什么是域欺骗？| 网站和电子邮件欺骗

文章摘要：

• 域欺骗涉及伪造网站 URL 或电子邮件地址以欺骗用户。攻击者在网络钓鱼活动中使用这些手段窃取凭据、分发恶意软件或进行广告欺诈。
• 攻击者经常使用同形异义词攻击，利用视觉上相似的 Unicode 字符来创建欺骗性 URL。仔细检查网站 URL 和验证 SSL 证书详情能帮助用户识别这些恶意克隆副本。
• 尽管阻止域欺骗难度很大，但企业可以通过为电子邮件实施 DMARC 和 DKIM 协议来提高安全性。使用 SSL 证书可进一步验证网站对访问用户的合法性。

什么是域欺骗？

域欺骗是指网络犯罪分子假冒网站名称或电子邮件域来欺骗用户。域欺骗的目的是将恶意电子邮件或网络钓鱼网站伪装成合法电子邮件或网站，诱使用户与之交互。域欺骗就像骗子一样，向人们展示伪造的凭据以获得信任，然后再利用其获得好处。

域欺骗通常用于网络钓鱼攻击中。网络钓鱼攻击的目的是窃取个人信息（例如帐户登录凭据或信用卡详细信息），诱骗受害者向攻击者汇款，或诱骗用户下载恶意软件。域欺骗还可以用于广告欺骗，以诱使广告客户付款，但客户的广告展示在假冒网站上，而非他们以为的网站上。

域欺骗不同于 DNS 欺骗或缓存中毒，也不同于 BGP 劫持。这些方法用于将用户定向到错误网站，比直接伪造域名更为复杂。

什么是域？

域是网站的全名，更准确的称呼是域名。"cloudflare.com" 是域名的一个示例。对于公司和组织，域显示在员工的电子邮件地址中，在 "@" 符号后。个人电子邮件帐户可以使用 "gmail.com"或 "yahoo.com"作为域，但是公司电子邮件通常会使用公司网站做域名。（要了解有关域的更多信息，请参阅什么是 DNS？ ）

域欺骗的主要类型有哪些？

网站/URL 欺骗

网站欺骗是指攻击者使用与用户知道并信任的合法网站的 URL 非常相似甚至完全相同的 URL 构建网站，以欺骗用户。除了欺骗 URL 外，攻击者还可以复制网站的内容和样式以及图像和文本。

为了模仿 URL，攻击者可以使用其他语言的字符或 Unicode 字符，这些字符看起来与常规 ASCII 字符几乎完全相同。（这称为同形异义词攻击。）不太令人信服的欺骗性 URL 可能会在 URL 中添加或替换常用字符，并期望用户不会注意到这些字符。

这些假冒网站通常用于网络钓鱼等犯罪活动。通过 URL 看似合法的假冒登录页面，可以诱骗用户提交其登录凭据。欺骗性网站也可以用于骗局或恶作剧。

电子邮件欺骗

电子邮件欺骗是指攻击者使用带有合法网站域名的虚假电子邮件地址。由于域验证未内置在简单邮件传输协议（SMTP）（构建电子邮件的协议）中，因此导致了这种可能。最近开发的电子邮件安全协议，例如 DMARC 和 DKIM，可以提供更好的验证功能。

在网络钓鱼攻击中，攻击者经常使用电子邮件欺骗。攻击者会冒用域名，让用户以为网络钓鱼电子邮件是合法的。乍一看，电子邮件似乎来自公司代表，比来自某个随机域的电子邮件更可信。

网络钓鱼攻击的目标可能是：让用户访问某个网站，下载恶意软件，打开恶意电子邮件附件，输入帐户凭据或将资金转入攻击者控制的帐户。

电子邮件欺骗通常与网站欺骗结合使用：通过电子邮件将用户引向欺骗性网站，然后让用户在网站中输入目标帐户的用户名和密码。

广告中的域欺骗

广告欺诈者会伪造其自有网站的名称，掩盖其真正的流量来源，并提供欺骗性域名供广告商出价。然后，展示广告最终会出现在不良网站上，而不是广告客户想要展示其广告的网站上。

