什麼是網域劫持?

在攻擊者劫持網域後,擁有者無法再控制網站內容、電子郵件或依賴於網域名稱的任何其他應用程式服務。

學習目標

閱讀本文後,您將能夠:

  • 定義網域劫持
  • 說明網域劫持是如何發生的
  • 區分網域劫持、DNS 劫持和網域詐騙
  • 瞭解防止網域名稱劫持的方法

複製文章連結

什麼是網域劫持?

網域劫持是指攻擊者控制網域名稱(通常透過社交工程進行)。網域名稱是用於將使用者連接到網站的易於記憶的唯一地址,也是構建組織面向公眾的網際網路身分的基礎。

當攻擊者成功劫持網域時,合法所有者將失去對所有網域相關服務的控制權。這包括網站內容、公司電子郵件、VoIP 呼叫中心、雲端儲存服務以及與該網域相關聯的其他應用程式。這使得網域名稱劫持成為對品牌、收入和聲譽的最大線上威脅之一。

網域如何運作?

網域名稱可讓您更輕鬆地存取網站,而您無需記住英數字元 IP 位址。得益於網域名稱系統 (DNS)(該系統充當網際網路的電話簿),網域名稱能夠與 IP 位址相匹配。

網域是透過網域名稱註冊商建立的。要獲取網域,涉及兩個關鍵參與者:網域名稱註冊商和註冊機構。可以將註冊機構(例如 VeriSign)視為批發商,將網域名稱註冊商視為零售商。註冊機構擁有一個 TLD 內所有註冊網域的資料庫。他們將可用網域名稱的保留委派給註冊商。而註冊商(有數千個)向終端使用者「出售」(或更確切地說租賃)網域,供其在一定時間範圍內使用。

網域名稱包含兩個或三個部分,每個部分以點分隔。從右到左閱讀時,網域名稱中的標識符從最廣泛到最具體:

  • 網域名稱中最後一個點右邊的部分是頂層網域 (TLD)。TLD 的範例包括「.com」、「.net」、「.co」、「.uk」和「.in」。
  • TLD 的左邊是次層網域 (2LD),如果 2LD 的左邊有任何內容,則稱為第三層網域 (3LD)。
網域名稱中 TLD、2LD 和 3LD 的範例

為了幫助防止未經授權的網域名稱修改,網域擁有者可以透過其網域名稱註冊商來套用「用戶端」鎖定(註冊商鎖定)。註冊機構會套用「伺服器」鎖定,也稱為註冊機構鎖定。但是,如果攻擊者獲得了適當的帳戶存取權限,他們就可以移除網域鎖定並進行未經授權的註冊商變更。

網域劫持是如何發生的?

劫持網域的方式有很多。例如:

  • 社交工程和網路釣魚騙局:從廣義上講,社交工程是操縱人們交出敏感性資訊的任何攻擊。例如,攻擊者向目標受害者傳送一封看似合法的網路釣魚電子郵件,看上去來自註冊商。收件者點擊了電子郵件中的一個連結,以為這會將其帶到註冊商的網站,但實際上這會將其指向一個旨在竊取其註冊商登入認證的詐騙網域
  • 利用休眠或過期網域:大多數網域名稱一次最多只能註冊 10 年。網域名稱註冊商有責任在客戶網域即將到期時提醒客戶。但是,如果終端使用者未能正確續訂其網域(或未能正確停用網域),則攻擊者可以購買並利用該網域。
  • 網域名稱註冊商漏洞:攻擊者也可能利用網域名稱註冊商漏洞。例如,當 Squarespace 從 Google Domains 遷移大約一千萬個網域名稱時,攻擊者利用了一個漏洞,讓他們能夠接管帳戶並修改 DNS 記錄(特別是某些加密和區塊鏈公司的記錄)。然後,攻擊者將訪客重新導向至試圖竊取權杖和其他數位貨幣的網路釣魚網站。
  • 洩露的 API 金鑰:API 金鑰和其他驗證權杖旨在允許應用程式透過 API 存取線上帳戶(如某些網域服務)。如果這些金鑰暴露或意外洩露,它們可以提供對組織的註冊商帳戶的存取權限。

網域劫持有什麼影響?

