反了!美国假冒邮政服务钓鱼网站访问量竟然超过正规官网

美国邮政是美国主要的包裹信件投递机构之一,长期以来该单位都是网络钓鱼和诈骗的针对目标。对美国公民来说,在假期通常都会收到声称来自美国邮政的诈骗。美国邮政甚至单独建设的网页提醒消费者警惕诈骗信息:

1714900739_66374f03a2df4428e0704.png!small?1714900740228

专用提醒网页

Akamai 的研究人员利用全球的 DNS 请求数据,分析与美国邮政有关的钓鱼网站访问情况。

1714900770_66374f2215574c59ca155.png!small?1714900770534

诈骗短信

分析结果令分析人员大为震惊,非法域名的流量甚至超过了合法域名的流量。

收集相关数据

SecOps 团队提供了诈骗短信中使用的 JavaScript 文件,以及网页显示与诈骗短信中类似的网站域名列表。将域名中包含美国邮政(USPS)的留下,只查看针对美国邮政的攻击情况。并在五个月内数据中查询与美国邮政相关域名的 DNS 请求日志,例如:

  • 以 USPS 开头
  • 以 USPS 结尾
  • 包含 USPS-
  • 包含 -USPS
  • 解析 IP 不属于美国邮政官方

这会将可疑的域名尽可能找出来,研究人员也确认了其中并没有合法网站。两部分数据合并起来,部分域名如下所示:

  • usps-deliveryservice[.]icu
  • uspshelp[.]vip
  • usps-stampservice[.]com
  • usps-lookup[.]com
  • gh-usps[.]shop

1714900791_66374f37bf7bc3cbf421c.png!small?1714900792456

恶意网站

严格的限制条件导致如 us.ps393[.]com 或 usps.parceltracker-us[.]com 等恶意域名不会被包含,这也表示研究人员的分析极为保守。但为了尽量降低误报和噪音,还是选取了小规模的数据进行分析。

恶意域名

五个月内最流行的恶意域名请求量如下所示:

域名请求量
usps-post[.]world169,379
uspspost[.]me150,052
usps-postoffices[.]top27,056
stamps-usps[.]online24,352
usps-shop[.]shop23,432
uspspostoffice[.]top22,734
uspspostoffices[.]top19,266
usps-post[.]today18,775
uspshelp[.]store6,048
usps-pst[.]xyz5,800

有两个恶意域名的请求量超过了十万,这二者占到总量的 29%。有大量的受害者访问这些恶意域名,这对于攻击者来说是有利可图的。这两个典型域名的请求量如下所示:

1714900903_66374fa79e75061ccc992.png!small?1714900904132

典型恶意域名请求量

恶意域名 usps-post[.]world 有可能会被受害者认为是美国邮政的国际分支机构,这些精心设计的恶意域名为攻击者带来了巨大的利润。

1714900917_66374fb576063def08657.png!small?1714900918366

投递失败信息

1714900931_66374fc35a6769b9fca01.png!small?1714900933666

品牌截图

usps-stampservice[.]com 在 11 月 23 日(黑色星期五前一天)开始出现流量,一直活跃到 12 月 1 日。而 uspspost[.]me 则是针对圣诞节假期进行欺诈,也有可能是针对圣·尼古拉斯日进行欺诈。

顶级域名

相关的 233 个顶级域名如下所示:

顶级域名独立域名数请求量
[.]com4,459271,278
[.]top3,063274,257
[.]shop56658,194
[.]xyz39730,870
[.]org35216,391
[.]info2577,597
[.]net1595,920
[.]life1535,616
[.]vip1058,724
[.]cc1036,430

com 是最受欢迎的,这给受害者带来一种全球范围内的熟悉感和合法感。top 也是攻击者最喜欢的替代顶级域名,该顶级域名以恶意活动而闻名。尽管 world 的请求量很大,但涉及到的域名其实并不多。

热门 IP

恶意域名的热门解析 IP 如下所示:

IP 地址归属域名数量请求量热门域名
155.94.151.28QuadraNet3169,373usps-post[.]world、usps-post[.]vip、uspsos[.]com
99.83.178.7Amazon4,333107,776appusps[.]com、alter-usps[.]shop、usps[.]solutions
75.2.110.227Amazon4,333107,776appusps[.]com、alter-usps[.]shop、usps[.]solutions
155.94.156.254QuadraNet268,386uspspost[.]me、uspsposts[.]com
155.94.135.202QuadraNet263,593uspspost[.]me、uspsaps[.]top
99.83.179.4Amazon2,01953,889usps-find[.]com、usps-mlpackage[.]com
75.2.78.236Amazon2,01953,889usps-find[.]com、usps-mlpackage[.]com
107.150.7.53QuadraNet249,646usps-postoffices[.]top、uspspostoffice[.]top
172.86.125.227FranTech Solutions223,422usps-shop[.]shop、usps-shopusa[.]shop
104.223.16.2QuadraNet321,186uspspostoffice[.]top、usps-post[.]vip、uspsaps[.]top

