Ett viktigt krav för en illvillig aktör som vill inleda en varumärkesattack är registreringen av ett noggrant utvalt domännamn. De mest övertygande intrången använder ofta ett domännamn som är förvillande likt domännamnet på det attackerade varumärkets officiella hemsida. Detta möjliggör utförandet av en mängd attacker, inklusive phishing-attacker (där domänen används som värd för en webbplatskopia eller för att skapa en vilseledande avsändaradress för e-post) och andra typer av varumärkesintrång där användarna leds till falska webbplatser via felskrivna webbadresser eller manipulation av sökmotorer.
En väletablerad hotbärare som används för att skapa bedrägliga webbplatser är användningen av strängar som ”www” eller ”http” i själva domännamnet, t.ex. genom att registrera domäner som www-google.com eller httpgoogle.com för att utge sig för att vara den legitima webbplatsen (dvs. www.google.com eller http://google.com).
CSC genomförde en undersökning i augusti 2022 med hjälp av sin 3D Domain Monitoring-teknik för att undersöka aktivitetsmönster för domänregistreringar av namn som börjar på ”www” eller ”http” under den föregående ettårsperioden. Analysen inkluderar identifiering av nyligen registrerade domäner (N), omregistrerade domäner (R) eller borttagna domäner (dvs. förfallna domäner) (D). Varje exempel på dessa aktiviteter för en viss domän kallas för en ”händelse”.
Resultat
Mellan augusti 2021 och augusti 2022 identifierades mer än 230 000 händelser för ”www”-domäner och mer än 12 000 för ”http”-domäner. Bild 1 visar den fortlöpande aktiviteten under ettårsperioden, med ett flertal toppar och dalar.
.jpg)
I den fullständiga datamängden hittades ett antal specifika nyckelordsträngar som förekom flera gånger som domännamn på sekundärnivån (den del av domännamnet som ligger till vänster om punkten). Det rör sig antingen om vissa domännamn som upprepade gånger har förfallit och omregistrerats eller registrering av olika domäner med samma domännamn på sekundärnivån men med olika toppdomäntillägg, så kallade ”kusindomäner”. Av de här nyckelordsträngarna hänvisade flera till välkända varumärkesnamn, varianter eller stavfel, vilket tyder på en avsikt att rikta in sig på varumärket i fråga, som framgår av tabell 1 och 2.
| Nyckelordsträng | Antal registreringar eller borttagningar |
| www-roblox | 21 |
| www-lcloud | 16 |
| www-apple | 15 |
| wwwgoogle | 13 |
| www-avito | 12 |
| www-citizens | 11 |
| www-yandex | 10 |
| www-torproject | 10 |
| www-icloud | 10 |
| www-blablacar | 10 |
| www-bitstamp | 10 |
| www1royalbank | 10 |
| Nyckelordsträng | Antal registreringar eller borttagningar |
| https-skinbaron | 9 |
| https-www-ruraivla-com-lsum-main | 8 |
| httpsgoogle | 7 |
| https-csmoney | 7 |
| httpgoogle | 7 |
| http18comic | 7 |
| httpsstreamlabs | 6 |
| https-googlecom | 6 |
| https-httpsgoogle | 6 |
| httpsgoogledotcom | 6 |
| httpsgoogleplay | 6 |
| https–google | 6 |
| httpsgoogle-com | 6 |
| httpsgooglecom | 6 |
| httpsecuregoogle | 6 |
| httpsdealersvwcredit | 6 |
| https-anydesk | 6 |
| httpqgoogle | 6 |
| httpagoogle | 6 |
| httpcredito-app-nubank | 6 |
| http2google | 6 |
Tabell 3 och 4 visar de toppdomäner som ingår i datamängden.
| Toppdomän | Antal registreringar eller borttagningar |
| .COM | 204 795 |
| .XYZ | 6 233 |
| .NET | 4 411 |
| .ORG | 3 008 |
| .TOP | 1 646 |
| .VIP | 1 423 |
| .INFO | 950 |
| .FR | 937 |
| .ONLINE | 714 |
| .UK | 676 |
| Toppdomän | Antal registreringar eller borttagningar |
| .COM | 8 284 |
| .XYZ | 1 267 |
| .NET | 429 |
| .ORG | 388 |
| .LIVE | 228 |
| .ONLINE | 180 |
| .INFO | 170 |
| .UK | 160 |
| .FR | 154 |
| .SITE | 150 |
Föga förvånande domineras datamängden av .COM, vilket återspeglar både toppdomänens fortsatta popularitet och dess omfattande användning i officiella domännamn för de varumärken som imiteras. En rad nya generiska toppdomäner såsom .XYZ, .TOP, .VIP, .ONLINE, .LIVE och .SITE förekommer också i listorna, vilket stämmer med tidigare observationer om att de här tilläggen är populära bland bedragare[1],[2],[3].
