域名中的玄機(jī)

文/李一南 向勇

域名中的玄機(jī)

文/李一南 向勇

《水滸》中有個(gè)“圣手書生”蕭讓，善寫當(dāng)時(shí)四種字體，曾依計(jì)偽造宰相蔡京的手書以救宋江。英國的這位則似乎技高一籌，以一人之力就把自己給釋放了！2014年3月，時(shí)年28歲、來自埃塞克斯郡伊爾福德的內(nèi)爾 ·摩爾因犯五項(xiàng)欺詐罪被羈押在旺茲沃斯監(jiān)獄——這里先后關(guān)押過上世紀(jì)“票車大劫案”團(tuán)伙多名成員以及“維基解密”創(chuàng)始人朱利安 ·阿桑奇等重犯要犯。不過幾天之后，3月10日，他被通知高等法院和刑事法院已同意保釋，隨后大搖大擺地出獄了。而摩爾正是用了高仿域名才輕松將自己釋放的。

域名（Domain Name）是互聯(lián)網(wǎng)平臺(tái)上由一串用點(diǎn)分隔、由名字組成的某一臺(tái)計(jì)算機(jī)或計(jì)算機(jī)組的名稱。域名由兩個(gè)或兩個(gè)以上的詞構(gòu)成，中間由點(diǎn)號(hào)分隔，可以由各國文字的特定字符集、英文字母、數(shù)字及連字符任意組合，但開頭和結(jié)尾均不能含有連字符。域名中字母不分大小寫，最長可達(dá)67個(gè)字節(jié)。

設(shè)想一下，高墻內(nèi)的你正在反思自己的罪行，但是你注意到，監(jiān)獄發(fā)給你的通知上有郵件地址，為prison. state.gov（州立監(jiān)獄，政府機(jī)構(gòu)頂級(jí)域名），看起來可以篡改。然后你花了點(diǎn)錢，讓某人偷偷地瞞過監(jiān)獄監(jiān)管給你送來一部手機(jī)，你接著用手機(jī)上網(wǎng)，注冊(cè)一個(gè)看起來很相似的網(wǎng)址，地址名為prison.state.org（州立監(jiān)獄，社會(huì)組織頂級(jí)域名）。兩個(gè)域名只有最后的頂級(jí)域名不同。然后，你用注冊(cè)的域名郵箱給監(jiān)獄管理方去了一封郵件，告訴他們，“囚犯某某（你的名字）明天釋放”，再使用一個(gè)新的法庭名字，寫上現(xiàn)在的日期。如果監(jiān)獄管理方?jīng)]有非常留意來信地址的話，很自然，你會(huì)被釋放。

摩爾之所以能蒙混過關(guān)，應(yīng)該有至少在四個(gè)關(guān)鍵點(diǎn)上成功地做到一一印證，高仿域名的注冊(cè)無疑起到了關(guān)鍵作用，保證了該策劃做到“天衣無縫”。

一是地址高仿，用主辦探員作為“擋箭牌”來申請(qǐng)高仿網(wǎng)站地址，這如同給機(jī)要郵件換了一個(gè)高仿的信封，收件人不加細(xì)致的辨識(shí)很容易上當(dāng)。

二是單位高仿，署名為“南沃克刑事法院”的高仿信件與真實(shí)單位的名稱差異極小，摩爾把“Southwark”寫成了“Southwalk”，九個(gè)字母組成的單詞里只有一個(gè)字母的差異，這如同中國的“已”與“己”的差別一樣不容易辨識(shí)，事后證明，這是最易辨識(shí)的差異，而監(jiān)獄方面未加細(xì)究。

三是作者高仿，掌握并模仿了刑事法院的文書格式與口氣，以刑事法庭職員的名義撰寫，一看就知道是“內(nèi)部人”寫的，閱件人沒有生疑。

知名公司網(wǎng)站備受高仿域名青睞

明碼標(biāo)價(jià)的高仿域名

記者獲得的域名注冊(cè)信息

四是引用真實(shí)，其在信件內(nèi)容中援引了皇家高等法院的“保釋確認(rèn)”，附上了位于倫敦市中心的皇家高等法院的地址和電話，讓收件方順理成章地相信了其編造的謊言。