成功入侵網域後,攻擊者可以破壞大量 Web 操作。例如,他們可以:

  • 變更原始網站的內容
  • 將訪客重新導向至其他惡意網站
  • 將線上支付轉移到攻擊者控制的帳戶
  • 從網域的郵件伺服器傳送垃圾郵件和網路釣魚電子郵件
  • 閱讀傳送至公司收件匣的敏感性電子郵件
  • 變更 API 呼叫以中斷組織的行動應用程式和其他數位服務

在網域名稱註冊商之間轉移網域非常簡單,但要恢復被盜網域則非常困難。這可能需要數週甚至數月的時間。甚至可能需要採取法律行動。造成困難的部分原因是,正確的文件可能存在於原始網域擁有者無法再存取的系統(例如公司電子郵件)中。網域有可能會在幾天內恢復,也有可能原始(合法)擁有者永遠無法取回被盜的網域。

無論結果如何,被劫持的網域最終都會導致嚴重的財務、聲譽甚至監管後果。

網域劫持與網域詐騙

在網域劫持中,攻擊者會竊取合法註冊的網域名稱。網域詐騙是指網路罪犯建立虛假網站或電子郵件網域來試圖欺騙使用者,就像騙子向某人展示虛假憑證以獲取信任一樣。攻擊者無需盜用網域名稱註冊商帳戶即可偽造網域。

網域劫持與 DNS 劫持

網域劫持(入侵網域本身)與 DNS 劫持(也稱為 DNS 中毒)不同。在 DNS 劫持中,攻擊者以名稱伺服器 (NS) 上網站的 DNS 記錄為目標。

本質上,名稱伺服器記錄告訴網際網路可從哪裡找到網域的 IP 位址。如果名稱伺服器記錄設定不當(即「中毒」),攻擊者可以將查詢轉移到不同的網域名稱伺服器。例如,使用者流量可能會被轉移到散佈惡意程式碼的原始網站復本,而不是載入正確的網站或應用程式。

如何防止網域劫持

組織保護自己免遭網域劫持的最簡單方法是選擇聲譽良好且提供強大安全措施的網域名稱註冊商。尋找以下功能:

  • 雙重驗證 (2FA):使用 2FA,所有註冊者帳戶持有人必須先透過兩種不同的方式證明其身分,然後才會被授予存取權限。
  • 網域註冊的隱私權:網域隱私服務可以編輯公共記錄中的網域註冊者聯絡資訊。
  • 註冊商鎖定:許多大型市場的註冊商支援註冊商鎖定,除非註冊者明確解除鎖定,否則註冊機構無法更改資訊。
  • 註冊機構鎖定:註冊機構鎖定是更高層級的安全性,要求多個獨立的離線驗證來源和步驟。
  • 續訂寬限期:到期後的寬限期可協助錯過到期期限的客戶。如果客戶登記的信用卡過期,這甚至可能影響到自動續訂的使用者。選擇提供寬限期的網域名稱註冊商,對於遏止想要利用過期網域的攻擊者至關重要。

Cloudflare 如何協助防止網域劫持

Cloudflare 的網域名稱註冊商服務 Cloudflare Registrar 為 Enterprise 方案客戶提供自訂網域保護,以防止網域劫持。透過自訂網域保護,對網域擁有權或名稱伺服器的任何變更都需要手動驗證和執行。嚴格的變更通訊協定有助於確保任何變更都得到組織的直接核准。

Cloudflare Registrar 還包括適用於所有網域的內建通用 DNSSEC,以保護網域免受各種基於 DNS 的攻擊。