美国邮政是美国主要的包裹信件投递机构之一,长期以来该单位都是网络钓鱼和诈骗的针对目标。对美国公民来说,在假期通常都会收到声称来自美国邮政的诈骗。美国邮政甚至单独建设的网页提醒消费者警惕诈骗信息:
专用提醒网页
Akamai 的研究人员利用全球的 DNS 请求数据,分析与美国邮政有关的钓鱼网站访问情况。
诈骗短信
分析结果令分析人员大为震惊,非法域名的流量甚至超过了合法域名的流量。
收集相关数据
SecOps 团队提供了诈骗短信中使用的 Javascript 文件,以及网页显示与诈骗短信中类似的网站域名列表。将域名中包含美国邮政(USPS)的留下,只查看针对美国邮政的攻击情况。并在五个月内数据中查询与美国邮政相关域名的 DNS 请求日志,例如:
- 以 USPS 开头
- 以 USPS 结尾
- 包含 USPS-
- 包含 -USPS
- 解析 IP 不属于美国邮政官方
这会将可疑的域名尽可能找出来,研究人员也确认了其中并没有合法网站。两部分数据合并起来,部分域名如下所示:
- usps-deliveryservice[.]icu
- uspshelp[.]vip
- usps-stampservice[.]com
- usps-lookup[.]com
- gh-usps[.]shop
恶意网站
严格的限制条件导致如 us.ps393[.]com 或 usps.parceltracker-us[.]com 等恶意域名不会被包含,这也表示研究人员的分析极为保守。但为了尽量降低误报和噪音,还是选取了小规模的数据进行分析。
恶意域名
五个月内最流行的恶意域名请求量如下所示:
| 域名 | 请求量 |
|---|---|
| usps-post[.]world | 169,379 |
| uspspost[.]me | 150,052 |
| usps-postoffices[.]top | 27,056 |
| stamps-usps[.]online | 24,352 |
| usps-shop[.]shop | 23,432 |
| uspspostoffice[.]top | 22,734 |
| uspspostoffices[.]top | 19,266 |
| usps-post[.]today | 18,775 |
| uspshelp[.]store | 6,048 |
| usps-pst[.]xyz | 5,800 |
有两个恶意域名的请求量超过了十万,这二者占到总量的 29%。有大量的受害者访问这些恶意域名,这对于攻击者来说是有利可图的。这两个典型域名的请求量如下所示:
典型恶意域名请求量
恶意域名 usps-post[.]world 有可能会被受害者认为是美国邮政的国际分支机构,这些精心设计的恶意域名为攻击者带来了巨大的利润。
投递失败信息
品牌截图
usps-stampservice[.]com 在 11 月 23 日(黑色星期五前一天)开始出现流量,一直活跃到 12 月 1 日。而 uspspost[.]me 则是针对圣诞节假期进行欺诈,也有可能是针对圣·尼古拉斯日进行欺诈。
顶级域名
相关的 233 个顶级域名如下所示:
| 顶级域名 | 独立域名数 | 请求量 |
|---|---|---|
| [.]com | 4,459 | 271,278 |
| [.]top | 3,063 | 274,257 |
| [.]shop | 566 | 58,194 |
| [.]xyz | 397 | 30,870 |
| [.]org | 352 | 16,391 |
| [.]info | 257 | 7,597 |
| [.]net | 159 | 5,920 |
| [.]life | 153 | 5,616 |
| [.]vip | 105 | 8,724 |
| [.]cc | 103 | 6,430 |
com 是最受欢迎的,这给受害者带来一种全球范围内的熟悉感和合法感。top 也是攻击者最喜欢的替代顶级域名,该顶级域名以恶意活动而闻名。尽管 world 的请求量很大,但涉及到的域名其实并不多。
热门 IP
恶意域名的热门解析 IP 如下所示:
| IP 地址 | 归属 | 域名数量 | 请求量 | 热门域名 |
|---|---|---|---|---|
| 155.94.151.28 | QuadraNet | 3 | 169,373 | usps-post[.]world、usps-post[.]vip、uspsos[.]com |
| 99.83.178.7 | Amazon | 4,333 | 107,776 | appusps[.]com、alter-usps[.]shop、usps[.]solutions |
| 75.2.110.227 | Amazon | 4,333 | 107,776 | appusps[.]com、alter-usps[.]shop、usps[.]solutions |
| 155.94.156.254 | QuadraNet | 2 | 68,386 | uspspost[.]me、uspsposts[.]com |
| 155.94.135.202 | QuadraNet | 2 | 63,593 | uspspost[.]me、uspsaps[.]top |
| 99.83.179.4 | Amazon | 2,019 | 53,889 | usps-find[.]com、usps-mlpackage[.]com |
| 75.2.78.236 | Amazon | 2,019 | 53,889 | usps-find[.]com、usps-mlpackage[.]com |
| 107.150.7.53 | QuadraNet | 2 | 49,646 | usps-postoffices[.]top、uspspostoffice[.]top |
| 172.86.125.227 | FranTech Solutions | 2 | 23,422 | usps-shop[.]shop、usps-shopusa[.]shop |
| 104.223.16.2 | QuadraNet | 3 | 21,186 | uspspostoffice[.]top、usps-post[.]vip、uspsaps[.]top |
属于 QuadraNet 的 IP 尽管只有几个域名指向它们,仍然存在大量流量。指向亚马逊的 IP 大量域名,每个域名的查询量并不大。
数据对比
恶意域名的请求量与官网的请求量大致相同,十分令人震惊。
二者比较
随着时间推移,每周的请求量显示甚至恶意流量还能超过官网。
每周流量比较
感恩节、黑色星期五和圣诞节假期,是美国一年中包裹投递量最大的时期。攻击者也相应在这些节日安排了针对美国邮政的钓鱼攻击,假日的忙碌也可能让受害者放松警惕。
结论
攻击者在圣诞节和感恩节假期发动了许多攻击,恶意域名甚至比官方网站的流量还多,这说明网络钓鱼可能比想象中的更加成功。
