品牌拥有者 购买域名 出于多种原因而停放它们，包括为了将来的使用或开发以及品牌保护。有时，他们购买它们也是因为他们想保留自己喜欢或认同的名字，即使他们没有计划在不久的将来扩展它。

这个想法乍一看似乎无害吗？

事实上，实际情况并非如此。最近，停放域，或者我们应该说“不安全”的停放域，正在成为恶意行为者利用的安全漏洞，因为它们的 休眠状态。

事实上，像这样的知名品牌 来自 Microsoft 和 DocuSigns 的停放域 也被剥削。这是因为从信誉良好的域发送的网络钓鱼企业邮箱 加强其合法性 并逃避安全企业邮箱网关 (SEG) 的检测。

停放域名的常见滥用行为

企业主感知 停放的域名被认为是休眠和低风险资产，忽视了它们的安全性。这种心态导致了以下类型的利用停放域名的网络攻击的增加。

凭证盗窃

威胁行为者通常使用域 值得信赖的品牌 诱骗用户提供敏感信息，包括他们的登录凭据。他们创建了一个与原始网站界面相似的虚假登录页面，欺骗用户信任平台并输入他们的凭据。

恶意软件分布

攻击者劫持停放域的 DNS 记录 重定向流量 恶意 IP 地址或网站。 这可能涉及更改 A 记录（将域映射到 IP 地址）或设置恶意子域。结果，停放域的访问者被重定向到托管恶意软件、试图窃取凭据或执行其他恶意代码的站点。

传播恶意软件的另一种方法是在域停放服务上购买广告空间，这些服务使用广告网络通过停放的域获利并将恶意广告注入域中。 广告网络因此，每当有人点击广告时，他们就会被重定向到托管恶意软件或漏洞利用工具包的网站。

企业邮箱网络钓鱼、身份盗窃和勒索软件

未经适当授权停放的屋苑 认证协议 （SPF、DKIM 和 DMARC）通常用于网络钓鱼和欺骗企业邮箱。有时恶意行为者会向内部品牌员工发送企业邮箱， 要求初级或中级员工 冒充高级员工共享敏感数据。一旦他们获得了数据，他们就会索要赎金，以换取删除副本、同意不公开或出售数据。

搜索引擎中毒

威胁行为者操纵 搜索引擎排名 为了将停放的域名推向搜索结果的更高位置，通常使用关键字填充和反向链接等 SEO 技术。这样，它们就会吸引更多访问者，导致他们访问不安全的网站，这些网站会传播恶意软件、要求提供登录凭据或请求共享敏感信息。

命令和控制服务器

不良行为者使用 DNS 操纵技术，他们使用具有停放域的动态 DNS 服务来频繁更改与该域关联的 IP 地址。 这使得防御者更难跟踪和阻止 C2 服务器。他们还可以通过将命令编码到 DNS 流量中，利用 DNS 查询和响应与恶意软件进行通信。。停放域可用于托管这些 DNS服务器使得检测 C2 流量变得更加困难。

具体示例：Emotet 活动

网络犯罪分子使用停放域通过 Emotet 僵尸网络传播恶意软件。停放的域名不活跃，通常通过广告获利。 2020 年 3 月至 9 月研究人员发现大约 1% 的新停放域名被用于恶意目的和网络钓鱼攻击。 停车服务 广告网络往往无法过滤掉恶意广告商，从而使用户面临威胁。

Emotet 攻击针对多个国家和各个行业。一个例子是域， Valleymedicalandurgicalclinic.com该文件于 2020 年 7 月记录并停放。到 9 月，它被用来通过网络钓鱼企业邮箱传播恶意软件，窃取凭证和受损设备。

Emotet 僵尸网络最初是一个银行木马，现已发展为提供各种恶意软件有效负载，包括 QakBot 和 Trickbot，它们可以部署 Ryuk 和 Conti 等勒索软件。 一些攻击还利用 COVID-19 主题来利用恐惧，但并未成功。

使用 SPF、DKIM 和 DMARC 防止对停放域的利用

使用 SPF、DKIM 和 DMARC 以及针对停放域的强大企业邮箱安全措施可以帮助防止可能滥用域名的企业邮箱欺骗和网络钓鱼攻击。以下是具体操作方法 实施这些协议 对于停车区域：

1. SPF（发送政策框架）

SPF 允许您指定允许哪些企业邮箱服务器代表您的域发送企业邮箱对于停放域，您通常希望确保不发送任何企业邮箱，因此您将设置限制性 SPF 记录。

2.DKIM（域名密钥识别邮件）

DKIM 允许企业邮箱收件人验证该企业邮箱是否由域所有者发送，并且邮件在传输过程中未被修改。您不会为停放域名发送企业邮箱，因此这是一个 任择议定书。

3. DMARC（基于域的消息身份验证、报告和合规性）

DMARC 基于 SPF 和 DKIM，提供有关处理未通过 SPF 和/或 DKIM 检查的企业邮箱的说明。他 提供报告功能。

以下是 DMARC 记录的示例 –

v=DMARC1； p=拒绝； rua=mailto:your-email@example.com; ruf=mailto:your-email@example.com; fo=1；

或者：

• v=DMARC1：指定 DMARC 版本。
• p=拒绝：指示接收邮件服务器拒绝所有未通过 SPF 或 DKIM 检查的企业邮箱。
• rua=mailto:your-email@example.com：提供企业邮箱地址 接收汇总报告 关于从您的域发送的企业邮箱。
• ruf=mailto:your-email@example.com： 提供企业邮箱地址以接收有关未通过 DMARC 检查的企业邮箱的分析报告。
• fo=1：请求为每条未通过 SPF 或 DKIM 的邮件提供报告。

最后的话

有 保护停放的域名向您的注册商启用域锁定和双因素身份验证 (2FA)，以防止未经授权的更改或转移。此外，考虑使用 WHOIS 隐私保护 向潜在攻击者隐藏您的个人信息。通过采取这些积极主动的步骤，您可以显着降低托管域名被盗的风险。

对于我们来说，我们可以帮助您实施 SPF、DKIM 和 DMARC。 联系我们 了解更多信息或开始使用。