10 najbardziej podejrzanych okolic w sieci

.zip

Lista Blue Coat najbardziej niebezpiecznych domen ciągle się zmienia. .zip był na szczycie listy, gdy raport Blue Coat został wydany we wrześniu ubiegłego roku, ale od tamtego czasu spadł kilka miejsc w dół. Chris Larsen, lider zespołu badawczego w Blue Coat, zwraca uwagę, że jedną z rzeczy, która sprawia, że ??.zip się wyróżnia to to, że TLD ma tak naprawdę tylko jedną domenę: nic.zip.

„Niezależnie od tego, adresy.zip pojawiają się w naszych dziennikach ruchu, wśród miliardów anonimowych żądań sieci Web, które zakwalifikowujemy codziennie do naszego systemu WebPulse”, mówi Larsen. „Ogólnie rzecz biorąc, jeśli przyjrzeć się bliżej, większość z nich wygląda jak nazwy plików, a nie URL – ale jakimś cudem dostały się do czyjejś przeglądarki jako URL i zostały odpowiednio potraktowane.”

Wiele tych zapytań to po prostu śmiesznie wyglądające adresy URL, które nie działają i dlatego traktuje się je jako podejrzane. Ale Larsen zauważa, że wiele ??zespołów ds. bezpieczeństwa znalazło do tej pory domeny .zip związanych ze złośliwymi grupami, takimi jak Cryptowall, MiniDionis i CozyBear.

.link

TLD.link zamyka pierwszą 10 Blue Coat. Na TLD roi się od treści pornograficznych i pirackich stron, z których żadna nie została uznana przez Blue Coat jako „ciemna”. Można znaleźć także sieć CDN związaną z japońskich sportami, w tym głównie rugby, oraz inną CDN służącą do nadawania wiadomości w stacjach w USA. Jednak poza tymi dwiema pozostałe wydają się co najmniej podejrzane.

„Od lat jest to idealne miejsce dla spamerów”, mówi Larsen.

.review

Nawet jeśli .zip spadło z pierwszego miejsca, review utrzymuje się ciągle na miejscu 2. Głównie ze względu na fałszywe witryny, mówi Larsen.

„Gdybym po prostu spojrzał na listę z nazwami domen, powiedziałbym pewnie, że pierwsza piętnastka to strony scam”, dodaje, wskazując na jedną z domen na liście. „To chińska sieć związana z fałszywymi produktami zdrowotnymi. Przynajmniej 12 z 15 pierwszych witryn .review to ta sama rodzina .review zdaje się nie podejmować żadnych kroków, by je stamtąd wyrzucić.

.country

TLD .country znajdował się niedawno na 1. miejscu na liście Blue Coat, ale w chwili opublikowania raportu był na miejscu 3.

„W przeciwieństwie do .click, .link i .rocks, kiedy zauważyłem podejrzane domeny .country i sprawdziłem dzienniki, by zobaczyć, jak wiele z nich nie było złośliwych, nie znalazłem żadnych dobrych (więc jeśli chcesz zablokować całą TLD, nie mam Ci tego za złe. Prawdopodobnie zechcesz zablokować .click, kiedy do niego dotrzemy, mimo że nie jest aż taki zły)”, mówi Larsen.

To TLD jest całe zajęte przez sieci scam, które lubią wykorzystywać jako przynętę gry/badania. Larsen zauważa, że Blue Coat nie od razu zauważył aktywność szkodliwego oprogramowania związanego z siecią, ale istnieje silny związek między niektórymi sieciami reklamowych i znanymi sieciami PUS (spyware i adware).

.kim

TLD .kim znalazł się na czwartym miejscu w raporcie Blue Coat, ale Larsen zauważa, że rejestr (wraz z rejestrem .xyz, który nie znalazł się w zestawieniu top 10) starał się dostać do Blue Coat, by zatrzeć swoje podejrzane działania w TLD.

