在网络钓鱼攻击中被仿冒最多的50个品牌，以及可以有效保护员工免受此类钓鱼攻击的新工具

组织的员工有可能刚刚在错误的网站上提交了某个内部系统的管理员用户名和密码。这样一来，攻击者就能够窃取敏感数据了。

这一切是怎么发生的？

一封精心制作的电子邮件。

检测、阻止和缓解钓鱼攻击的风险可以说是任何安全团队经常面临的最困难挑战之一。

从今天开始，我们的安全中心仪表板将开放全新品牌保护和防网络钓鱼工具的测试版，旨在针对组织的网络钓鱼活动发生之前进行捕捉和缓解。

网络钓鱼攻击的挑战

网络钓鱼攻击也许是过去几个月内最广为人知的威胁手段。这些攻击非常复杂，难以察觉，越来越频繁，可能会给受到攻击的企业带来毁灭性的后果。

防止网络钓鱼攻击的最大挑战之一是庞大的数量，而且难以区分合法和欺诈性的电子邮件和网站。攻击者制作的钓鱼邮件和网站几乎可以以假乱真，即使用户保持警惕，也不一定能够发现。

例如，去年7月，我们使用Cloudflare One产品套件和物理安全密钥挫败了一次针对Cloudflare员工的复杂“Oktapus”攻击。这次“Oktapus”攻击成功入侵了100多家公司，其攻击者将“cloudflare-okta.com”发送给我们的员工前40分钟才注册该域名。

当时，我们的安全域名产品发现了这些钓鱼域名——但是，在收到用于监测的新注册域名列表前存在一定延迟。今天，通过流式传送Cloudflare 1.1.1.1解析器(及其他解析器)解析的新域名，我们能够几乎即时检测到钓鱼域名。这让我们取得了先机，从而能够在网络钓鱼企图发生之前予以阻止。

我们希望将内部使用的同一工具提供给客户，以帮助客户应对当前挑战。

Cloudflare安全中心全新推出的品牌保护和防钓鱼工具

我们正在将通过自动识别并屏蔽所谓的“易混淆”域名这一功能扩展到为Cloudflare One客户提供的防钓鱼保护方案之中。攻击者往往会注册带有常见错误拼写(cloudfalre.com)和服务连接(cloudflare-okta.com)这类容易让人混淆的域名，藉此来欺骗毫无防备的受害者提交密码等隐私信息。Cloudflare推出的一系列新工具将可以为用户提供额外的一层保护来防范这些欺诈企图。

全新推出的品牌保护和钓鱼防护工具位于Cloudflare安全中心，向客户提供更多可控制选项(例如自定义监控字符串，可搜索的历史域名列表，等)。Cloudflare One计划可使用该工具，其控制、可见性和自动化级别会因所选计划类型而有所不同。

全新域名品牌匹配和警报

全新品牌保护功能的核心是我们检测专门为钓鱼合法品牌而创建的主机名这一能力。首先，通过筛查每日对Cloudflare公共DNS解析器1.1.1.1发出的数万亿DNS查询，我们监测某个域或子域的首次使用，从而编制一个首次使用的主机名列表。

通过使用这个列表，我们根据用户的已保存模式实时执行“模糊”匹配(一种技术，用于匹配两个意义或拼写相似的字符串)。我们比较字符串，并根据各种因素(例如读音、距离、子字符串匹配)计算相似度分数。通过这些已保存的模式(可能是带有编辑距离的字符串)，我们的系统能够在检测到与列表中任何域的匹配时生成警报。

虽然我们的用户目前必须创建和保存这些查询，但我们将在日后引入一个自动匹配系统。该系统将简化为用户进行匹配检测的过程，但自定义字符串仍可用于安全团队跟踪更复杂的模式。

历史搜索

除了实时监控，我们还提供了历史搜索(已保存的查询)和对过去30天内新发现域的警报。当创建一个新模式时，我们将列出最近30天的搜索结果，以显示任何潜在的匹配。这允许安全团队快速评估新域的潜在威胁级别并采取必要的行动。

此外，这种搜索机制还可以用于专门的域搜索，为可能需要调查特定域或模式的安全团队提供了额外的灵活性。

全网观察：遭到最多钓鱼攻击的品牌

在构建这些全新品牌保护工具时，我们想通过以下经常遭到钓鱼攻击的品牌对我们的新工具进行能力测试。为此，我们仔细查看了包含钓鱼URL的域名在我们的1.1.1.1解析器上被解析的频率。所有用于共享服务(例如托管网站谷歌、Amazon、GoDaddy)，无法被验证为钓鱼企图的域名，都被从数据集中删除。

下表列出了我们发现的前50个品牌，以及最常被用于对这些品牌进行钓鱼的域名之一。

【1】钓鱼站点往往通过特定的URL而不是根域名提供服务，例如，hxxp://example.com/login.html而不是hxxp://example.com/。这里没有提供完整的URL。

将威胁情报监测能力与Zero Trust的实施部署相结合

对于使用我们Zero Trust产品套件的客户来说，这一新功能变得更加有效。事实上，只要通过创建Cloudflare Gateway或DNS策略规则检测到易混淆的域名，您就可以轻松阻止它们。这将立即阻止您的用户解析或浏览潜在的恶意站点，从而挫败攻击。

持续的优化与迭代

Cloudflare将会为用户带来更丰富的品牌保护和防钓鱼安全产品组合，而上述的新功能仅仅是一个开始。

匹配SSL/TLS证书

除了与域进行匹配之外，我们还计划与记录在我们的Certificate Transparency(CT)日志——Nimbus中的新SSL/TLS证书进行匹配。通过分析CT日志，我们可以识别可能用于钓鱼攻击的潜在欺诈证书。这是有帮助的，因为证书通常是在域名注册后不久创建的，试图通过支持HTTPS为钓鱼网站提供更多合法性。

托管列表的自动填充

虽然现在客户可以通过脚本更新Zero Trust阻止规则中引用的自定义列表，但正如上面提到的，我们计划自动将域添加到动态更新的列表。此外，我们将自动将匹配的域添加到可以在Zero Trust规则中使用的列表中，例如：从Gateway阻止。

域所有权和其他元数据的变化

最后，我们计划提供监视域所有权或其他元数据(如注册者、名称服务器或解析的IP地址)变化的能力。这将使客户能够跟踪与他们的域相关的关键信息的变化，并在必要时采取适当的行动。

立即开始

如果您是Enterprise客户，欢迎立刻注册品牌保护的测试版，获得对自有域名的专门扫描，保存查询并为匹配域名设置警报。

相关推荐: 国际快递UPS“红单”和“蓝单”区别有多大，你知道吗？

（图片来源：图虫创意） 发国际快递的商家经常会看到UPS“红单”、“蓝单”，那么红单和蓝单到底是什么意思，它们又有什么区别？ UPS国际快递中，“红单”和“蓝单”都是在邮寄包裹时填写的一种面单标记，用以区分卖家发的快递是什么服务。 很明显，它们之间最直观的差异…