其中除了公文習(xí)慣之外，其余三條都在域名、法院名稱上動(dòng)了腦筋。

“注冊(cè)近似域名”，也稱網(wǎng)址劫持、網(wǎng)站圈套、冒牌網(wǎng)址，是網(wǎng)絡(luò)侵占的一種。維基百科不認(rèn)為這是犯罪，只是“輸入網(wǎng)址發(fā)生錯(cuò)誤，導(dǎo)致網(wǎng)頁鏈接到了網(wǎng)絡(luò)搶占者注冊(cè)的地址”。從typosquatting的字面理解，是有人提前注冊(cè)了高度類似知名公司、公共機(jī)構(gòu)的域名，專等網(wǎng)絡(luò)使用者在瀏覽器地址欄發(fā)生錯(cuò)誤的輸入，以便轉(zhuǎn)到自己注冊(cè)的網(wǎng)頁中，達(dá)到不可告人的目的。以example.com為例，其表現(xiàn)形式與特點(diǎn)有：

· 普遍發(fā)生的拼寫錯(cuò)誤或者外文拼寫不過關(guān)，導(dǎo)致出現(xiàn)錯(cuò)誤網(wǎng)址，如exemple.com（本該是a拼錯(cuò)為e）。

· 基于打字、打印時(shí)導(dǎo)致的錯(cuò)誤：如examlpe.com（p與l在鍵盤上位置接近，有可能打字出現(xiàn)錯(cuò)誤導(dǎo)致單詞中字母位置顛倒）。

· 不同形式的域名：如examples.com（混淆單復(fù)數(shù)的使用）。

· 不同的頂級(jí)域名：如example. org（.com和.org都是一級(jí)域名，還有政府機(jī)構(gòu)的.gov，教育機(jī)構(gòu)的.edu，網(wǎng)絡(luò)服務(wù)機(jī)構(gòu)的.net等）。

· 濫用國家頂級(jí)域名（ccTLD，如中國的國家級(jí)域名為cn）：如使用.cm注冊(cè)example.cm；或用.co注冊(cè)exaple.co。一個(gè)人在輸入網(wǎng)址時(shí)漏掉一個(gè)o或者一個(gè)m都可能鏈接到欺詐網(wǎng)站的地址上。

一旦無心進(jìn)入了冒牌網(wǎng)址，使用者會(huì)看到已復(fù)制的網(wǎng)站標(biāo)識(shí)、網(wǎng)頁、鏈接等，會(huì)在渾然不覺的狀態(tài)下認(rèn)為自己進(jìn)入的就是真實(shí)的網(wǎng)站，其實(shí)很可能落入早已設(shè)置的圈套。

網(wǎng)絡(luò)域名搶注和絕大多數(shù)接觸性詐騙與網(wǎng)絡(luò)欺詐一樣，其得逞依賴的是世界上最原始、最基本的設(shè)備——人腦——的錯(cuò)誤，而因其成功率很高，已經(jīng)引起很多公共安全網(wǎng)站的留意。例如，每個(gè)地方的治安機(jī)構(gòu)往往會(huì)在每臺(tái)巡邏車的車尾噴上自己網(wǎng)站的地址，“countysheriff.org（縣治安官，機(jī)構(gòu)網(wǎng)址）”，于是就有一波高仿網(wǎng)址出現(xiàn)了，只是在“sheriff（治安官）”的拼寫上動(dòng)了點(diǎn)手腳，如少掉一個(gè)f的“sherif”，多一個(gè)r的“sherriff”，而這些網(wǎng)址都是越南胡志明市的一個(gè)人注冊(cè)的。

問題來了：為什么胡志明市的越南人要注冊(cè)這樣的網(wǎng)址呢？

原因太多了。搶注域名和網(wǎng)絡(luò)欺詐是一種共生關(guān)系。被騙案件的增多，隨之也提升了公眾對(duì)網(wǎng)絡(luò)安全和公共安全的嚴(yán)重關(guān)切。例如在上述仿冒治安官的網(wǎng)站上，你本是想通過正規(guī)網(wǎng)站報(bào)告犯罪，卻偶然因?yàn)槠磳戝e(cuò)誤鏈接到了高仿欺詐網(wǎng)站上，因?yàn)檎?guī)網(wǎng)站上面的若干表格被“克隆”到了欺詐網(wǎng)站上，所以上傳的數(shù)據(jù)、偵查對(duì)象甚至探員的信息都會(huì)被欺詐網(wǎng)站輕松獲得。