Intrång riktade mot toppvarumärken
CSC analyserade också förekomsten av registreringar och borttagningar för ”www”- och ”http”-domännamn som innehåller något av de 10 mest värdefulla företagsvarumärkena år 2022[4] baserat på antagandet att de sannolikt kommer att vara attraktiva måltavlor för illasinnade aktörer. Resultaten visas i tabell 5.
| Varumärkessträng | Antal registreringar eller borttagningar för ”www”-domäner | Antal registreringar eller borttagningar för ”http”-domäner |
| apple | 212 | 43 |
| 143 | 120 | |
| amazon | 114 | 19 |
| microsoft | 14 | 6 |
| tencent | 0 | 0 |
| mcdonalds | 8 | 2 |
| visa | 58 | 10 |
| 38 | 31 | |
| alibaba | 7 | 4 |
| vuitton | 1 | 0 |
| TOTALT | 595 | 235 |
De relaterade nyckelord som också finns i domännamnen kan ge ytterligare information om avsikterna hos dem som registrerar domänerna. I datamängden med 255 händelser inom ”apple”-domänen ser vi till exempel ofta vissa nyckelord, varianter eller felstavningar som kan tyda på phishing, bland annat ”login” (13 fall), ”support” (47) och ”activate” (17).
Det är anmärkningsvärt att av de 564 aktiva, unika domäner som innehåller något av de 10 största varumärkesnamnen i datamängden ovan har 16 % aktiva MX-poster, vilket visar att de är konfigurerade för att skicka eller ta emot e-post och är ytterligare en indikation på att de kan ha registrerats för att användas i phishing-kampanjer.
När man tittar på innehållet på webbplatserna i den varumärkesspecifika datamängden var majoriteten av domänerna inaktiva vid tidpunkten för analysen, även om flera domäner hade flaggats som farliga eller vilseledande på webbläsarnivå, vilket tyder på att de tidigare kan ha innehållit bedrägliga webbplatser. Andra innehöll pay-per-click-länkar och tjänade pengar på den feldirigerade webbtrafik som drogs till dessa webbplatser och som potentiellt kunde leda användarna till konkurrentwebbplatser. Några av webbplatserna visar också banderollannonser för spelrelaterade webbplatser eller webbplatser för vuxna. Bild 2 visar tre exempel på webbplatser som befanns innehålla aktivt intrångsinnehåll.
Slutsatser
Under ett år har CSC:s 3D Domain Monitoring-teknik identifierat nästan en kvarts miljon registreringar eller borttagningar av domäner avsedda att vara medvetet vilseledande genom att de innehåller strängarna ”www” eller ”http” i början. En betydande andel verkar vara inriktade på specifika varumärken, och 830 av händelserna gällde de 10 mest värdefulla varumärkena.
Flera domäner visade sig leda till (eller hade tidigare lett till) intrångsinnehåll, medan 16 % av domänerna för de 10 mest värdefulla varumärkena var konfigurerade med aktiva MX-poster. Det antyder att de kan ha registrerats för sin e-postfunktion, en indikation på möjliga phishing-kampanjer.
Resultaten understryker vikten av att varumärkesägare använder sig av ett aktivt domänövervaknings- och bekämpningsprogram. CSC:s 3D Domain Monitoring-teknik kan upptäcka registrering, omregistrering och borttagning av domännamn som innehåller varumärkesbegrepp och andra intressanta nyckelord (inklusive varianter som ungefärliga matchningar och teckenersättningar) i ett stort antal tillägg. Det gör det möjligt för varumärkesägare att identifiera och minska riskerna i samband med kränkande domänregistreringar av tredje part.
Om du vill veta mer om CSC:s 3D Domain Monitoring and Enforcement-tjänster, fyll i vårt kontaktformulär för att få prata med en av våra specialister.
[1] cscdbs.com/blog/branded-domains-are-the-focal-point-of-many-phishing-attacks/
[2] circleid.com/posts/20210908-credential-hinting-domain-names-a-phishing-lure
[3] unit42.paloaltonetworks.com/top-level-domains-cybercrime/