属于 QuadraNet 的 IP 尽管只有几个域名指向它们,仍然存在大量流量。指向亚马逊的 IP 大量域名,每个域名的查询量并不大。

数据对比

恶意域名的请求量与官网的请求量大致相同,十分令人震惊。

1714900951_66374fd71c8d60e5112cc.png!small?1714900951593

二者比较

随着时间推移,每周的请求量显示甚至恶意流量还能超过官网。

1714900965_66374fe5ac2646985ade7.png!small?1714900966986

每周流量比较

感恩节、黑色星期五和圣诞节假期,是美国一年中包裹投递量最大的时期。攻击者也相应在这些节日安排了针对美国邮政的钓鱼攻击,假日的忙碌也可能让受害者放松警惕。

结论

攻击者在圣诞节和感恩节假期发动了许多攻击,恶意域名甚至比官方网站的流量还多,这说明网络钓鱼可能比想象中的更加成功。

参考来源

Akamai

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/324280.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

linux上用Jmter进行压测

在上一篇中安装好了Jmeter环境,在这一篇中将主要分享如何使用jmeter在linux中进行单机压测。 1.项目部署 在这里我们先简单部署一下测试环境,所用到的项目环境是个jar包,先在linux上home目录下新建app目录,然后通过rz命令将项目ja…

【c++】string深度刨析以及实现

#pragma once #include<iostream> using namespace std; #include<assert.h> namespace bite {class string{public://迭代器 //像指针 底层不一定是指针 typedef char* iterator;iterator begin(){return _str;}iterator end(){return _str _size;}//const 版本…

面试集中营—JVM篇

一、JVM内存模型 线程独占&#xff1a;栈&#xff0c;本地方法栈&#xff0c;程序计数器; 线程共享&#xff1a;堆&#xff0c;方法区 虚拟机栈&#xff1a;线程私有的&#xff0c;线程执行方法是会创建一个栈阵&#xff0c;用来存储局部变量表&#xff0c;操作栈&#xff0c;…

【Vue3进阶】- Pinia

什么是Pinia Pinia 是 Vue 的专属状态管理库&#xff0c;它允许你跨组件或页面共享状态。它提供了类似于 Vuex 的功能&#xff0c;但比 Vuex 更加简单和直观。 需要在多个组件之间共享状态或数据时使用 Pinia 的 store&#xff0c;这样可以避免 props 和 eventBus 等传统方法…

LeetCode:116.填充每个节点的下一个右侧节点指针

文章目录 1.层次遍历2.使用next层序遍历3.递归方法 LeetCode&#xff1a;116.填充每个节点的下一个右侧节点指针 题目&#xff1a; 示例&#xff1a; 分析题意容易关注到只需要将每层结点连接起来&#xff0c;因此我们只需要把每层结点求出来即可&#xff0c;即使用层次遍历。 …

面试中算法(删去n个数字后的最小值)

有一个整数&#xff0c;从该整数中去掉n个数字&#xff0c;要求剩下的数字形成的新整数尽可能小。 分析&#xff1a;使用栈的特性&#xff0c;在遍历原整数的数字时&#xff0c;让所有数字一个一个入栈&#xff0c;当某个数字需要被删除时&#xff0c;&#xff08;即栈顶数字&g…

【深度学习】Diffusion扩散模型原理解析1

1、前言 diffusion&#xff0c;这几年一直很火的模型&#xff0c;比如这段时间在网上的文生图大模型——Stable diffusion。就是以diffusion作为基底模型&#xff0c;但由于该模型与VAE那边&#xff0c;都涉及了较多了概率论知识&#xff0c;实在让人望而却步。所以&#xff0…

node pnpm修改默认包的存储路径

pnpm与npm的区别 PNPM和NPM是两个不同的包管理工具。 NPM&#xff08;Node Package Manager&#xff09;是Node.js的官方包管理工具&#xff0c;用于安装、发布和管理Node.js模块。NPM将包安装在项目的node_modules目录中&#xff0c;每个包都有自己的依赖树。 PNPM&#xf…

NumPy及Matplotlib基本用法

NumPy及Matplotlib基本用法 导语NumPy导入与生成算术运算N维数组广播元素访问 Matplotlib简单图案绘制多函数绘制图像显示 总结参考文献 导语 深度学习中经常需要对图像和矩阵进行操作&#xff0c;好在python提供了Numpy和Matplotlib库&#xff0c;前者类似一个已经定义的数组…

