企業資安簡易指南:取下欺詐性網域(下)


可疑網域被用來進行詐騙前先加以監控和偵測,那然後呢?受影響企業應該要讓其失效,讓惡意份子無法用它們進行攻擊。但要如何取下(takedown)這些欺詐性網域呢?

首先先考慮法律面:這部分相當重要,而且會因國家而有所不同。有些國家的法律會要求網路服務商(ISP)積極應對網路詐騙,但其他則沒有。

企業資安簡易指南:取下欺詐性網域(下)

當涉及欺詐性網域或是遭到惡意使用時,協同合作是相當重要的,從IT/資訊安全人員以及防護公司網路邊界的系統管理員,一直到決策者和ISP。事實上,大多數的網路服務商都非常積極回應並願意協助打擊詐騙,特別是其基礎設施或服務遭到濫用時。

當被通知網路犯罪或詐騙活動,甚至是網域名稱侵權商標時,網路服務商通常會積極地主動處理。能夠熟悉ISP、電腦資安事件應變小組(CSIRT)及電腦緊急應變小組(CERT)如何處理這些事件也會有所幫助。

(欺詐性)網域名稱包含什麼?

欺詐性網域指的是本身違反規定或被用來進行詐騙的網域名稱。例如網域名稱包含品牌或公司名稱;欺詐性網域本身已經構成商標侵權。這是最簡單取下網域的例子,原因很明顯。

但網域名稱也可能跟公司或品牌無關,卻被用在網路犯罪活動。比方說用來寄送夾帶惡意軟體的電子郵件或放有詐騙內容(如魚叉式釣魚攻擊)。

讓我們試想一下有人註冊了網域名稱trend-m1cr0.com。駭客為其釣魚計畫在上建置了假銀行網頁。雖然這網域名稱完全不相關,但被針對的銀行會希望該網域盡快被停用以防止可能的詐騙攻擊。網路犯罪可能有各種不同手段和規模:放有惡意軟體、網路釣魚頁面或其他欺詐性內容,將其用作命令與控制(C&C)基礎設施,作為發送惡意郵件的SMTP伺服器,或拿來儲存竊來的資料或非法內容。

誰可以協助取下欺詐性網域?

只能透過註冊商這一層級來取下網域。建立網域的註冊商必須負責在需要時加以移除或停用。但如果註冊商沒有回應或是出現緊急事件,其他單位(如CSIRT或CERT)可以介入,他們很習慣於處理取下網域。也有自己的社群網路來加快處理速度。ICANN認證的註冊商有義務提供聯絡資訊並處理遭濫用或被駭的事件通報。

不要忘記拿掉內容!

當詐騙份子將網域連到欺詐性內容時,謹慎點的做法是去聯絡網站代管服務商。在多數情況下,網站代管服務商也是註冊商。

比方說在網路釣魚攻擊時,詐騙份子在伺服器建立合法網站的山寨版,因此聯絡網站代管服務商可能很有幫助。他們可以在確認後立即移除內容或關閉代管帳號。

有些網站代管服務商會先聯絡帳號所有者,通知關於惡意網頁內容的警告。這很合理,特別是受入侵網站的所有者可能並不知情。如果要證明詐騙活動遇上困難,最好是先做好準備:比方說通報伺服器寄送釣魚郵件卻沒有附上詐騙郵件副本(具備完整標頭),可能只會得到禮貌性的回覆或要求提供更多資訊。

取下(Takedown

確認註冊商是取下欺詐性網域必須的資訊之一。只要用WhoIs就可以解決這問題:它可以確認註冊商,甚至顯示聯絡資料(電子郵件和電話)用來通報遭濫用的情形。如果網域名稱是透過經銷商註冊,也會在WhoIs資料中標示,這時去聯絡經銷商可能也是個好作法。請注意,基於隱私和安全原因,Whois的聯絡資料也可能被遮蔽(透過Private Domain Registration/WhoIs masking)而替換成轉寄服務聯絡資訊。ICANN因此要求他們公布服務條款及聯絡人以處理濫用或侵權案件。

要求取下欺詐性網域需要什麼?過程其實很簡單:

通過電子郵件聯繫濫用小組

第一步是寄電子郵件給註冊商的濫用小組。這通常是全天無休的服務(至少對大型註冊商來說),或至少在上班時間內提供。有些提供自動案件回報系統,在進一步聯繫時可以提供案件號碼讓整個過程更快一些,不必在每次聯繫時都重複整個故事。

請注意,如果網路犯罪分子有實際建置網站(釣魚網站或類似內容),建議同時聯絡網站代管服務商和註冊商。如果網站代管服務商的反應速度更快就可以先移除欺詐性內容。有些網路代管服務商會說只有客戶可以修改內容,特別是當網站是遭受入侵的狀況。這時請聯絡網站管理員來盡快移除內容。有些註冊商和網站代管服務商有提供防濫用通報網頁/表單,其回應速度可能比電子郵件快。

必要時透過電話聯繫濫用小組並與CSIRT合作

發送電子郵件後再致電濫用小組也是很好的作法,特別是處理緊急事件時。您可能已經收到自動回覆的案件號碼,利用電話聯絡他們可以進行更積極的行動。有些團隊可能會根據案件號碼處理事件,而有些如果收到詐騙攻擊的充分資訊就可能會考慮立即採取行動。如果是網站遭受入侵,請試著用電話聯絡網站所有者。如果前兩個步驟沒有立即得到結果,請嘗試搜尋其他可協助的人。如果需要的話詢問自己的聯絡人。也可以跟CSIRT團隊或相關的公開或私人單位合作。

通報時提供詳細資訊

通報時盡可能提供詳細資訊。你是資安專家或系統管理員,網路犯罪活動是否出現在你公司的網路基礎設施內?你是否突然發現惡意軟體出現在你的網站上?這起通報事件對你或你的組織有何影響?你如何發現詐騙行為 – 你是否有證據可以證明?是否需要緊急回應和行動?

如果及時進行,監控、偵測和移除欺詐性網域有助於阻止詐騙攻擊。這通常要靠不同團隊間的合作 – 從搜集必要證據到與適當人員聯繫和合作來進行通報。這通常也能達成威懾的效果:一旦網路犯罪分子意識到你正在對抗他的行動,他會叫停再去找尋其他目標。

除了用主動式(最好是自動化)網域監控來作為企業資訊安全和風險管理策略的一環外,網路基礎設施內具備網頁信譽評比安全機制也會有所幫助。能夠加上另一層的安全防護來封鎖惡意或詐騙網域/網站。

 

@原文出處:InfoSec Guide: Taking Down Fraudulent Domains (Part 2) 作者:Cedric Pernet(資深威脅研究員,趨勢科技網路安全解決方案團隊)