文/李一南 向勇

域名中的玄機(jī)

文/李一南 向勇

《水滸》中有個(gè)“圣手書(shū)生”蕭讓?zhuān)茖?xiě)當(dāng)時(shí)四種字體，曾依計(jì)偽造宰相蔡京的手書(shū)以救宋江。英國(guó)的這位則似乎技高一籌，以一人之力就把自己給釋放了！2014年3月，時(shí)年28歲、來(lái)自埃塞克斯郡伊爾福德的內(nèi)爾 ·摩爾因犯五項(xiàng)欺詐罪被羈押在旺茲沃斯監(jiān)獄——這里先后關(guān)押過(guò)上世紀(jì)“票車(chē)大劫案”團(tuán)伙多名成員以及“維基解密”創(chuàng)始人朱利安 ·阿桑奇等重犯要犯。不過(guò)幾天之后，3月10日，他被通知高等法院和刑事法院已同意保釋?zhuān)S后大搖大擺地出獄了。而摩爾正是用了高仿域名才輕松將自己釋放的。

域名（Domain Name）是互聯(lián)網(wǎng)平臺(tái)上由一串用點(diǎn)分隔、由名字組成的某一臺(tái)計(jì)算機(jī)或計(jì)算機(jī)組的名稱(chēng)。域名由兩個(gè)或兩個(gè)以上的詞構(gòu)成，中間由點(diǎn)號(hào)分隔，可以由各國(guó)文字的特定字符集、英文字母、數(shù)字及連字符任意組合，但開(kāi)頭和結(jié)尾均不能含有連字符。域名中字母不分大小寫(xiě)，最長(zhǎng)可達(dá)67個(gè)字節(jié)。

設(shè)想一下，高墻內(nèi)的你正在反思自己的罪行，但是你注意到，監(jiān)獄發(fā)給你的通知上有郵件地址，為prison. state.gov（州立監(jiān)獄，政府機(jī)構(gòu)頂級(jí)域名），看起來(lái)可以篡改。然后你花了點(diǎn)錢(qián)，讓某人偷偷地瞞過(guò)監(jiān)獄監(jiān)管給你送來(lái)一部手機(jī)，你接著用手機(jī)上網(wǎng)，注冊(cè)一個(gè)看起來(lái)很相似的網(wǎng)址，地址名為prison.state.org（州立監(jiān)獄，社會(huì)組織頂級(jí)域名）。兩個(gè)域名只有最后的頂級(jí)域名不同。然后，你用注冊(cè)的域名郵箱給監(jiān)獄管理方去了一封郵件，告訴他們，“囚犯某某（你的名字）明天釋放”，再使用一個(gè)新的法庭名字，寫(xiě)上現(xiàn)在的日期。如果監(jiān)獄管理方?jīng)]有非常留意來(lái)信地址的話，很自然，你會(huì)被釋放。

摩爾之所以能蒙混過(guò)關(guān)，應(yīng)該有至少在四個(gè)關(guān)鍵點(diǎn)上成功地做到一一印證，高仿域名的注冊(cè)無(wú)疑起到了關(guān)鍵作用，保證了該策劃做到“天衣無(wú)縫”。

一是地址高仿，用主辦探員作為“擋箭牌”來(lái)申請(qǐng)高仿網(wǎng)站地址，這如同給機(jī)要郵件換了一個(gè)高仿的信封，收件人不加細(xì)致的辨識(shí)很容易上當(dāng)。

二是單位高仿，署名為“南沃克刑事法院”的高仿信件與真實(shí)單位的名稱(chēng)差異極小，摩爾把“Southwark”寫(xiě)成了“Southwalk”，九個(gè)字母組成的單詞里只有一個(gè)字母的差異，這如同中國(guó)的“已”與“己”的差別一樣不容易辨識(shí)，事后證明，這是最易辨識(shí)的差異，而監(jiān)獄方面未加細(xì)究。

三是作者高仿，掌握并模仿了刑事法院的文書(shū)格式與口氣，以刑事法庭職員的名義撰寫(xiě)，一看就知道是“內(nèi)部人”寫(xiě)的，閱件人沒(méi)有生疑。

知名公司網(wǎng)站備受高仿域名青睞

明碼標(biāo)價(jià)的高仿域名

記者獲得的域名注冊(cè)信息

四是引用真實(shí)，其在信件內(nèi)容中援引了皇家高等法院的“保釋確認(rèn)”，附上了位于倫敦市中心的皇家高等法院的地址和電話，讓收件方順理成章地相信了其編造的謊言。

