搜索引擎优化(seo)是一种利用搜索引擎的搜索规则来提高目前网站在搜索引擎内自然排名的方法,为网站提供生态式的自我营销解决方案,让网站在行业内排名占据优势,从而获得品牌收益。但如此一项正常的商业竞争技术,却时常被黑灰产利用,采取仿冒、“擦边球”的方式,通过仿冒域名、仿冒网站标题的方式将大量流量引入非法网站,从中获取不法收益,使人民群众、企事业单位的数据、财产安全等方面受到威胁。

黑灰产组织如何开展“流量钓鱼”的呢?首先黑灰产注册大量的域名,此类域名、子域名中包含知名度较高的正规域名特征(如www-正规域名-com.xxx.cn),或在网页标题中包含正规网站名称,批量投放网站后等待搜索引擎爬虫抓取,以增加关键字命中率,提升网站搜索排名。一段时间后,再将域名解析到博彩、诈骗网站,从而实现对流量的钓鱼引流。在日常仿冒网站监控中,时常会发现一些页面制作粗糙或只仿冒的网站标题的网站,在业务上造成的危害有限,这类仿冒网站的目的十有八九是采用流量钓鱼的方式进行违法营销。以下通过两起流量钓鱼案例,对攻击手法、溯源过程进行分析。

“李鬼”域名引流赌博网站

近日,互联网上出现大量形如www-单位域名-com.xxxxx.cn的仿冒域名,通过对仿冒域名的溯源分析,发现该案例为通过注册仿冒域名为非法博彩APP做搜索引擎优化。

0x01域名解析IP分析

对域名解析的IP进行分析,发现8个IP均位于香港,开放了80端口。使用PC浏览器通过域名对应IP访问发现会自动跳转到百度,通过拦截请求包发现,响应包内存在大量博彩信息,应为安卓时时彩预测软件的链接地址。

将浏览器User-Agent设为安卓手机,则访问该IP可直接跳转到赌博网站,设为IOS设备则无法跳转,与前文中“安卓时时彩预测软件”吻合。

0x02仿冒意图分析

对域名解析记录进行分析,发现部分IP在近日曾解析过多个行业的仿冒域名(威胁平台最多显示100条,判断数量较大),涉及国家部委、商业银行、互联网公司等,判断意图为使用大量的仿冒域名吸引搜索引擎爬虫访问,进而通过跳转url将流量引至博彩网站。

0x03域名注册人身份分析

对域名注册信息进行查询,通过查询域名注册信息,发现仿冒域名注册人大多为同一注册人——杜某,同时发现其注册邮箱。

随后通过搜索引擎搜索其邮箱名等信息,在某网站历史注册记录中发现以qq邮箱注册的域名。

对该qq账号进行进一步查询,尝试用qq号搜索微信,得到注册人微信,从微信名判断为注册者本人。最后经进一步溯源分析,注册人为某网络科技有限公司法人,该公司对外提供创意创新、技术研发、内容制造、营销推广等服务。

总结此次流量钓鱼可以发现该案例为通过注册仿冒域名为非法博彩APP做搜索引擎优化。

“碰瓷”标题引流赌博网站

无独有偶,近日发现了另一仿冒网站,其网站标题为“某单位论坛网”,通过该域名可直接跳转到题为**彩票的赌博平台(国家现行法律法规禁止售卖互联网彩票),判断同样为使用仿冒网站标题进行搜索引擎优化。

在溯源分析工作中,通过域名注册人身份分析发现其注册了多个导航网址、登录网址、下载网址以及开奖网址。通过在线情报社区查询这些域名注册信息,发现其中导航网址域名注册人为陈某某,并通过其邮箱和手机号查找到其QQ、微信,经判断其为本人注册账号。最后经进一步溯源分析,陈某为某网络有限公司法人,该公司对外提供数字域名出售、双拼域名交易、营销推广等服务。判断意图同样为使用仿冒网站标题吸引搜索引擎爬虫访问,进而通过跳转url将流量引至博彩网站。

除以上两起案例之外,通过“擦边球”的方式“碰瓷”正规网站,从而达到为非法网站引流目的的现象大量存在。一些公司同样的披着“搜索引擎优化服务”的外衣暗地里从事着灰色地带的不法勾当。域名被仿冒不仅损害了消费者的利益,更严重损害了网站的良好形象和声誉,侵犯了网站的合法权益。据业内权威报告显示,我国每年钓鱼网站或诈骗网站给网民造成的损失高达上百亿元,影响了健康有序的互联网环境。中国反钓鱼联盟的钓鱼数据显示,超过8%的钓鱼网站有明显的域名仿冒行为,所以,我们无论在工作中还是生活中都需要对仿冒网站引起重视,学会辨别,不给不法分子可乘之机。

作者 | 王丰李烨琦

视觉 | 王朋玉

统筹 | 郑洁

声明:本文来自中国光大银行科技创新实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。