„Zauważyliśmy różnicę w ruchu w ostatnim czasie”, mówi Larsen. „Pracują coraz lepiej i zasługują na jakieś uznanie.”

To TLD obsługuje kilka legalnych domen, zwłaszcza koreański blog z branży tech i kilka tureckich stron („kim” oznacza „kto” w języku tureckim). Kiepską reputację zawdzięcza obecności sieci scam związanych z PUS, złośliwym oprogramowaniem i co najmniej jednej domeny, który obsługuje algorytm generowania domeny (DGA), stosowany do wybierania nazw domen, które działają z malewarem.

.cricket

Nazwany na cześć drugiego najpopularniejszego na świecie sportu, TLD .cricket znalazł się na 5. miejscu.

Mimo że to TLD hostuje kilka legalnych witryn, Larsen wskazuje na liczne przypadki „zatruwania” wyszukiwarki. Na przykład, StarWarsMovie.cricket przeciąga dużo przypadkowych treści związanych ze „Star Wars”, by generować ruch. Kliknięcie na jakiś element na stronie przeniesie Cię do 6. odcinka na Blu-Ray.

.science

Szósty podejrzany na liście to pod wieloma względami ofiara własnego marketingu. Chcąc zwiększyć widoczność swojego TLD, rozdawano za darmo domeny .science.

„Na ogół istnieje tendencja do popadania w kłopoty, gdy firma chce się wypromować, oferując rejestrację za niską cenę”, mówi Larsen. „Jeśli możesz zarejestrować domenę za grosze, zazwyczaj możesz liczyć na towarzystwo „złych kolesi”.

Domeny .science są w dużej mierze związane ze spamem, twierdzi Larsen, choć Blue Coat znalazł także domeny z oszustwami i innymi podejrzanymi działaniami. Podkreślił, że ciemna działalność związana była ze stronami oferującymi ebooki. Inna sieć oferowała pisanie na zamówienie esejów akademickich.

.work

TLD .work to bardziej spam i oszustwa niż złośliwe oprogramowanie, choć zespół Larsena znalazł jednak kilka niepewnych połączeń z siecią PUS. Było kilka legalnych witryn, choć Larsen uważa, że je też warto by było zablokować. Jako przykłady można podać turecką stronę pornograficzną i pakistańską sieć stron z wideoklipami, które wyglądały dokładnie tak samo.

.party

Na 8. miejscu uplasował się .party. Wiele stron wygląda tu na pierwszy rzut oka całkiem porządnie. Na przykład stroną numer 1. jest FashionOnly.party, na której znajdziemy zdjęcia kobiet w sukniach ślubnych i innych stylizacjach.

„Da się zauważyć kilka ostrzeżeń”, mówi Larsen. „Zdjęcia są bardzo „spłaszczone”. Żadne z nich nie wygląda tak, jakby było od razu zrobione w tym formacie. Wiele ma w formie znaku wodnego inną nazwę strony. Strona jest właściwie bezsensowna, treści nie wydają się godne komentarza.”

Można zauważyć „zatrucie” wyszukiwarki, mówi Larsen. TLD .party hostuje również szereg stron MP3 – prawdopodobnie piractwo bądź maleware.

.gq

.gq to numer kierunkowy do Gwinei Równikowej. Od momentu, kiedy raport Blue Coat został obulikowany, .gq spadł poza pierwszą 10, jednak Larsen zauważa, że powinien zostać laureatem za całokształt twórczości.

„Jeśli zerkniemy na wszystkie strony .gq które uzyskały oceny w bazie danych w ciągu ostatnich 10 lat, z ponad 7500 ocen, prawie 99% jest podejrzanych”, mówi Larsen.

Większość nadużyć .gq wiązało się z zatruciem wyszukiwarek i dużą liczbą stron z podejrzanymi filmami wideo powiązanymi z PUS. Poza tym TLD hostował kilka witryn spam/scam, które rozprzestrzeniają się za pośrednictwem mediów społecznościowych oraz strony z malwarem, phishingiem i porno.