這還沒完。針對(duì)目標(biāo)郵件的定點(diǎn)網(wǎng)絡(luò)攻擊（即“魚叉式網(wǎng)絡(luò)釣魚”）也普遍使用這一伎倆。2015年7月，美國亞利桑那州的一個(gè)小鎮(zhèn)就遇到這種事，小鎮(zhèn)官方網(wǎng)站地址為smalltownaz.gov（小鎮(zhèn)+州簡稱+政府機(jī)構(gòu)域名），有人就冒用鎮(zhèn)長的名義給小鎮(zhèn)的財(cái)務(wù)總監(jiān)發(fā)送了若干封郵件，有的郵件包含了附件，在其中一個(gè)附件中，“鎮(zhèn)長”要求財(cái)物總監(jiān)給另一個(gè)州的某人匯去5.3萬美元。假冒鎮(zhèn)長的郵件地址與鎮(zhèn)長官方郵件地址非常相似，只是最后的域名不同，是smalltownaz.co（小鎮(zhèn)+州簡稱+哥倫比亞國家域名）。幸運(yùn)的是，細(xì)心的總監(jiān)洞悉了這一點(diǎn)小小的不同，沒有上當(dāng)。

警方介入后發(fā)現(xiàn)，這個(gè).co的網(wǎng)頁是郵件發(fā)出的當(dāng)天下午1點(diǎn)29分注冊(cè)的，注冊(cè)之后接著就發(fā)出了釣魚郵件。財(cái)務(wù)總監(jiān)收到該地址發(fā)出的第一封電郵是在下午2點(diǎn)08分，也就是說，欺詐網(wǎng)站在注冊(cè)成功半小時(shí)后就開始作案了，目標(biāo)明確，準(zhǔn)備充分！繼續(xù)追查該電子郵件的記錄，發(fā)現(xiàn)該郵件服務(wù)器來自于地球背后的另一個(gè)大陸。

現(xiàn)在，摩爾曾經(jīng)注冊(cè)（有效期一年）的高仿英國皇家高等法院域名又放出來了，目前在網(wǎng)上售價(jià)僅為7.58美元/年！

這里還有一些其他的域名你可能似曾相識(shí)，明碼標(biāo)價(jià)！

雖然這稱得上是某種“創(chuàng)造性”，但是對(duì)詐騙犯罪嫌疑人、垃圾郵件發(fā)送者來說這真的算不上是“罕見”，他們經(jīng)常使用高仿正規(guī)公司/機(jī)構(gòu)的郵件或網(wǎng)址來給人們下套。形形色色的網(wǎng)上陷阱如下。

1.垃圾郵件發(fā)送者：假裝自己是“臉書”公司的，告訴收件人“你有了新簡介”，點(diǎn)擊就中招。

2.網(wǎng)絡(luò)釣魚的：發(fā)送一封看起來像是“貝寶”（在線支付服務(wù)公司）的電子郵件，其間鏈接一個(gè)“邀請(qǐng)”，附一個(gè)假的“點(diǎn)擊取消”鏈接，誘使閱讀者去點(diǎn)擊。

3.惡意注冊(cè)域名的：如高仿維基解密網(wǎng)的“Wikapedia.com” 和高仿推特網(wǎng)的“Twtter.com”，在高仿網(wǎng)頁上遍布誘餌和跳轉(zhuǎn)鏈接，如廣告——所謂“提供與蘋果平板、電腦競爭廣告”的飄窗，誘使你去點(diǎn)擊。

經(jīng)過科學(xué)家調(diào)查，我們的大腦已經(jīng)有了警惕性，在想要搞明白收件箱中郵件的真?zhèn)螘r(shí)，大腦會(huì)加速開動(dòng)進(jìn)行分析，但不幸的是，我們?nèi)匀粫?huì)被假網(wǎng)站所迷惑，據(jù)統(tǒng)計(jì)，對(duì)假冒網(wǎng)站的平均識(shí)別正確率僅有60%。因此，摩爾瞞天過海輕松得逞就比較容易理解了。