其中除了公文習(xí)慣之外，其余三條都在域名、法院名稱(chēng)上動(dòng)了腦筋。

“注冊(cè)近似域名”，也稱(chēng)網(wǎng)址劫持、網(wǎng)站圈套、冒牌網(wǎng)址，是網(wǎng)絡(luò)侵占的一種。維基百科不認(rèn)為這是犯罪，只是“輸入網(wǎng)址發(fā)生錯(cuò)誤，導(dǎo)致網(wǎng)頁(yè)鏈接到了網(wǎng)絡(luò)搶占者注冊(cè)的地址”。從typosquatting的字面理解，是有人提前注冊(cè)了高度類(lèi)似知名公司、公共機(jī)構(gòu)的域名，專(zhuān)等網(wǎng)絡(luò)使用者在瀏覽器地址欄發(fā)生錯(cuò)誤的輸入，以便轉(zhuǎn)到自己注冊(cè)的網(wǎng)頁(yè)中，達(dá)到不可告人的目的。以example.com為例，其表現(xiàn)形式與特點(diǎn)有：

· 普遍發(fā)生的拼寫(xiě)錯(cuò)誤或者外文拼寫(xiě)不過(guò)關(guān)，導(dǎo)致出現(xiàn)錯(cuò)誤網(wǎng)址，如exemple.com（本該是a拼錯(cuò)為e）。

· 基于打字、打印時(shí)導(dǎo)致的錯(cuò)誤：如examlpe.com（p與l在鍵盤(pán)上位置接近，有可能打字出現(xiàn)錯(cuò)誤導(dǎo)致單詞中字母位置顛倒）。

· 不同形式的域名：如examples.com（混淆單復(fù)數(shù)的使用）。

· 不同的頂級(jí)域名：如example. org（.com和.org都是一級(jí)域名，還有政府機(jī)構(gòu)的.gov，教育機(jī)構(gòu)的.edu，網(wǎng)絡(luò)服務(wù)機(jī)構(gòu)的.net等）。

· 濫用國(guó)家頂級(jí)域名（ccTLD，如中國(guó)的國(guó)家級(jí)域名為cn）：如使用.cm注冊(cè)example.cm；或用.co注冊(cè)exaple.co。一個(gè)人在輸入網(wǎng)址時(shí)漏掉一個(gè)o或者一個(gè)m都可能鏈接到欺詐網(wǎng)站的地址上。

一旦無(wú)心進(jìn)入了冒牌網(wǎng)址，使用者會(huì)看到已復(fù)制的網(wǎng)站標(biāo)識(shí)、網(wǎng)頁(yè)、鏈接等，會(huì)在渾然不覺(jué)的狀態(tài)下認(rèn)為自己進(jìn)入的就是真實(shí)的網(wǎng)站，其實(shí)很可能落入早已設(shè)置的圈套。

網(wǎng)絡(luò)域名搶注和絕大多數(shù)接觸性詐騙與網(wǎng)絡(luò)欺詐一樣，其得逞依賴(lài)的是世界上最原始、最基本的設(shè)備——人腦——的錯(cuò)誤，而因其成功率很高，已經(jīng)引起很多公共安全網(wǎng)站的留意。例如，每個(gè)地方的治安機(jī)構(gòu)往往會(huì)在每臺(tái)巡邏車(chē)的車(chē)尾噴上自己網(wǎng)站的地址，“countysheriff.org（縣治安官，機(jī)構(gòu)網(wǎng)址）”，于是就有一波高仿網(wǎng)址出現(xiàn)了，只是在“sheriff（治安官）”的拼寫(xiě)上動(dòng)了點(diǎn)手腳，如少掉一個(gè)f的“sherif”，多一個(gè)r的“sherriff”，而這些網(wǎng)址都是越南胡志明市的一個(gè)人注冊(cè)的。

問(wèn)題來(lái)了：為什么胡志明市的越南人要注冊(cè)這樣的網(wǎng)址呢？

原因太多了。搶注域名和網(wǎng)絡(luò)欺詐是一種共生關(guān)系。被騙案件的增多，隨之也提升了公眾對(duì)網(wǎng)絡(luò)安全和公共安全的嚴(yán)重關(guān)切。例如在上述仿冒治安官的網(wǎng)站上，你本是想通過(guò)正規(guī)網(wǎng)站報(bào)告犯罪，卻偶然因?yàn)槠磳?xiě)錯(cuò)誤鏈接到了高仿欺詐網(wǎng)站上，因?yàn)檎?guī)網(wǎng)站上面的若干表格被“克隆”到了欺詐網(wǎng)站上，所以上傳的數(shù)據(jù)、偵查對(duì)象甚至探員的信息都會(huì)被欺詐網(wǎng)站輕松獲得。

