,全球中文釣魚網(wǎng)站趨勢分析報告（2014年）互聯(lián)網(wǎng)域名管理技術(shù)國家工程實驗室中國反釣魚聯(lián)盟（APAC ）反釣魚工作組（APWG ）2015年6月

全球中文釣魚網(wǎng)站趨勢分析報告

（2014年）

互聯(lián)網(wǎng)域名管理技術(shù)國家工程實驗室

中國反釣魚聯(lián)盟（APAC ）

反釣魚工作組（APWG ）

2015年6月

全球中文釣魚網(wǎng)站趨勢分析報告

目 錄

一、總體情況 ........................................................... 1

1. 網(wǎng)絡(luò)釣魚定義 ....................................................... 1

2. 本報告的統(tǒng)計范圍和統(tǒng)計方法 ......................................... 1

3. 重要數(shù)據(jù)摘要 ....................................................... 2

二、釣魚網(wǎng)站數(shù)量統(tǒng)計 ................................................... 2

三、釣魚域名統(tǒng)計情況 ................................................... 3

1. 釣魚網(wǎng)站頂級域分布趨勢 ............................................. 4

2. 頂級域中文釣魚指數(shù) ................................................. 5

3. 釣魚域名及注冊商分布趨勢 ........................................... 6

四、釣魚網(wǎng)站在新通用頂級域中的分布情況 .................................. 8

五、釣魚網(wǎng)站攻擊品牌分布................................................ 9

七、釣魚網(wǎng)站活躍時間 .................................................. 11

致謝 .................................................................. 12

全球中文釣魚網(wǎng)站趨勢分析報告

一、總體情況

1. 網(wǎng)絡(luò)釣魚定義

網(wǎng)絡(luò)釣魚（phishing ，和釣魚的英文fishing 發(fā)音相同），是指攻擊者通過垃圾郵件、即時通信、社交網(wǎng)絡(luò)等信息載體，發(fā)布欺詐性消息，騙取網(wǎng)絡(luò)用戶訪問其構(gòu)建的仿冒網(wǎng)站（即釣魚網(wǎng)站），引誘用戶泄露其敏感信息（如用戶名、口令、賬號、ATM PIN 碼或信用卡詳細(xì)信息）的一種當(dāng)前極為流行的網(wǎng)絡(luò)攻擊方式。被攻擊的用戶，輕者泄露個人隱私，重者遭受經(jīng)濟(jì)損失。

本報告“中文釣魚網(wǎng)站”指針對國內(nèi)品牌（淘寶、中國工商銀行、湖南衛(wèi)視等）的釣魚網(wǎng)站。

2. 本報告的統(tǒng)計范圍和統(tǒng)計方法

《全球中文釣魚網(wǎng)站趨勢分析報告_2014年》匯總并統(tǒng)計了2014年全年在全球范圍內(nèi)針對中國網(wǎng)站和用戶的中文釣魚攻擊事件。其使用的數(shù)據(jù)主要由三部分構(gòu)成：中國反釣魚聯(lián)盟（APAC ）的成員舉報數(shù)據(jù)，互聯(lián)網(wǎng)域名管理技術(shù)國家工程實驗室的釣魚檢測數(shù)據(jù)和反釣魚工作組（Anti-phishing Working Group，APWG ）會員全球范圍內(nèi)舉報的中文釣魚數(shù)據(jù)。其中，APWG 貢獻(xiàn)的全球中文釣魚數(shù)據(jù)占到總數(shù)據(jù)量的20.4。

本報告針對釣魚網(wǎng)站數(shù)量的統(tǒng)計是基于釣魚URL 進(jìn)行的，即包括主機(jī)名和路徑名在內(nèi)的完整的釣魚URL 只要和其他釣魚URL 不完全相同，則認(rèn)定為一個獨(dú)立的釣魚網(wǎng)站。采取該種統(tǒng)計方法，而不是直接統(tǒng)計釣魚主機(jī)數(shù)量的原因如下：1. 存在同一個釣魚主機(jī)下掛載了多個仿冒不同目標(biāo)品牌的釣魚網(wǎng)頁的情況；2. 存在正常主機(jī)下面的子頁面被篡改為釣魚站點

1

全球中文釣魚網(wǎng)站趨勢分析報告

的情況；3. 網(wǎng)絡(luò)安全工具針對釣魚攻擊的防護(hù)主要是基于完整URL 進(jìn)行訪問攔截。

3. 2014全球中文釣魚網(wǎng)站重要數(shù)據(jù)摘要

? 近三年來，全球中文釣魚網(wǎng)站數(shù)量逐年上升。2014年全年，針對中文網(wǎng)民的釣魚

網(wǎng)站數(shù)量為55063個，同比2013年有所下降，但仍居于高位。7月份，釣魚網(wǎng)站數(shù)量達(dá)到峰值。

? 2014年全球中文釣魚網(wǎng)站使用最多的前三位頂級域為：.COM 、.TK 、.PW ，占全年

釣魚網(wǎng)站總量的78.4。

? 每10000個注冊域名中出現(xiàn)中文釣魚網(wǎng)站比例最高前十個頂級域分別為：.CF 、.PW 、.