網(wǎng)絡(luò)安全專家鮑爾 ·達(dá)克林搜集了高仿臉書、谷歌、推特、微軟、蘋果、守護(hù)士（網(wǎng)絡(luò)安全）等幾家公司有關(guān)的1502個(gè)網(wǎng)址及14495個(gè)鏈接，對(duì)互聯(lián)網(wǎng)數(shù)據(jù)以及網(wǎng)頁截屏進(jìn)行研究，事后的調(diào)查報(bào)告指出：“公司越出名，域名被惡意高仿的機(jī)會(huì)就越大”。

如何保護(hù)自己和公共領(lǐng)域的網(wǎng)絡(luò)安全呢？

· 注意細(xì)節(jié)！最細(xì)小的東西也能導(dǎo)致“面目全非”的結(jié)果，所以要非常仔細(xì)地注意來源郵件的地址，尤其是那些覺得“不是很妥”的郵件。

· 政府機(jī)構(gòu)要注冊(cè).gov頂級(jí)域名！詐騙分子可以獲得.org（組織機(jī)構(gòu)）域名，也有多如牛毛的政府機(jī)構(gòu)注冊(cè)的是.org的域名。要停！這一混亂的態(tài)勢(shì)給壞蛋們提供了太多的機(jī)會(huì)。建議趕緊去dotgov.gov這個(gè)網(wǎng)址去申請(qǐng)一個(gè)你的機(jī)構(gòu)域名。

· 注冊(cè)類似的網(wǎng)址！美國亞利桑那州的公共安全部對(duì)此已經(jīng)做了大量工作。例如，該機(jī)構(gòu)的域名是AZDPS. gov，但是他們也擁有AZDPS.com、 AZDPS.org這樣的地址。如果你訪問了后面兩個(gè)地址，都會(huì)鏈接跳轉(zhuǎn)到第一個(gè).gov的地址。這也是要注冊(cè).gov域名的另一個(gè)原因！

因此，奉勸大家花點(diǎn)時(shí)間找一下，花點(diǎn)小錢去做前面建議的措施。真的不會(huì)花多少錢，尤其是不用策劃什么就能預(yù)防發(fā)生未來讓你頭痛的事件。這是今天，我們所處的這個(gè)年代里最基本的、應(yīng)予重視的事情。

很明顯，這些大公司對(duì)此不以為然或者警惕性沒有提高。這不，就在本文準(zhǔn)備付梓之際，新華社刊發(fā)了一起最新案例，谷歌和臉書公司都“中了大招”。

2017年3月，美國司法部公布了一份起訴書，披露了立陶宛籍男子埃瓦爾達(dá)斯 ·里馬索斯卡斯策劃了一個(gè)虛假商務(wù)電子郵件騙局，他假冒亞洲一家電腦硬件制造商，在2013至2015年間誘騙兩家美國互聯(lián)網(wǎng)公司向他控制的銀行賬戶匯款共計(jì)一億美元。接著美國《財(cái)富》雜志網(wǎng)站刊文，受騙的兩家公司就是谷歌和臉書，它們已承認(rèn)自己就是受害者，并表示在發(fā)現(xiàn)騙局后追回了被騙款項(xiàng)。另外，臺(tái)灣廣達(dá)電腦公司也承認(rèn)它就是被假冒的亞洲電腦硬件制造商。據(jù)起訴書披露，里馬索斯卡斯在立陶宛注冊(cè)了一家與廣達(dá)電腦公司同名的公司，并以這個(gè)假廣達(dá)公司的名義在立陶宛和塞浦路斯開設(shè)銀行賬戶。由于廣達(dá)是谷歌和臉書的供應(yīng)商，里馬索斯卡斯就假冒廣達(dá)的名義向這兩家美國公司的財(cái)務(wù)部門發(fā)送釣魚式電子郵件，要求它們把欠廣達(dá)公司的貨款匯入假廣達(dá)公司的銀行賬戶。這些電子郵件發(fā)自偽造的廣達(dá)公司電子郵箱，看上去像是廣達(dá)公司員工發(fā)送的，因此，成功騙取了谷歌和臉書員工的信任。

正如美國聯(lián)邦檢察官所警告的，所有大公司都要對(duì)網(wǎng)絡(luò)欺詐行為引起警惕，即便是最精明的公司也有可能成為網(wǎng)絡(luò)罪犯釣魚式攻擊的受害者。

網(wǎng)絡(luò)犯罪，防不勝防！