2021 年报告的网络钓鱼站点和被入侵域的趋势(日本)

原文链接:https://blogs.jpcert.or.jp/en/2022/05/phishing2021.html

JPCERT/CC 在 2021 年收到了 44,242 份事件报告,其中 23,104 份与网络钓鱼网站有关。根据报告的信息,本文详细介绍了报告的数量、按行业划分的欺骗品牌的比例以及用于网络钓鱼网站的域名趋势。

本文中的钓鱼网站是指未经授权的网站,旨在通过欺骗合法品牌来窃取凭据和其他信息。一些被报告的网络钓鱼网站包括那些通过 SMS 和电子邮件传播的网站。

钓鱼网站被举报数量及比例趋势

图 1 是 2021 年报告的钓鱼网站数量的月度趋势。从 1 月到 7 月,每月的案例不到 2000 起,但从 8 月左右开始,案例数量继续超过 2000 起。部分原因是关于伪装成亚马逊和 ETC(电子收费系统)使用查询服务网站的网络钓鱼网站的报告有所增加。

图 1:报告的网络钓鱼站点数量的月度趋势

图 2 显示了基于所有报告的 URL 按行业划分的报告的网络钓鱼网站的月度趋势和细分。

图 2:按行业划分的报告的网络钓鱼网站细分

2021 年,欺骗金融机构品牌的钓鱼网站占所有钓鱼网站的 31%,其次是欺骗通信运营商,占 27%。一个显着的特点是政府服务的网络钓鱼站点激增,每个月的报告不到 30 个,8 月增加到 63 个,9 月增加到 209 个。许多报告是伪装成 MIC(日本总务省)的特殊现金发放网站或 MHLW(日本厚生劳动省)的 COVID-19 疫苗导航的网络钓鱼网站网站。

用于网络钓鱼站点的 TLD(顶级域)细分

图 3 显示了按 gTLD 和 ccTLD 划分的报告的网络钓鱼站点的月度细分。

虽然大多数网络钓鱼网站使用 gTLD,但 22% 的网站使用 ccTLD。ccTLD代表“Country Code Top Level Domain”,由每个国家分配和管理。另一方面,gTLD 代表“通用顶级域”,分配给服务领域而不是国家。与 ccTLD 相比,gTLD 的使用限制可能更少,因此更有可能成为网络钓鱼站点。

图 3:按 gTLD 和 ccTLD 划分的报告的网络钓鱼站点细分

图 4 和图 5 显示了用于网络钓鱼站点的 TLD 的比率,分为 gTLD 和 ccTLD。

从 gTLD 的数据来看,组织域占的比例最大(42%)。这是因为使用 org 域的动态 DNS 提供商的服务被利用来生成许多网络钓鱼站点。图 4:用于网络钓鱼网站的 gTLD 细分

在众多ccTLD中,cn域名占比69%,占比最大。为防止进一步损害,JPCERT/CC 正在与 CNCERT/CC 合作,要求托管网络钓鱼内容的网站管理员采取行动,并与相关域名注册商协调。具有 jp 域的网络钓鱼站点数量排名第三。图 5:用于钓鱼网站的 ccTLD 细分

用于钓鱼网站的 jp 域趋势

攻击者通常会破坏具有合法域的网站以放置网络钓鱼内容。但是,其中一些获取 jp 域是为了建立网络钓鱼站点。这些 jp 域将在后面讨论。

图 6 显示了具有 jp 域的网络钓鱼网站的月度趋势。

图 6:jp 域钓鱼网站的月度趋势

为设置网络钓鱼站点而获得的 jp 域的功能

用于网络钓鱼站点的 jp 域中有多种模式。JPCERT/CC 确认了以下特征,特别是在网络钓鱼站点被发现前一个月内注册的那些域中。

  1. 包括品牌名称:例如,aplusl.jp、saisons.jp
  2. 排除品牌名称:例如 hsjhhfjk.jp、reihakls.jp
  3. 在二级域中包含数字:例如,card020.jp、card030.jp
  4. 替换专有名词的一个字母:例如, registerb.jp, registerc.jp

jp 域、网络钓鱼站点和欺骗性品牌之间的关系

以下是使用为开发钓鱼网站而获得的 jp 域的钓鱼网站的三个特征。

1.在子域中使用品牌名称

第一种类型包括子域中的品牌名称。表 1 列出了每个子域具有不同品牌的域。表 1:每个子域具有不同品牌的域

域名中的“卡”一词表明攻击者试图冒充提供包含个人信息的卡服务的服务或品牌,例如信用卡或国民身份证号码卡。在这种情况下,“smbc”(指银行)和“rakuten”(指电子商务公司)被添加到每个网络钓鱼站点的子域中,以冒充不同的品牌。

攻击者注册域的意图可能是通过将合法品牌或服务的名称添加到子域来开发更多的网络钓鱼站点。

另一方面,如表 2 所示,最初注册为冒充乐天的 jp 域实际上被用于运行网络钓鱼网站,以欺骗 MIC 的特殊现金发放网站。可以通过以下事实来证实这一点:子域“soumui”(似乎与 MIC,总务省有关的日语字符串)被添加到这些域中。表 2:欺骗 Rakuten 和 MIC 的域

2.修复子域字符串

第二种类型修复子域字符串,替换域名中的单个字符并运行多个网络钓鱼站点,如表 3 所示。

计算机或智能手机的浏览器从左侧显示网站地址,根据显示大小,可能不会显示右侧地址。攻击者可能会通过在左侧子域中注册合法公司名称来运行多个网络钓鱼站点,从而误导用户。表 2:欺骗 Rakuten 和 MIC 的域

3.使用日语域名

第三种使用日本域名。

假设攻击者旨在使用日语国际化域名运行网络钓鱼站点,以诱使不习惯阅读外语的人访问网络钓鱼站点而不会感到不安全或不舒服。表 4:日本域名/Punycode

结束时

本文解释了 2021 年向 JPCERT/CC 报告的网络钓鱼站点的数量以及使用的域的特征。附录 A 中提供了用于开发钓鱼网站的 jp 域信息。我们希望它有助于运营商考虑应对措施。

如果您有关于钓鱼网站、网站污损或其他可疑内容的信息,请向 info[at]jpcert.or.jp 报告。

中井翔子(富山雅译)附录 A:为开发网络钓鱼网站而获得的 jp 域和欺骗品牌的示例

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

滚动至顶部