Kimlik avı saldırılarında bilgisayar korsanları tarafından istismar edilen 20 üst düzey alan adı


Kimlik avı saldırganları, yönlendirmeleri gizlemek, kimlik bilgilerini çalmak ve baypas algılamayı gizlemek için .li, .es ve .dev gibi tld’leri kötüye kullanırlar. Bkz. 2025’te Any.Run tarafından işaretlenen üst alanlar.

Bazı kimlik avı sitelerinin süslü hilelere, sadece doğru alan adına ihtiyacı yoktur. Ve çok geç olana kadar her zaman tespit etmeyeceksin.

Bilgisayar korsanları, kimlik avı sayfalarına, sahte giriş portallarına veya kötü amaçlı yazılım yönlendirmelerini barındırmak için .com, .ru veya .dev gibi bazı üst düzey alan adlarını (TLDS) kötüye kullanma konusunda usta oldu. Birçok TLD meşru amaçlar için kullanılırken, diğerleri kullanıcıları hassas bilgileri teslim etmek için kandırmak için tekrar tekrar sömürülür.

Herhangi birden gelen son sanal alan verileri.Run, Kimlik avı kampanyalarında en sık kullanılan 20 TLD Bu alanlar sahte teslimat dolandırıcılığı, kimlik bilgisi hasat sayfaları ve çok aşamalı yönlendirme zincirlerinin merkezinde yer almaktadır.

Saldırganlar tarafından en çok istismar edilen TLD hangisi?

RUN’un 2025 verisine göre, .li Domain, kimlik avı kötüye kullanımında 1. sırada yer alır. Endişe verici % 57 Gözlenen .li alanları kötü niyetli olarak işaretlendi. Ama işte bükülme: birçoğu kimlik avı içeriğini doğrudan barındırmıyor. Bunun yerine, .li yaygın olarak kullanılır Yeniden kurucu; Şüphesiz kullanıcıları sahte giriş sayfaları, kötü amaçlı yazılım indirmeleri veya kimlik bilgisi hasat sitelerine gönderen bir aracılık.

Kimlik avı zincirlerindeki bu dolaylı roller genellikle algılama araçları tarafından fark edilmez ve .li’yi birçok saldırıda sessiz ama tehlikeli bir kolaylaştırır.

Kimlik avı saldırılarında bilgisayar korsanları tarafından istismar edilen 20 üst düzey alan adı
Herhangi bir içinde gözlemlenen en iyi 20 kimlik avı tlds.

Örneğin, bu herhangi bir Analiz Oturumunda, bir .li etki alanını çalışırken görüyoruz. İlk bakışta zararsız görünüyor.

Analiz Oturumunu Görüntüle

Kimlik avı saldırılarında bilgisayar korsanları tarafından istismar edilen 20 üst düzey alan adı
Etkileşimli kum havuzunun içinde gözlemlenen.

Yüklendiğinde, tarayıcı sessizce .li etki alanından aynı adın bir .com sürümüne yönlendirilir ve nihayet bir kripto madenciliği aldatmacasına bağlı bir kimlik avı sayfasına inmeden önce meşruiyet duygusunu korur.

Gösterişli bir kötü amaçlı yazılım veya belirgin bir uyarı işareti yoktur, kullanıcıyı saldırgan kontrollü bir siteye teslim eden hızlı, görünmez bir anahtar yoktur.

Kimlik avı saldırılarında bilgisayar korsanları tarafından istismar edilen 20 üst düzey alan adı
Hiçbiri tarafından tespit edilen kimlik avı sayfası sanal alan

Bu tür bir yönlendirme taktiği .li özellikle kaygan yapar. Ancak analistlerin olabileceği herhangi bir kişinin içinde kolayca tespit edilebilir. Gerçek zamanlı olarak her yeniden yönlendirmeyi izleyingizli kimlik avı yollarını ortaya çıkarın ve kullanıcılar bağlantıyı tıklamadan önce kritik IOC’leri çıkarın. Kötü niyetli içerik genellikle bir hop uzakta yaşadığından, yalnızca etki alanı kara listelerine veya statik taramalara dayanan araçlar bunu sık sık kaçırır.

Tam yeniden yönlendirme yolları, davranış izleri ve gerçek zamanlı analizlerle kimlik avı araştırmaları üzerinde kontrol edin. Herhangi biriyle analiz etmeye başlayın.run.

Kimlik avı kampanyalarında yaygın olarak istismar edilen diğer TLD’ler

.Li listenin oranı üzerine çıkarken, saldırganlar tarafından kötüye kullanılan tek etki alanı bölgesinden çok uzaktır. Birkaç kişi nedeniyle öne çıkıyor Kimlik avı kampanyalarında yüksek frekans ve yinelenen kullanım.

.es: sahte girişler ve teslimat dolandırıcılığı

İspanya’nın ülke kodu TLD’si, kimlik bilgisi avı ve sahte teslimat dolandırıcılığı yapan saldırganlar için popüler bir seçim haline geldi. .Es kullanan kimlik avı sayfaları genellikle Microsoft 365 veya posta kuryeleri gibi tanıdık hizmetleri taklit ederek, kullanıcıları oturum açma kimlik bilgilerini veya ödeme bilgilerini girmeye kandırır. Alan adları yerel ve güvenilir hissediyor, bu da onları İspanyolca konuşan kullanıcılar için özellikle tehlikeli hale getiriyor.

