2014全球中文钓鱼网站趋势分析报告-CNNIC
,全球中文钓鱼网站趋势分析报告(2014年)互联网域名管理技术国家工程实验室中国反钓鱼联盟(APAC )反钓鱼工作组(APWG )2015年6月
全球中文钓鱼网站趋势分析报告
(2014年)
互联网域名管理技术国家工程实验室
中国反钓鱼联盟(APAC )
反钓鱼工作组(APWG )
2015年6月
,全球中文钓鱼网站趋势分析报告
目 录
一、总体情况 ........................................................... 1
1. 网络钓鱼定义 ....................................................... 1
2. 本报告的统计范围和统计方法 ......................................... 1
3. 重要数据摘要 ....................................................... 2
二、钓鱼网站数量统计 ................................................... 2
三、钓鱼域名统计情况 ................................................... 3
1. 钓鱼网站顶级域分布趋势 ............................................. 4
2. 顶级域中文钓鱼指数 ................................................. 5
3. 钓鱼域名及注册商分布趋势 ........................................... 6
四、钓鱼网站在新通用顶级域中的分布情况 .................................. 8
五、钓鱼网站攻击品牌分布................................................ 9
七、钓鱼网站活跃时间 .................................................. 11
致谢 .................................................................. 12
,全球中文钓鱼网站趋势分析报告
一、总体情况
1. 网络钓鱼定义
网络钓鱼(phishing ,和钓鱼的英文fishing 发音相同),是指攻击者通过垃圾邮件、即时通信、社交网络等信息载体,发布欺诈性消息,骗取网络用户访问其构建的仿冒网站(即钓鱼网站),引诱用户泄露其敏感信息(如用户名、口令、账号、ATM PIN 码或信用卡详细信息)的一种当前极为流行的网络攻击方式。被攻击的用户,轻者泄露个人隐私,重者遭受经济损失。
本报告“中文钓鱼网站”指针对国内品牌(淘宝、中国工商银行、湖南卫视等)的钓鱼网站。
2. 本报告的统计范围和统计方法
《全球中文钓鱼网站趋势分析报告_2014年》汇总并统计了2014年全年在全球范围内针对中国网站和用户的中文钓鱼攻击事件。其使用的数据主要由三部分构成:中国反钓鱼联盟(APAC )的成员举报数据,互联网域名管理技术国家工程实验室的钓鱼检测数据和反钓鱼工作组(Anti-phishing Working Group,APWG )会员全球范围内举报的中文钓鱼数据。其中,APWG 贡献的全球中文钓鱼数据占到总数据量的20.4。
本报告针对钓鱼网站数量的统计是基于钓鱼URL 进行的,即包括主机名和路径名在内的完整的钓鱼URL 只要和其他钓鱼URL 不完全相同,则认定为一个独立的钓鱼网站。采取该种统计方法,而不是直接统计钓鱼主机数量的原因如下:1. 存在同一个钓鱼主机下挂载了多个仿冒不同目标品牌的钓鱼网页的情况;2. 存在正常主机下面的子页面被篡改为钓鱼站点
1
,全球中文钓鱼网站趋势分析报告
的情况;3. 网络安全工具针对钓鱼攻击的防护主要是基于完整URL 进行访问拦截。
3. 2014全球中文钓鱼网站重要数据摘要
⏹ 近三年来,全球中文钓鱼网站数量逐年上升。2014年全年,针对中文网民的钓鱼
网站数量为55063个,同比2013年有所下降,但仍居于高位。7月份,钓鱼网站数量达到峰值。
⏹ 2014年全球中文钓鱼网站使用最多的前三位顶级域为:.COM 、.TK 、.PW ,占全年
钓鱼网站总量的78.4。
⏹ 每10000个注册域名中出现中文钓鱼网站比例最高前十个顶级域分别为:.CF 、.PW 、.