這還沒(méi)完。針對(duì)目標(biāo)郵件的定點(diǎn)網(wǎng)絡(luò)攻擊（即“魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)”）也普遍使用這一伎倆。2015年7月，美國(guó)亞利桑那州的一個(gè)小鎮(zhèn)就遇到這種事，小鎮(zhèn)官方網(wǎng)站地址為smalltownaz.gov（小鎮(zhèn)+州簡(jiǎn)稱(chēng)+政府機(jī)構(gòu)域名），有人就冒用鎮(zhèn)長(zhǎng)的名義給小鎮(zhèn)的財(cái)務(wù)總監(jiān)發(fā)送了若干封郵件，有的郵件包含了附件，在其中一個(gè)附件中，“鎮(zhèn)長(zhǎng)”要求財(cái)物總監(jiān)給另一個(gè)州的某人匯去5.3萬(wàn)美元。假冒鎮(zhèn)長(zhǎng)的郵件地址與鎮(zhèn)長(zhǎng)官方郵件地址非常相似，只是最后的域名不同，是smalltownaz.co（小鎮(zhèn)+州簡(jiǎn)稱(chēng)+哥倫比亞國(guó)家域名）。幸運(yùn)的是，細(xì)心的總監(jiān)洞悉了這一點(diǎn)小小的不同，沒(méi)有上當(dāng)。

警方介入后發(fā)現(xiàn)，這個(gè).co的網(wǎng)頁(yè)是郵件發(fā)出的當(dāng)天下午1點(diǎn)29分注冊(cè)的，注冊(cè)之后接著就發(fā)出了釣魚(yú)郵件。財(cái)務(wù)總監(jiān)收到該地址發(fā)出的第一封電郵是在下午2點(diǎn)08分，也就是說(shuō)，欺詐網(wǎng)站在注冊(cè)成功半小時(shí)后就開(kāi)始作案了，目標(biāo)明確，準(zhǔn)備充分！繼續(xù)追查該電子郵件的記錄，發(fā)現(xiàn)該郵件服務(wù)器來(lái)自于地球背后的另一個(gè)大陸。

現(xiàn)在，摩爾曾經(jīng)注冊(cè)（有效期一年）的高仿英國(guó)皇家高等法院域名又放出來(lái)了，目前在網(wǎng)上售價(jià)僅為7.58美元/年！

這里還有一些其他的域名你可能似曾相識(shí)，明碼標(biāo)價(jià)！

雖然這稱(chēng)得上是某種“創(chuàng)造性”，但是對(duì)詐騙犯罪嫌疑人、垃圾郵件發(fā)送者來(lái)說(shuō)這真的算不上是“罕見(jiàn)”，他們經(jīng)常使用高仿正規(guī)公司/機(jī)構(gòu)的郵件或網(wǎng)址來(lái)給人們下套。形形色色的網(wǎng)上陷阱如下。

1.垃圾郵件發(fā)送者：假裝自己是“臉書(shū)”公司的，告訴收件人“你有了新簡(jiǎn)介”，點(diǎn)擊就中招。

2.網(wǎng)絡(luò)釣魚(yú)的：發(fā)送一封看起來(lái)像是“貝寶”（在線支付服務(wù)公司）的電子郵件，其間鏈接一個(gè)“邀請(qǐng)”，附一個(gè)假的“點(diǎn)擊取消”鏈接，誘使閱讀者去點(diǎn)擊。

3.惡意注冊(cè)域名的：如高仿維基解密網(wǎng)的“Wikapedia.com” 和高仿推特網(wǎng)的“Twtter.com”，在高仿網(wǎng)頁(yè)上遍布誘餌和跳轉(zhuǎn)鏈接，如廣告——所謂“提供與蘋(píng)果平板、電腦競(jìng)爭(zhēng)廣告”的飄窗，誘使你去點(diǎn)擊。

經(jīng)過(guò)科學(xué)家調(diào)查，我們的大腦已經(jīng)有了警惕性，在想要搞明白收件箱中郵件的真?zhèn)螘r(shí)，大腦會(huì)加速開(kāi)動(dòng)進(jìn)行分析，但不幸的是，我們?nèi)匀粫?huì)被假網(wǎng)站所迷惑，據(jù)統(tǒng)計(jì)，對(duì)假冒網(wǎng)站的平均識(shí)別正確率僅有60%。因此，摩爾瞞天過(guò)海輕松得逞就比較容易理解了。