Kimlik avı saldırılarında bilgisayar korsanları tarafından istismar edilen 20 üst düzey alan adı
.Es Domain ile sahte Microsoft saldırısı kullanarak kimlik avı saldırısı

.SBS: Kimlik bilgisi hasat için ucuz alanlar

.SBS etki alanlarının kaydolması inanılmaz ucuz olduğundan, saldırganlar bunları hızlı bir şekilde kimlik avı kampanyaları için kullanırlar. Bu alanlar genellikle sahte izleme sayfalarına, acil ödeme isteklerine veya her biri giriş bilgilerini veya kredi kartı numaralarını çalmak için hazırlanmış kurumsal portalları taklit eder. Girişin düşük engelini, .SBS’yi tek kullanımlık avlama altyapısı için bir go-to yapar.

Kimlik avı saldırılarında bilgisayar korsanları tarafından istismar edilen 20 üst düzey alan adı
Herhangi bir kişi tarafından tespit edilen .sbs etki alanı ile kötü niyetli etkinlik

.CFD: Kimlik avı kitlerinde sık kullanılır

Başka bir bütçe tld, .cfd, belge paylaşımı veya devlet portalları olarak poz veren kimlik avı kitlerinde sıklıkla ortaya çıkar. Bu siteler PDF görüntüleyenler veya vergi formları gibi görünebilir, ancak genellikle kurumsal kimlik bilgileri veya kimlik verileri olan hassas bilgileri hasat etmek için tasarlanmıştır.

Marka jenerik olduğundan ve siteler atıldığından, saldırganlar onları toplu olarak döndürebilir.

Kimlik avı saldırılarında bilgisayar korsanları tarafından istismar edilen 20 üst düzey alan adı
Etkileşimli kum havuzunda gözlemlenen .cfd alan adı ile kimlik avı saldırısı

.ru: tanıdık ama kötü niyetli

Meşru bir ülke kodu alanı olmasına rağmen, .RU kötü niyetli kampanyalarda ortak bir manzara olmaya devam ediyor. Birçok kimlik avı aktörü, özellikle Rusya’daki veya yakınlarındaki kullanıcıları hedeflerken güvenilirlik duygusu vermek için kullanır. Sıklıkla sahte giriş formlarını barındırmak veya yazılım indirmeleri olarak gizlenmiş kötü amaçlı yazılımları dağıtmak için kullanılır.

Kimlik avı saldırılarında bilgisayar korsanları tarafından istismar edilen 20 üst düzey alan adı
.RU Domain ANL.RUN tarafından algılanan sahte bir Microsoft Oturum Açma Sayfası

.Dev: Güvenilir platformlar aracılığıyla istismar edildi

.DEV etki alanları genellikle Google’ın Pages.dev ve Workers.dev gibi barındırma hizmetlerine bağlıdır ve onlara HTTP’ler ve temiz arayüzler aracılığıyla otomatik bir meşruiyet katmanı sağlar. Burada barındırılan kimlik avı sayfaları cilalı ve profesyonel görünebilir, bu da teknoloji meraklısı kullanıcılar için bile gerçek hizmetlerden ayrım yapmayı zorlaştırabilir. Bu, .DEV’yi SaaS platformlarını veya bulut hizmetlerini taklit etmek için güçlü bir araç haline getirir.

Kimlik avı saldırılarında bilgisayar korsanları tarafından istismar edilen 20 üst düzey alan adı
İşçiler.Dev saldırganlar tarafından istismar edildi

Kimlik avı tehditlerini ortaya çıkarmanın en hızlı yolu

Herhangi bir şekilde etkileşimli kum havuzları. 40 saniyenin altındaki kararlarla, analistler bir alanın iyi huylu, kötü niyetli veya daha geniş bir kampanyanın bir parçası olup olmadığını hızlı bir şekilde anlayabilirler.

SOC ekipleri için temel avantajlar:

  • Tam yönlendirme zincirlerini izleyin – İlk alan adı kısa bir bağlantının arkasında zararsız veya maskelenmiş olsa bile her atlamayı izleyin.
  • Kimlik avı kitlerini, kimlik bilgisi çalıcıları ve aldatmaca sayfalarını ortaya çıkarın – Bkz. Form yakalamaları, sahte giriş akışları ve enjekte edilen komut dosyaları dahil olmak üzere eylemdeki kimlik avı davranışına bakın.
  • IOC’leri ve eserleri otomatik olarak çıkarın – Manuel kazma olmadan alan adları, URL’ler, IP’ler, bırakılan dosyalar ve daha fazlasını alın.
  • Araştırma süresini ve yanlış pozitifleri azaltın -Daha hızlı, kendinden daha emin kararlar vermek için davranış tabanlı kararları kullanın.
  • Kimlik avı sayfalarını platformlar arasında inceleyin – Windows, Android, Linux ve Web ortamlarını tek bir arayüzden hedefleyen tehditleri belirleyin.
  • Gerçek kullanıcı davranışını simüle et -Yönlendirmeler, pop-up’lar veya sahte giriş istemleri gibi gizli eylemleri tetiklemek için kimlik avı sayfalarıyla etkileşim kurun.
  • Anında paylaşılabilir raporlar oluşturun -Olay yanıtı, takım elden çıkarma veya müşteri bildirimleri için İhracat Kanıtları ve IOC açısından zengin raporlar.





Source link