ML 、.GA 、.EDU 、.SX 、.CC 、.GD 、.BI 、.TL ,其中.CF 、.ML 、.GA 均为提供免费注册服务的顶级域。.CF 钓鱼网站出现比例最高,达到228⁄10000。
⏹ 322例钓鱼网站使用新通用顶级域,包括. XYZ 、.WANG 、.SEXY 、.CLUB 。
⏹ 2014年钓鱼网站攻击品牌统计前三位分别为:淘宝,中国工商银行,湖南卫视,
占钓鱼网站总量的92.1。
⏹ 2014年中文钓鱼网站平均活跃时间为33.1小时,全球钓鱼网站平均活跃时间为
31.2小时。
二、钓鱼网站数量统计
2014年,共发现中文钓鱼网站55063个,较之2013年有所下降,但仍居于高位。图1描述了全球中文钓鱼网站数量按年统计趋势。该图显示近两年的中文钓鱼网站数量同比2012年大幅增加。网络钓鱼已成为威胁网络安全的突出问题,网络安全形势与挑战日益严
2
,全球中文钓鱼网站趋势分析报告
峻。
图1
:全球中文钓鱼网站数量按年统计趋势
图2描述了2014年全球中文钓鱼网站数量按月统计趋势,其中2014年7月份,钓鱼网站数量达到峰值。
图2:2014年全球中文钓鱼网站数量按月统计趋势
三、钓鱼域名统计情况
除了极少数直接使用IP 地址提供访问的钓鱼网站以外,绝大部分钓鱼网站采用域名作为其网站的访问入口。
3
,全球中文钓鱼网站趋势分析报告
1. 钓鱼网站顶级域分布趋势
2014年,全球中文钓鱼网站共涉及143个顶级域,同比2013年增长13个。
图3:
中文钓鱼网站顶级域数量变化趋势
2014年钓鱼网站数量最多的前三位顶级域为:.COM 、.TK 、.PW ,占钓鱼网站总量的78.4。和历史数据一样,.COM 域名依然是2014年全球中文钓鱼网站数量最多的顶级域。
图4:钓鱼网站顶级域分布
排名前三位顶级域具体分布和按月趋势如图5所示:
4
,全球中文钓鱼网站趋势分析报告
图5:钓鱼网站使用的主要顶级域按月统计趋势
2. 顶级域中文钓鱼指数1
为了更合理的分析各顶级域中钓鱼网站的出现比例与分布情况,我们进一步统计了“顶级域中文钓鱼指数”,以描述某顶级域中文钓鱼网站的集中程度。
顶级域中文钓鱼指数=
某顶级域的中文钓鱼域名数量某顶级域域名注册总量
∗10000,
(即每10000个域名中出现中文钓鱼域名的数量)
表1:顶级域中文钓鱼指数TOP10
从表1中可见,中文钓鱼指数较高的顶级域中,.CF 、.ML 以及.GA 等顶级域注册机构
1
该指数参照APWG 报告《Global Fishing Survey: Trends and Domain Name Use in 1H2014》中的指
标”Phishing Domains per 10,000”。
5
,全球中文钓鱼网站趋势分析报告
提供免费域名注册服务,均由Freenom 进行管理和运行。可见,宽松的域名注册和审核机制,以及低廉价格甚至免费注册的域名,更容易被钓鱼者注册用于钓鱼。
本报告进一步分析了,在国内应用最为广泛的.COM 和.CN 域名的中文钓鱼指数,其中.COM 的顶级域中文钓鱼指数为2.56,而.CN 的顶级域中文钓鱼指数为1.57,可见.CN 注册域名用于中文钓鱼的概率更低。考虑到大多数的.CN 注册域名用于中文网站服务,而境外域名更多用于境外语种网站服务,本报告认为:对国内网民而言,访问.CN 域名的网站风险更低。
3. 钓鱼域名及注册商分布趋势
图6:全球中文钓鱼网站数量及域名数量变化趋势
2014年,全球中文钓鱼网站数量为55063个,其中独立域名数为48835个,可见有相当一部分域名被多个钓鱼网站使用。
经分析,重复使用次数最高的前十位域名如图7所示。其中,findhere.org 被全部被用于仿冒中国工商银行进行钓鱼攻击;t.cn 、tinyurl.com 是有关机构推出的短网址服务,即可以将冗长的URL 变为缩短的网址。建议相关机构加强对钓鱼URL 的审查与检测,避免短网
6
,全球中文钓鱼网站趋势分析报告
址服务被滥用。
图7
:多次用于钓鱼网站的域名
为进一步了解钓鱼攻击者利用域名的方式和方法,本报告对钓鱼网站的域名进行分类: 图8:钓鱼网站分类
在全球发现的55063个中文钓鱼网站中,恶意注册类为42460个,占全部钓鱼网站总量的77,所谓的恶意注册类,指域名符合以下的其中一个或几个条件:1)注册后不久即被用于钓鱼攻击;2)包含品牌名称;3)包含容易误解为某个品牌名称的字符串;4)由同
7