超过 10,000 个域名被注册用于冒充短信钓鱼

近期，网络安全领域监测到一种极为猖獗的威胁行为。利用相同域名模式的威胁行为者已注册超 10,000 个域名，专门用于各类短信网络钓鱼（smishing）诈骗。​

这些用于诈骗的根域名均以 “com -” 字符串开头，旁边搭配子域名。这种独特的域名构造，使得完整域名极易欺骗那些仅做随意检查的潜在受害者。经调查发现，这些域名所指向的页面，冒充了至少 10 个美国州和 1 个加拿大省的收费服务及包裹递送服务。其中涉及的美国州包括加利福尼亚州、佛罗里达州、伊利诺伊州、堪萨斯州、马萨诸塞州、宾夕法尼亚州、新泽西州、纽约州、德克萨斯州、弗吉尼亚州，加拿大的省份为安大略省。​

这些短信钓鱼的目的是诱使用户透露个人和 / 或财务信息，如信用卡或借记卡信息以及账户信息等。此类短信钓鱼短信通常来自电子邮件地址或电话号码。值得注意的是，Apple iMessage 不允许在来自未知发件人的消息中发送链接。为绕过这一限制，这些短信钓鱼短信要求用户回复 “Y” 并重新打开文本。一旦用户进行了这样的互动，iMessage 便会启用短信钓鱼文本中的链接。

从技术层面分析，超过 70% 的域名使用相同的两个名称服务器，且解析出的 IP 地址来自流行托管服务提供商。其中，93% 的解析 IP 地址属于 AS13335（Cloudflare）。目前，安全团队已将此活动命名为 “com_smishing”，并表示将持续跟踪和阻止该活动。​

以下是与此活动相关的 10 个随机根域示例：​

- com-2h98[.]xin- com-citations-etc[.]xin- com-courtfees[.]xin- com-fastrakeu[.]xin- com-penalty[.]xin- com-securebill[.]xin- com-securetta[.]xin- com-ticketd[.]xin- com-tickeuz[.]xin- com-ucla[.]xin

以下是来自此活动的 12 个完全合格域名（FQDN）示例：​

- dhl.com-new[.]xin- driveks.com-jds[.]xin- ezdrive.com-2h98[.]xin- ezdrivema.com-citations-etc[.]xin- ezdrivema.com-securetta[.]xin- e-zpassiag.com-courtfees[.]xin- e-zpassny.com-ticketd[.]xin- fedex.com-fedexl[.]xin- getipass.com-tickeuz[.]xin- sunpass.com-ticketap[.]xin- thetollroads.com-fastrakeu[.]xin- usps.com-tracking-helpsomg[.]xin

原文始发于微信公众号（TtTeam）：超过 10,000 个域名被注册用于冒充短信钓鱼