用户如何保护自身免受域欺骗？

留意来源。链接来自电子邮件吗？该电子邮件是意外邮件吗？意外的请求和警告通常来自诈骗者。

仔细查看 URL。是否包含其他多余的字符？尝试将 URL 复制并粘贴到新标签页中：看起来仍然一样吗？（这可以检测同形异义词攻击。）

确保有 SSL 证书。SSL 证书是一个文本文件，可识别网站并帮助加密往返网站的流量。SSL 证书通常是由外部证书颁发机构颁发的，在颁发证书之前，证书颁发机构将验证请求方确实拥有该域名（尽管有时这种验证非常简单）。如今，几乎所有合法网站都有 SSL 证书。

检查 SSL 证书（若有）。SSL 证书上列出的域是预期的域名吗？（要在 Chrome 浏览器中查看 SSL 证书，请点击 URL 栏中的挂锁，然后点击“证书”。）欺骗性网站可能有真实的 SSL 证书，但是是针对欺骗性域名的证书，而非实际域名的证书。

为重要网站添加书签。保留每个合法网站的浏览器内书签。点击书签，而不是点击链接或键入 URL，可确保每次都加载正确的 URL。例如，不要输入 "mybank.com"或通过 Google 搜索银行网站，而是为该网站创建书签。

公司如何阻止其域名被冒用？

SSL 证书可以使攻击者更加难以进行网站欺骗，因为攻击者除了注册欺骗性域名外还必须注册欺骗性 SSL 证书。（Cloudflare 提供免费 SSL 证书。）

很遗憾，没有方法可以阻止电子邮件中的域欺骗。公司可以在通过 DMARC、DKIM 和其他协议发送的电子邮件中添加更多的验证，但是在没有此验证的情况下，外部仍可以使用其域发送伪造的电子邮件。

常见问题解答

什么是域欺骗？

域欺骗是指网络犯罪分子假冒合法网站名称或电子邮件域来欺骗用户。其目标是获得用户的信任，以便他们会与恶意内容（例如网络钓鱼网站或欺诈性电子邮件）进行交互，就像真实的内容一样。

网站欺骗和电子邮件欺骗之间有什么区别？

网站欺骗指建立一个虚假网站，其 URL 看起来与可信网站几乎完全相同，并通常复制原始网站的设计和图像，以诱骗用户输入凭据。电子邮件欺骗涉及从看似使用合法个人或公司的域的虚假地址发送邮件。

攻击者如何使虚假的 URL 看起来像真实的？

攻击者常利用同形字符攻击，即用外观几乎完全一致的 Unicode 字符或外文字符替换常规字符。其他方法包括在 URL 中添加或交换外观相似的字符，希望受害者不会注意到这种微妙的区别。

如何分辨网站是否被仿冒？

您应始终检查 SSL 证书，这有助于验证 Web 服务器的身份。虽然假冒网站可能拥有证书，但它将是针对虚假域名而不是真实域名颁发的。您还可以验证 URL，方法是将其复制并粘贴到新的选项卡中，查看字符是否发生变化，或者查找不应出现的意外字符。

企业可以采取哪些措施来阻止其域名被冒用？

虽然很难完全阻止欺骗，但公司可以通过使用 SSL 证书 (这需要验证过程) 增加攻击者的难度。对于电子邮件，组织可以实施 DMARC 和 DKIM 等安全协议，以更好地验证他们发送的消息。

域欺骗和 DNS 欺骗是一回事吗？

域欺骗是一种相对简单的伪造名称或外观的技术。DNS 欺骗（或缓存中毒）和 BGP 劫持是技术上更复杂的方法，通过操纵互联网的底层基础设施将用户重定向到错误的网站。