新的研究显示,以美国顶级域名".US"结尾的域名在网络钓鱼欺诈中最为常见。值得注意的是,.US 由美国政府监管,而美国政府经常是以 .US 结尾的网络钓鱼域名的目标。此外,.US 域名只提供给美国公民和那些能证明他们在美国有实际存在的人。
.US 是美国的"国家代码顶级域"或国家代码顶级域。大多数国家都有自己的国家代码顶级域:例如,.MX 代表墨西哥,.CA 代表加拿大。但是,世界上很少有其他主要国家每年的网络钓鱼域名数量能接近.US。
这是 Interisle Consulting Group 的数据,该公司从多个行业来源收集网络钓鱼数据,并就最新趋势发布年度报告。Interisle 的最新研究调查了 2022 年 5 月 1 日至 2023 年 4 月 30 日期间的 600 万份网络钓鱼报告,发现了 3 万个 .US 网络钓鱼域名。
.US 由国家电信和信息管理局 (NTIA) 监管,NTIA 是美国商务部的一个行政分支机构。但是,NTIA 目前将 .US 域名的管理外包给了 GoDaddy,这是迄今为止世界上最大的域名注册商。
根据 NTIA 的规定,.US 注册机构的管理者必须采取一定的措施来验证其客户是否真正居住在美国,或者是否拥有总部设在美国的组织。
Interisle写道:"从理论上讲,.US的'关联'要求将注册限制在与本国有关联的各方,但.US却有非常多的钓鱼域名。这表明'关系'要求的管理或应用可能存在问题"。
迪恩-马克斯(Dean Marks)是一个名为"在线责任联盟"(Coalition for Online Accountability)的组织的名誉执行董事,该组织一直对 NTIA 对.US 的管理持批评态度。马克斯说,几乎所有执行关联限制的欧盟成员国国家顶级域都因其政策和监督而大大降低了滥用水平。
"即使是非常大的国家顶级域名,如德国的 .de(其域名注册市场份额远远超过 .US),其滥用程度也非常低,包括网络钓鱼和恶意软件。在我看来,.US 的这种情况不应该被美国政府整体接受,也不应该被美国公众接受"。
马克斯说,在其他也限制本国公民注册的国家顶级域名中,如.HU(匈牙利)、.NZ(新西兰)和.FI(芬兰),很少有网络钓鱼域名被注册,这些域名需要与该国有联系、身份证明或公司注册证明。
"或者.LK(斯里兰卡),如果域名被报告有可疑活动,其可接受使用政策包括'锁定和暂停',"Marks 说。"这些国家代码顶级域有力地证明,为了公共安全,必须对域名注册者进行验证。"
令人遗憾的是,.US 多年来一直深陷网络钓鱼活动的泥潭。早在 2018 年,Interisle 就发现.US 域名是全球垃圾邮件、僵尸网络(DDOS 等攻击基础设施)和非法或有害内容最严重的域名。当时,.US 由不同的承包商运营。
GoDaddy 在回答 KrebsOnSecurity 的问题时说,所有 .US 注册者都必须证明他们符合 NTIA 的关联要求。但这似乎只是所有新注册者预先选择的肯定回答。
例如,试图通过 GoDaddy 注册一个.US 域名,会跳转到一个美国注册信息页面,该页面会自动在关系证明字段中填入"我是美国公民"。其他选项包括"我是美国永久居民"和"我的主要住所在美国"。目前,通过 GoDaddy 获取 .US 域名仅需 4.99 美元。
GoDaddy 表示,它还会对选定的注册申请信息进行扫描,并对注册人信息进行"抽查"。
该公司在一份书面声明中说:"我们根据政策对注册数据库中的注册数据进行定期审查,以确定 Nexus 是否符合与注册商和注册者的持续沟通。"
GoDaddy 表示,它"致力于支持更安全的网络环境,并根据我们自己的反滥用缓解系统进行评估,积极主动地解决这一问题。我们反对任何形式的 DNS 滥用,并维护多个系统和协议来保护我们运营的所有顶级域名,我们将继续与注册商、网络安全公司和其他利益相关方合作,在应对这一复杂挑战方面取得进展。"
Interisle 发现,大量.US 域名的注册目的是攻击美国一些最著名的公司,包括美国银行、亚马逊、苹果、AT&T、花旗、康卡斯特、微软、Meta 和 Target。
具有讽刺意味的是,在调查数据中,至少有109个.US域名被用来攻击美国政府,特别是美国邮政及其客户。.US域名还被用来攻击外国政府的业务:6个.US域名被用来攻击澳大利亚政府服务,6个攻击英国皇家邮政,1个攻击加拿大邮政,1个攻击丹麦税务局。
NTIA 最近公布了一项提案,允许 GoDaddy 从 WHOIS 注册记录中删除注册人数据。.US目前的章程规定,所有.US注册记录都必须公开。
Interisle 认为,如果不对新的 .US 域名注册者进行更严格的美国关联验证,NTIA 的提案将使识别网络钓鱼者、验证注册者身份和关联资格变得更加困难。
NTIA 尚未对置评请求做出回应。
Interisle 的网络钓鱼数据来自多个来源,包括反网络钓鱼工作组 (APWG)、OpenPhish、PhishTank 和 Spamhaus。有关网络钓鱼的更多信息,请参阅 Interisle 的《2023 年网络钓鱼形势报告》(PDF):