Palo Alto Networks：網絡犯罪分子利用新冠肺炎疫情作惡

隨著新型冠狀病毒蔓延全球，疫情相關的話題備受關注。Palo Alto Networks威脅情報團隊Unit 42的研究人員發現，自2月初以來，與新冠肺炎相關的Google搜索量和URL瀏覽量大幅增加。網絡犯罪分子也正是利用這些熱門話題為誘餌牟利，在疫情當前的危難時刻，令數十億人的生活雪上加霜。

由於不法分子經常利用熱門話題作惡，Unit 42的研究人員密切監測網絡用戶對這些熱話及其相關新註冊域名的關注程度，以保障客戶安全。

透過使用Google搜尋趨勢和Palo Alto Networks的流量日誌，發現用戶對新冠肺炎相關話題的關注度暴增，並在2020年1月底、2月底及3月中旬達到高峰。

隨著用戶關注度上升，從2月到3月，與新冠肺炎相關的域名註冊量日均增長656%。同一時期，惡意的域名註冊增加569%，涉及惡意軟件和網絡釣魚；「高風險」的域名註冊增加788%，包括欺詐、非法開採加密貨幣，以及涉嫌與惡意網址有關或使用防彈主機（Bulletproof hosting）的域名。

截至3月底，發現116,357個與新冠肺炎相關的新註冊域名，當中2,022個為惡意域名，40,261個為「高風險」域名。

Palo Alto Networks根據域名的Whois信息、DNS記錄和屏幕截圖（由自動抓取工具收集）分類進行分析以檢測註冊活動，發現許多域名被惡意註冊並轉售牟利，當中一大部分被用於典型的惡意活動，或用於銷售短缺商品的詐騙網店。

其他濫用新冠肺炎疫情的典型惡意行為還包括：域名載有惡意軟件、釣魚網站、欺詐網站、惡意廣告、加密貨幣開採，以及用於提升不道德網站搜索排名的黑帽搜索引擎優化（Black Hat SEO）。當中檢測到許多使用新註冊域名的網店不僅試圖欺騙用戶，更有一類銷售手法極為不良的域名群組利用用戶對新冠肺炎的恐懼，進一步恐嚇他們購買其產品。此外，亦有一組以新冠病毒為主題的域名正使用高風險的JavaScript提供網域寄放服務，而這些JavaScript可能隨時會將用戶重新定向到惡意內容。

總結

網絡犯罪分子總會在地區、國家及全球大事期間，利用大眾的恐懼落井下石。遺憾的是，這類惡行相信不會很快消除。

大眾應該加倍提防任何以COVID-19為題的電郵或新註冊網站，不論該電郵或網站聲稱擁有疫情資訊、測試工具還是治療方法。用戶亦要特別留意域名的合法性和安全性，例如確保域名是合法域名（例如： google [.] com VS g00gle [.] com），而且瀏覽器的地址欄左側有「鎖」的圖示，確保有效的HTTPS連接。

對於任何以COVID-19為題的電郵都應該採取謹慎一致的措施：查看發件人的電郵地址，因為不正當的電郵往往並非從熟識的發件人發送、地址拼寫錯誤或過份冗長，或其內容是隨機出現的字符。

為保障用戶免受網絡罪犯分子攻擊，Palo Alto Networks認為以URL過濾禁止瀏覽「新註冊域名」是最佳的做法。然而，如果不能阻止瀏覽，對這些URL強制實施SSL解密以提高其可視性，阻止用戶下載諸如PowerShell和可執行檔案之類的危險文件類型，並使用更嚴格的威脅防護策略，在訪問新註冊域名時增加日誌記錄。建議使用DNS層保護，因為超過80%的惡意軟件都使用DNS建立C2。