Domain name frauds are a threat for companies.

對企業日益增加的威脅:域名詐騙

10.15.2020  - 作者  在 Corporate

域名相關的詐騙事件已成為企業中越來越常見的威脅。域名註冊的便捷性、可取得的價格、缺乏對 B2B 參與者的市場知識,以及其它原因使得域名看起來像是企業的數位致命弱點。而這個月剛好為 “網路安全意識月”,此一主題將再次受到大家的關注。

域名是如何變成網路犯罪者的下手目標呢?

域名為一間企業的珍貴的智慧財產權。根據定義, 有價值的東西必須是難以取得的東西。域名的問題基於這樣一個事實:對網路犯罪者而言,從技術和財務層面上來看,域名的取得都是相當容易的。

從財務面來講,儘管一個主要品牌的域名價值可以隨著時間的推移而增加,其域名的註冊價格仍將保持固定並且易於取得 (每個含附加服務的域名平均每年的費用為 15 歐元到 100 歐元之間)。因此,與惡意的詐欺活動所帶來的收入相比,註冊假域名的費用可說是滄海一粟。

而從技術面來講,在忘記續約重要的域名時,“先到先得” 的域名獲取規則就會使該域名成為容易下手的目標。

與域名相關的詐騙事件形式新穎多變,威脅日益攀升

在過去十年裡,與域名相關的詐騙事件已成為許多企業實際面對的問題。根據世界智慧財產權組織(WIPO)進行的一項研究顯示,2018 年域名的爭議數量上升了 12%

此令人擔憂的增長現象可以透過近期實施的三項措施來解釋:

  • 2013 年以來推出許多新的頂級域名,這些都是侵佔第三方品牌的機會;
  • 部份頂級域名的促銷活動比以往更加頻繁,使得網路犯罪者更容易取得域名;
  • 自 2018 年 GDPR 政策實施以來,其主要目的為保護個人數據,但是其也間接地保護了網路犯罪者。

面對這些新的機會,詐欺者表現出創造性,以利用品牌的知名度賺取利益。域名侵佔最常見的形式如下:

  • 收購品牌未續約之域名以利用該其知名度

對網路犯罪者來說,最簡單的方法就是使用域名所有者缺乏警覺性。忘記續約域名而導致該域名釋出供其它使用者註冊。部份公司甚至專門收購那些讓人夢寐以求的域名。然而,只要簡單地選擇域名自動續約功能就能保護自己免受此問題的損害,而此選項正是許多專業的域名註冊商推薦的作法,Gandi 就是其中一個。

  • 使用品牌名稱購買另一個頂級域名以破壞其聲譽

在市面上有 1500 多種頂級域名的情形下,一間公司很難去保護它的品牌和其域名的變體,這也因此成為一安全漏洞。任何人都可以使用某個品牌的名稱去註冊一個頂級域名,並從該品牌的知名度中獲益。此種作法在某些情況下被比喻為寄生蟲,因為其簡便性而使其廣受歡迎。

  • 註冊相近字型的域名

為了引起混亂,即使只是更改域名中的一個字符也很有效。例如,將 “example.com” 改為 “exarnple.com”,又或是 “exampIe.com”。這種策略作法被稱為 “誤植域名”,在沒有專業域名保護人員的專業知識協助下就很難分辨其真偽。

  • 以 IDN 國際化域名進行攻擊

在最一開始的時候,只接受拉丁字符構成並註冊域名。但自 2010 年以來,非拉丁字符的引入已逐漸完成,如今其已被大多數的註冊機構接受。我們將 IDN 域名稱為 “國際化域名”。
與誤植域名相似,IDN 國際化域名的攻擊是利用非拉丁字母 (例如西里爾字母) 中的相似字母,去註冊與目標公司非常相似且明顯相同的域名以從中獲益。以我們前面所提到的例子來看,”example.com” 就可能被改成 “exɑmple.com”。這種攻擊的新穎性和非常規性使其成為從知名品牌中受益的強大技術。

  • 在域名中添加單詞

為了說服網路用戶該域名在使用上的合法性,網路犯罪者也嘗試在註冊一些域名時加入一個單字,從而使其看起來值得信賴。”example.com” 可以變成 “example-groupe.fr” 或是 “example-france.com”。這些變化有許多不同的形式,也因此,對一些品牌來說是不易掌控的。

無論這些域名侵佔採取的是網路釣魚、贗品販售,或是總統詐騙的形式,其對公司的影響必然是負面的:

  • 線上服務中斷而導致收入損失
  • 數據失竊,尤其是客戶的課人數據
  • 公司品牌形象受損
  • 網路用戶對公司失去信心

這也是為什麼每個企業都必須使用專門的保護服務來偵測這類型的惡意軟體。

使用保護服務以防止域名詐騙事件

正如公司選擇為其電信服務選擇專業報價一樣,域名也必須受益於相同級別的服務。近年來,保護解決方案也變得更加多樣化,以提供有效的防禦措施來防止域名侵佔問題。

為了可以更進一步發展,企業可以轉向由不同域名註冊局提供的防止域名搶註服務。像是 Donuts 註冊局提供的 DPML 服務、Uniregistry 註冊局提供的 Uni EPS 服務、商標註冊交易所提供的 TRex 服務,以及 MMX / ICM註冊局所提供的 AdultBlock 服務,這些服務可以阻止不讓品牌在大範圍的頂級域名清單中進行註冊,並保持對其數位身份的控管。

最後,信任專家為您提供的線上品牌保護的全球策略,其能確保您數位身份的安全。帳戶經理人會為您提供最相關的域名組合建議,並每日定期管理以確保其持續性。

欲了解更多域名詐騙的訊息及相關解決方案,請直接與 Gandi 的企業客服聯繫:corporatecontact@gandi.net。