域名受理註冊機構CSC(Corporation Service Company)發布了第三份年度域名安全報告,發現四分之三的「富比世2000大企業」沒有採取關鍵的域名安全措施,這使他們面臨很高的安全威脅風險。
此外,75%的相似字形域名都被不相關的第三方註冊。許多世界級的大品牌都面臨著與他們的品牌相似的惡意註冊域名。這些虛假域名註冊的目的是利用對目標品牌的信任來發起網路釣魚攻擊或其他形式的數位品牌濫用與智慧財產侵權。
CSC的研究報告概括:
- 137家公司(6.8%)的域名安全得分為0:沒有部署任何域名安全措施會使這些公司面臨各種攻擊的風險,包括DNS劫持、個資外洩、網路釣魚和勒索軟體攻擊以及商業電子郵件詐騙(Business Email Compromise,BEC)。
- 45%使用企業域名註冊商的公司部署了域名鎖 (Registry Lock):域名鎖是一種非常經濟有效的方法,可以保護域名免受意外或未經授權的修改或刪除。使用個人註冊商的公司只有5%部署了域名鎖。
- DMARC的使用是今年唯一有顯著增加的安全措施:網路釣魚的新聞不斷增加,包括受害數量和複雜性,因此以網域為基礎的訊息驗證、報告和一致性(Domain-based Message Authentication, Reporting & Conformance,DMARC)的使用在過去一年增加了12個百分點就不足為奇。然而,其他安全措施,如域名鎖、域名系統冗餘(Redundancy)技術、DNS安全擴展(DNSSEC)和DNS憑證頒發機構授權(DNS Certification Authority Authorization,CAA)記錄,都成長有限。
CSC數位品牌服務執行長Mark Calandra表示:「這份報告顯示,雖然已經取得了一些進展,但大多數上榜的富比世2000大企業仍然忽視了域名基本安全措施的全面執行。」
CSC的報告還發現,82%註冊相似字域名的第三方正積極掩蓋他們的身份。這表明他們可能有不良企圖。此外,可以用來發送釣魚郵件或攔截電子郵件的MX記錄,在2021年使用率為43%,2022年提升為48%。
相關連結:CSC(2022). 2022 CSC Domain Security Report Finds Nearly Three-Quarters of Global 2000 Companies are at Alarmingly High Risk of Exposure to Security Threats. CircleID. 檢自:https://circleid.com/posts/20221118-csc-domain-security-report-finds-nearly-three-quarters-of-global-2000-companies-are-at-alarmingly-high-risk-of-exposure-to-security-threats (Dec. 12, 2022)