2024年数维杯B题完整代码和思路论文讲解与分析

2024数维杯数学建模完整代码和成品论文已更新&#xff0c;获取↓↓↓↓↓ https://www.yuque.com/u42168770/qv6z0d/bgic2nbxs2h41pvt?singleDoc# 2024数维杯数学建模B题45页论文和代码已完成&#xff0c;代码为全部问题的代码 论文包括摘要、问题重述、问题分析、模型假设、…

linux phpstudy 重启命令

[rootLinuxWeb phpstudy]# ./system/phpstudyctl restart 查看命令 1) phpstudy -start 启动小皮面板 2) phpstudy -stop 停止小皮面板 3) phpstudy -restart 重启小皮面板 4) phpstudy -status 查询面板状态 5) phpstudy -in…

pytest(二):关于pytest自动化脚本编写中,初始化方式setup_class与fixture的对比

一、自动化脚本实例对比 下面是一条用例,使用pytest框架,放在一个类中,两种实现方式: 1.1 setup_class初始化方式 1. 优点: 代码结构清晰,setup_class 和 teardown_class 看起来像传统的类级别的 setup 和 teardown 方法。2. 缺点: 使用 autouse=True 的 fixture 作为…

Linux 磁盘分区工具 gdisk / fdisk

fdisk 是传统的 Linux 磁盘分区工具&#xff0c;磁盘容量有2T的大小限制&#xff1b;gdisk 又叫 GPT fdisk, 作为 fdisk 的升级版&#xff0c;主要使用的是GPT分区类型&#xff0c;用来划分容量大于2T的硬盘&#xff0c;本文介绍使用方法。 简介 早期的磁盘使用 fdisk 工具分区…

GitHub搭建免费博客

一、GitHub仓库准备 ​ 搭建博客需要准备两个仓库。一个存放博客图床的仓库&#xff0c;另一个存放博客网站的仓库。 1.1、图床创建 新建仓库 第一步&#xff1a; ​ 第二步&#xff1a; 生成Token令牌 点击右上角头像->Settings->下拉&#xff0c;直到左侧到底&#…

中国地图(2024版审图号地图)和地图变化说明

2024版shp格式审图号地图预览图&#xff1a; 新版中国地图的变化&#xff08;简述&#xff09; 国土面积的增加&#xff1a;新版中国地图显示&#xff0c;中国的国土面积从960万平方公里增加到1045万平方公里&#xff0c;增加了85万平方公里。 九段线变为十段线&#xff1a;…

GT资源-Clock资源

一、Transmitter 时钟分布 XCLK&#xff1a;在使用TX buffer的模式下&#xff0c;XCLK来源于TXOUTCLK。在使用TX bypassing的模式下XCLK来源于TXUSERCLK。TXUSRCLK是GTX/GTH中PCS的内部逻辑时钟。TXUSRCLK2是GT Transceiver 用户侧逻辑时钟。 TXUSRCLK与TXUSRCLK2的关系 FPGA …

无人零售,重塑购物新纪元

在这个快节奏的时代&#xff0c;科技的每一次跃进都在悄无声息地改变着我们的生活方式。而今&#xff0c;无人零售正以雷霆之势&#xff0c;颠覆传统购物模式&#xff0c;为我们带来前所未有的便捷与智能体验。想知道无人零售如何彻底改变我们的购物方式吗&#xff1f;跟随我&a…

字符以及字符串函数

字符以及字符串函数 求字符串长度strlen 长度不受限制的字符串函数strcpystrcatstrcmp 长度受限制的字符串函数strncpystrncatstrncmp 字符串查找strstrstrtok 错误信息报告strerror 字符分类函数字符转换函数tolowertoupper 内存操作函数memcpymemmovememcmpmemset 这篇文章注…

基于Springboot的校园生活服务平台(有报告)。Javaee项目,springboot项目。

演示视频&#xff1a; 基于Springboot的校园生活服务平台&#xff08;有报告&#xff09;。Javaee项目&#xff0c;springboot项目。 项目介绍&#xff1a; 采用M&#xff08;model&#xff09;V&#xff08;view&#xff09;C&#xff08;controller&#xff09;三层体系结构…

(已解决)org.springframework.amqp.rabbit.support.ListenerExecutionFailedException

报错截图 解决方案 1、登录rabbitMQ网址&#xff0c;删除所有队列 2、重启rabbitMQ 亲测有效&#xff01;&#xff01;&#xff01;亲测有效&#xff01;&#xff01;&#xff01;亲测有效&#xff01;&#xff01;&#xff01;