直接导航——即在网络浏览器中手动输入域名来访问网站——从未像现在这样充满风险:一项新的研究发现,绝大多数“停放”域名(大多是过期或休眠的域名,或是热门网站的常见拼写错误)现在都被配置成将访问者重定向到散布诈骗和恶意软件的网站。
当互联网用户尝试访问过期域名或意外导航到看起来很像的“域名抢注”域名时,他们通常会被带到域名停放公司的占位符页面,该公司试图通过显示指向许多付费展示其链接的第三方网站的链接来将误入的流量货币化。
十年前,访问这些停放域名之一被重定向到恶意目的地的几率相对较小:2014 年,研究人员发现(PDF),无论访问者是否点击停放页面上的任何链接,停放域名将用户重定向到恶意网站的概率都低于 5%。
但安全公司Infoblox的研究人员在过去几个月的一系列实验中发现,情况已经发生了逆转,恶意内容现在已成为停放网站的常态。
Infoblox的研究人员在今天发表的一篇论文中写道:“在大规模实验中,我们发现,超过 90% 的情况下,访问停放域名的用户会被引导至非法内容、诈骗、恐吓软件和防病毒软件订阅,或恶意软件,因为‘点击’会被停放公司出售给广告商,而广告商又经常将这些流量转售给其他方。 ”
Infoblox发现,如果访客使用虚拟专用网络 (VPN) 或非住宅互联网地址访问网站,则停放的网站是无害的。例如,Scotiabank.com 的客户如果误将域名输入为scotaibank[.]com,使用 VPN 访问时会看到正常的停放页面;但如果使用住宅 IP 地址访问,则会被重定向到一个试图植入诈骗、恶意软件或其他有害内容的网站。同样,这种重定向仅发生在使用住宅 IP 地址的移动设备或台式电脑访问拼写错误的域名时。
据 Infoblox 报道,拥有 scotaibank[.]com 的个人或实体拥有近 3000 个相似域名,其中包括gmai[.]com。后者显然已配置了自己的邮件服务器,用于接收邮件。这意味着,如果您向 Gmail 用户发送电子邮件,却不小心漏掉了“gmail.com”中的“l”,这封邮件不会就此消失或被退回,而是会直接落入这些诈骗分子手中。该报告还指出,该域名近期也被用于多起商业电子邮件诈骗活动,攻击者使用带有木马恶意软件的诱饵邮件,谎称付款失败。
Infoblox 发现,这个域名持有者(被一个常见的 DNS 服务器 torresdns[.]com 暴露)设置了多个域名抢注,目标包括Craigslist、YouTube、Google、Wikipedia、Netflix、TripAdvisor、Yahoo、eBay和Microsoft等数十个热门网站。一份经过处理的域名抢注列表可在此处查看(列表中域名中的点号已被替换为逗号)。
Infoblox 的威胁研究员David Brunsdon表示,这些停放的页面会将访问者引导至一系列重定向,同时利用 IP 地理位置、设备指纹和 cookie 对访问者的系统进行分析,以确定将域访问者重定向到哪里。
布伦斯顿说:“威胁到来之前,通常会经过一系列重定向——一到两个停车场公司以外的域名。每次转移过程中,设备都会被反复分析,然后被转移到恶意域名,或者如果他们认为攻击目标不值得,则会转移到像 Amazon.com 或 Alibaba.com 这样的诱饵页面。”
布伦斯顿表示,域名停放服务声称,他们在停放页面上返回的搜索结果旨在与停放的域名相关,但几乎所有显示的内容都与他们测试的相似域名无关。
Infoblox 表示,另一个拥有domaincntrol[.]com域名(该域名与 GoDaddy 的域名服务器仅相差一个字符)的威胁行为者长期以来一直利用 DNS 配置中的拼写错误将用户重定向到恶意网站。然而,Infoblox 近几个月发现,只有当访问者使用 Cloudflare 的 DNS 解析器 (1.1.1.1) 查询配置错误的域名时,才会发生恶意重定向;而所有其他访问者都会看到一个无法加载的页面。
研究人员发现,就连一些知名政府域名的变体也成为了恶意广告网络的目标。
报告指出: “我们的一名研究人员试图向联邦调查局互联网犯罪投诉中心(IC3) 举报犯罪时,误访问了 ic3[.]org 而不是 ic3[.]gov。他们的手机很快被重定向到一个虚假的‘云端硬盘订阅已过期’页面。他们很幸运地遇到了诈骗;根据我们了解到的情况,他们同样有可能感染信息窃取程序或木马恶意软件。”
Infoblox 的报告强调,他们追踪到的恶意活动并非归因于任何已知方,并指出研究中提到的域名停放或广告平台与他们记录的恶意广告无关。
然而,该报告总结说,虽然停车公司声称只与顶级广告商合作,但这些域名的流量经常被卖给联盟网络,而联盟网络又经常转售这些流量,以至于最终的广告商与停车公司没有任何业务关系。
Infoblox 还指出,谷歌最近的政策变更可能无意中增加了用户遭受直接搜索滥用的风险。Brunsdon 表示,谷歌 AdSense之前默认允许广告投放在停放页面上,但在 2025 年初,谷歌实施了一项默认设置,要求其客户默认选择不向停放域名投放广告——这需要广告投放者主动进入设置并启用“停放”选项。