全新的DNS注册是一种检测钓鱼的简单方法吗?
今天我收到一条短信
AusPost:您的包裹地址不正确,发送失败,请通过链接更新地址信息。
https://auspost.requestupdate.com
如果我用whois auspost.requestupdate.com做https://www.whois.com/whois/auspost.requestupdate.com,我什么也得不到。它要么给我auspost.com,要么给我requestupdate.com。这似乎因历史而异。
然而,whois requestupdate.com给出
Registered On: 2022-08-17
Expires On: 2023-08-17
Updated On: 2022-08-17所以我在想,这是一个相当明显的钓鱼尝试--这是正确的吗,还是我遗漏了什么?
我还得到了以下信息
Name Servers: ns1.nnaab.co, ns2.nnaab.connaab.co给出
Registrar: NameSilo, LLC
Registered On: 2022-07-06
Expires On: 2023-07-06
Updated On: 2022-08-05这一切似乎太容易看出这是多么可疑,这是由于DNS时代相关的TELSTRA -这是正确的,还是我遗漏了什么?
有什么是自动的,可以检测到这个老类型的签名并采取行动,例如告诉防火墙/IPS,这个DNS查询,以及由此产生的IP地址,是指向一个已知的坏地址吗?
回答 2
Security用户
发布于 2022-08-22 06:37:27
如果我做了auspost.requestupdate.com ..。我什么也得不到
因为这是子域。这些都不包括在whois中。只有主域(即requestupdate.com)是。
不管requestupdate.com给..。注册地址: 2022-08-17 .所以我想这是一个很明显的钓鱼企图..。
域名注册的历史是一种特征,通常与其他特征一起用于计算一个域名的信誉,但它本身并不是一个可靠的指标。
例如,在设置和维护域时出现的问题可能允许攻击者滥用或创建具有很高声誉的已建立域的子域-请参阅子域接管。此外,攻击者经常破坏现有主机,并将其用于网络钓鱼--通常保持站点完整,但控制特定的URL路径或子域。
有些公司喜欢为竞选活动创建新的域名,因此将任何新域名视为恶意域名也是不正确的。但在这种情况下,持怀疑态度是件好事。
Security用户
发布于 2022-08-23 08:39:02
有许多防火墙和URL过滤解决方案,这些解决方案将考虑域的年龄,或者阻止请求,或者在传递请求之前显示警告。我所见过的域名被视为一个红旗,因为恶意域往往在创建后不久就会做不好的事情,到那时,域获得的声誉分数可以更可靠地使用,而不仅仅是年龄。
但即便是对老牌公司来说,域名年龄也不是一个完整的怀疑图景。一些公司为新的服务、新的广告活动建立了新的领域,你不能仅仅根据年龄来进行明确的分析。年龄是考虑到的一个因素。
- 年龄
- 随机字符串作为域名。
- SPF/DKIM/DMARC记录
- IP地理定位
- 托管地点
一个全新的域,即一个随机字符串,在EC2上没有其他DNS记录,是相当可疑的。
一个全新的域名,它有真正的品牌词,有完整的SPF/DKIM/DMARC记录,一个公开的用户,并且被托管在一个属于非托管公司IP块的IP范围内,这并不是那么可疑。
网络安全中没有任何东西是二进制的。一切都是猜疑和安全的因素。没有银弹。
https://security.stackexchange.com/questions/264255
复制相似问题
腾讯云开发者