網(wǎng)絡(luò)安全專(zhuān)家鮑爾 ·達(dá)克林搜集了高仿臉書(shū)、谷歌、推特、微軟、蘋(píng)果、守護(hù)士（網(wǎng)絡(luò)安全）等幾家公司有關(guān)的1502個(gè)網(wǎng)址及14495個(gè)鏈接，對(duì)互聯(lián)網(wǎng)數(shù)據(jù)以及網(wǎng)頁(yè)截屏進(jìn)行研究，事后的調(diào)查報(bào)告指出：“公司越出名，域名被惡意高仿的機(jī)會(huì)就越大”。

如何保護(hù)自己和公共領(lǐng)域的網(wǎng)絡(luò)安全呢？

· 注意細(xì)節(jié)！最細(xì)小的東西也能導(dǎo)致“面目全非”的結(jié)果，所以要非常仔細(xì)地注意來(lái)源郵件的地址，尤其是那些覺(jué)得“不是很妥”的郵件。

· 政府機(jī)構(gòu)要注冊(cè).gov頂級(jí)域名！詐騙分子可以獲得.org（組織機(jī)構(gòu)）域名，也有多如牛毛的政府機(jī)構(gòu)注冊(cè)的是.org的域名。要停！這一混亂的態(tài)勢(shì)給壞蛋們提供了太多的機(jī)會(huì)。建議趕緊去dotgov.gov這個(gè)網(wǎng)址去申請(qǐng)一個(gè)你的機(jī)構(gòu)域名。

· 注冊(cè)類(lèi)似的網(wǎng)址！美國(guó)亞利桑那州的公共安全部對(duì)此已經(jīng)做了大量工作。例如，該機(jī)構(gòu)的域名是AZDPS. gov，但是他們也擁有AZDPS.com、 AZDPS.org這樣的地址。如果你訪問(wèn)了后面兩個(gè)地址，都會(huì)鏈接跳轉(zhuǎn)到第一個(gè).gov的地址。這也是要注冊(cè).gov域名的另一個(gè)原因！

因此，奉勸大家花點(diǎn)時(shí)間找一下，花點(diǎn)小錢(qián)去做前面建議的措施。真的不會(huì)花多少錢(qián)，尤其是不用策劃什么就能預(yù)防發(fā)生未來(lái)讓你頭痛的事件。這是今天，我們所處的這個(gè)年代里最基本的、應(yīng)予重視的事情。

很明顯，這些大公司對(duì)此不以為然或者警惕性沒(méi)有提高。這不，就在本文準(zhǔn)備付梓之際，新華社刊發(fā)了一起最新案例，谷歌和臉書(shū)公司都“中了大招”。

2017年3月，美國(guó)司法部公布了一份起訴書(shū)，披露了立陶宛籍男子埃瓦爾達(dá)斯 ·里馬索斯卡斯策劃了一個(gè)虛假商務(wù)電子郵件騙局，他假冒亞洲一家電腦硬件制造商，在2013至2015年間誘騙兩家美國(guó)互聯(lián)網(wǎng)公司向他控制的銀行賬戶匯款共計(jì)一億美元。接著美國(guó)《財(cái)富》雜志網(wǎng)站刊文，受騙的兩家公司就是谷歌和臉書(shū)，它們已承認(rèn)自己就是受害者，并表示在發(fā)現(xiàn)騙局后追回了被騙款項(xiàng)。另外，臺(tái)灣廣達(dá)電腦公司也承認(rèn)它就是被假冒的亞洲電腦硬件制造商。據(jù)起訴書(shū)披露，里馬索斯卡斯在立陶宛注冊(cè)了一家與廣達(dá)電腦公司同名的公司，并以這個(gè)假?gòu)V達(dá)公司的名義在立陶宛和塞浦路斯開(kāi)設(shè)銀行賬戶。由于廣達(dá)是谷歌和臉書(shū)的供應(yīng)商，里馬索斯卡斯就假冒廣達(dá)的名義向這兩家美國(guó)公司的財(cái)務(wù)部門(mén)發(fā)送釣魚(yú)式電子郵件，要求它們把欠廣達(dá)公司的貨款匯入假?gòu)V達(dá)公司的銀行賬戶。這些電子郵件發(fā)自偽造的廣達(dá)公司電子郵箱，看上去像是廣達(dá)公司員工發(fā)送的，因此，成功騙取了谷歌和臉書(shū)員工的信任。

正如美國(guó)聯(lián)邦檢察官所警告的，所有大公司都要對(duì)網(wǎng)絡(luò)欺詐行為引起警惕，即便是最精明的公司也有可能成為網(wǎng)絡(luò)罪犯釣魚(yú)式攻擊的受害者。

網(wǎng)絡(luò)犯罪，防不勝防！