:"從技術上講,DNS管理是域名所有者的責任。這就像有人把玩具遺落在人行道上,被別人撿走了。這該怪誰呢?"
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
