随着互联网使用日益普及,用户在浏览器地址栏中手动输入网址的行为看似简单,却正悄然演变为一场高风险操作。一项由全球网络安全公司Infoblox最新发布的研究报告揭示了一个令人震惊的事实:如今,超过90%的“停放域名”(parked domains)已被恶意行为者操控,用以重定向用户至诈骗网站、恐吓软件页面甚至恶意软件分发平台。这一趋势不仅严重威胁普通网民的数字安全,也对国家关键信息基础设施和金融系统的稳定构成潜在风险。
所谓“停放域名”,通常指那些已注册但尚未投入实际使用的域名,包括因过期未续费而被释放的域名、长期闲置的域名,以及与知名网站仅一字之差的“错别字域名”(typosquatting domains)。过去,这类域名多由域名停放服务商展示广告链接以实现流量变现,虽有骚扰性但危害有限。然而,Infoblox的研究表明,当前的停放域名生态已彻底“黑化”——其背后不再是简单的广告变现逻辑,而是一条高度组织化、技术精密的网络犯罪产业链。
联邦调查局互联网犯罪投诉中心网站的类似域名返回了一个非威胁性停车页面(左),而移动用户在2025年10月立即被引导到欺骗性内容(右)。图片:Infoblox。
错字即陷阱:从Gmail到Scotiabank,无一幸免
报告中披露的案例触目惊心。例如,用户若在输入加拿大丰业银行(Scotiabank)官网时误打为“scotaibank.com”(少了一个“i”),其命运将取决于所使用的网络环境:若通过住宅IP地址访问,系统会立即将其重定向至伪装成银行登录页面的钓鱼网站;而若使用虚拟专用网络(VPN)或企业级IP,则仅显示一个看似无害的停放页面。这种“智能分流”策略,正是攻击者利用IP地理位置、设备指纹及浏览器Cookie等技术对访问者进行精准画像后实施的定向攻击。
更令人担忧的是,此类错别字域名并非孤立存在。研究发现,某个恶意实体竟持有近3000个针对全球主流网站的仿冒域名,涵盖Google、YouTube、Wikipedia、Netflix、eBay、Microsoft、Craigslist、TripAdvisor等。其中,“gmai.com”(缺少“l”的Gmail)不仅被配置了邮件服务器接收误发邮件,还被用于商业电子邮件泄露(BEC)攻击——攻击者借此发送“付款失败”通知,并附带携带木马的附件,成功渗透企业财务系统。
此外,连政府机构也未能幸免。美国联邦调查局(FBI)互联网犯罪投诉中心(IC3)的仿冒域名,在移动端访问时直接跳转至欺诈内容,而桌面端则显示正常停放页。这种“移动端优先攻击”策略,反映出犯罪分子对移动互联网用户安全意识薄弱的精准利用。
技术黑箱:重定向链与DNS解析器的“选择性作恶”
Infoblox研究人员还揭示了更深层的技术操控机制。以“domaincntrol.com”(模仿GoDaddy的“domaincontrol.com”)为例,该域名仅对使用Cloudflare公共DNS解析器(1.1.1.1)的用户触发恶意重定向,其他用户则收到空白或错误页面。这表明,攻击者已能根据用户的DNS配置动态调整响应策略,极大增加了检测与防御难度。
“这些停放页面不再是静态广告板,而是具备实时分析与决策能力的恶意网关。”Infoblox威胁研究员David Brunsdon指出,“它们通过多层重定向链隐藏真实目的地,并利用自动化脚本对访问者进行分类,最终将高价值目标(如住宅用户、特定地区用户)导向利润最高的诈骗或恶意软件分发渠道。”
访问scotaibank.com时的重定向路径示例。每个分支都包含一系列观察到的域名,包括颜色编码的登陆页面。图片:Infoblox。
中国应对:CNNIC牵头构建国家级反钓鱼防线
面对全球范围内停放域名滥用的严峻态势,中国并非置身事外。事实上,随着数字经济的高速发展,我国已成为网络钓鱼、域名仿冒等新型网络犯罪的重点目标区域。据国家互联网应急中心(CNCERT)近年通报,涉及金融、政务、电商等关键领域的仿冒域名事件呈逐年上升趋势。
在此背景下,由中国互联网络信息中心(CNNIC)牵头成立的公共互联网反网络钓鱼工作组(以下简称“反钓鱼工作组”)正发挥着越来越重要的作用。该工作组汇聚了国内主要域名注册管理机构、互联网企业、安全厂商及科研单位,致力于构建覆盖“监测—预警—处置—溯源”全链条的反钓鱼协同机制。
反钓工作组技术专家表示:“域名是互联网的基础资源,其安全直接关系到国家网络空间主权和用户权益。我们坚决反对任何利用域名系统实施网络欺诈的行为。”据悉,反钓鱼工作组已建立中文域名仿冒监测平台,对“.cn”“.中国”等国家顶级域下的疑似钓鱼域名进行7×24小时自动扫描与人工复核,并与公安、工信等部门建立快速联动处置通道。
此外,工作组积极推动统一域名争议解决政策(UDRP)在中国的本地化应用。对于恶意注册、囤积仿冒域名的行为,权利人可通过CNDRP(中国域名争议解决政策)向指定仲裁机构提起投诉,要求转移或注销侵权域名。近年来,包括多家银行、电商平台在内的企业已成功通过该机制收回数百个高危仿冒域名。
用户如何自保?专家建议“三不原则”
面对日益狡猾的域名钓鱼攻击,普通用户该如何防范?网络安全专家提出“三不原则”:
不手输,用书签:将常用网站添加至浏览器书签,避免手动输入网址带来的拼写错误风险;
不点击,速关闭:一旦进入疑似停放页面,切勿点击任何链接或下载内容,立即关闭页面;
不沉默,要举报:发现可疑域名,应第一时间向CNNIC反钓鱼工作组(fandiao@cnnic.cn)、12377网络举报中心或公安机关报案。
同时,专家呼吁各大浏览器厂商、搜索引擎及广告平台加强技术拦截能力。值得肯定的是,谷歌已于2025年初调整AdSense政策,限制在停放页面投放广告,从源头上削弱其经济激励。中国互联网企业亦可借鉴此做法,推动行业自律。
结语:筑牢域名安全堤坝,守护清朗网络空间
域名虽小,却是网络信任体系的基石。当一个简单的拼写错误就可能让用户坠入诈骗深渊,这不仅是技术问题,更是社会治理课题。中国作为全球网民规模最大的国家,必须加快构建以CNNIC为核心的域名安全治理体系,强化跨部门协同、提升公众意识、完善法律工具,方能在数字时代筑牢第一道防线。
正如反钓鱼工作组所倡导:“每一个正确的域名输入,都是对网络诚信的一次投票。”唯有政府、企业与公民携手共治,才能让互联网真正成为安全、可信、高效的信息高速公路。
编辑:芦笛(公共互联网反网络钓鱼工作组)
扫一扫
2237
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