ML 、.GA 、.EDU 、.SX 、.CC 、.GD 、.BI 、.TL ，其中.CF 、.ML 、.GA 均為提供免費(fèi)注冊服務(wù)的頂級域。.CF 釣魚網(wǎng)站出現(xiàn)比例最高，達(dá)到228?10000。

? 322例釣魚網(wǎng)站使用新通用頂級域，包括. XYZ 、.WANG 、.SEXY 、.CLUB 。

? 2014年釣魚網(wǎng)站攻擊品牌統(tǒng)計前三位分別為：淘寶，中國工商銀行，湖南衛(wèi)視，

占釣魚網(wǎng)站總量的92.1。

? 2014年中文釣魚網(wǎng)站平均活躍時間為33.1小時，全球釣魚網(wǎng)站平均活躍時間為

31.2小時。

二、釣魚網(wǎng)站數(shù)量統(tǒng)計

2014年，共發(fā)現(xiàn)中文釣魚網(wǎng)站55063個，較之2013年有所下降，但仍居于高位。圖1描述了全球中文釣魚網(wǎng)站數(shù)量按年統(tǒng)計趨勢。該圖顯示近兩年的中文釣魚網(wǎng)站數(shù)量同比2012年大幅增加。網(wǎng)絡(luò)釣魚已成為威脅網(wǎng)絡(luò)安全的突出問題，網(wǎng)絡(luò)安全形勢與挑戰(zhàn)日益嚴(yán)

2

全球中文釣魚網(wǎng)站趨勢分析報告

峻。

圖1

：全球中文釣魚網(wǎng)站數(shù)量按年統(tǒng)計趨勢

圖2描述了2014年全球中文釣魚網(wǎng)站數(shù)量按月統(tǒng)計趨勢，其中2014年7月份，釣魚網(wǎng)站數(shù)量達(dá)到峰值。

圖2：2014年全球中文釣魚網(wǎng)站數(shù)量按月統(tǒng)計趨勢

三、釣魚域名統(tǒng)計情況

除了極少數(shù)直接使用IP 地址提供訪問的釣魚網(wǎng)站以外，絕大部分釣魚網(wǎng)站采用域名作為其網(wǎng)站的訪問入口。

3

全球中文釣魚網(wǎng)站趨勢分析報告

1. 釣魚網(wǎng)站頂級域分布趨勢

2014年，全球中文釣魚網(wǎng)站共涉及143個頂級域，同比2013年增長13個。

圖3:

中文釣魚網(wǎng)站頂級域數(shù)量變化趨勢

2014年釣魚網(wǎng)站數(shù)量最多的前三位頂級域為：.COM 、.TK 、.PW ，占釣魚網(wǎng)站總量的78.4。和歷史數(shù)據(jù)一樣，.COM 域名依然是2014年全球中文釣魚網(wǎng)站數(shù)量最多的頂級域。

圖4：釣魚網(wǎng)站頂級域分布

排名前三位頂級域具體分布和按月趨勢如圖5所示：

4

全球中文釣魚網(wǎng)站趨勢分析報告

圖5：釣魚網(wǎng)站使用的主要頂級域按月統(tǒng)計趨勢

2. 頂級域中文釣魚指數(shù)1

為了更合理的分析各頂級域中釣魚網(wǎng)站的出現(xiàn)比例與分布情況，我們進(jìn)一步統(tǒng)計了“頂級域中文釣魚指數(shù)”，以描述某頂級域中文釣魚網(wǎng)站的集中程度。

頂級域中文釣魚指數(shù)=

某頂級域的中文釣魚域名數(shù)量某頂級域域名注冊總量

?10000，

（即每10000個域名中出現(xiàn)中文釣魚域名的數(shù)量）

表1：頂級域中文釣魚指數(shù)TOP10

從表1中可見，中文釣魚指數(shù)較高的頂級域中，.CF 、.ML 以及.GA 等頂級域注冊機(jī)構(gòu)

1

該指數(shù)參照APWG 報告《Global Fishing Survey: Trends and Domain Name Use in 1H2014》中的指

標(biāo)”Phishing Domains per 10,000”。

5

全球中文釣魚網(wǎng)站趨勢分析報告

提供免費(fèi)域名注冊服務(wù)，均由Freenom 進(jìn)行管理和運(yùn)行?？梢?，寬松的域名注冊和審核機(jī)制，以及低廉價格甚至免費(fèi)注冊的域名，更容易被釣魚者注冊用于釣魚。

本報告進(jìn)一步分析了，在國內(nèi)應(yīng)用最為廣泛的.COM 和.CN 域名的中文釣魚指數(shù)，其中.COM 的頂級域中文釣魚指數(shù)為2.56，而.CN 的頂級域中文釣魚指數(shù)為1.57，可見.CN 注冊域名用于中文釣魚的概率更低?？紤]到大多數(shù)的.CN 注冊域名用于中文網(wǎng)站服務(wù)，而境外域名更多用于境外語種網(wǎng)站服務(wù)，本報告認(rèn)為：對國內(nèi)網(wǎng)民而言，訪問.CN 域名的網(wǎng)站風(fēng)險更低。

3. 釣魚域名及注冊商分布趨勢

圖6：全球中文釣魚網(wǎng)站數(shù)量及域名數(shù)量變化趨勢

2014年，全球中文釣魚網(wǎng)站數(shù)量為55063個，其中獨(dú)立域名數(shù)為48835個，可見有相當(dāng)一部分域名被多個釣魚網(wǎng)站使用。

經(jīng)分析，重復(fù)使用次數(shù)最高的前十位域名如圖7所示。其中，findhere.org 被全部被用于仿冒中國工商銀行進(jìn)行釣魚攻擊；t.cn 、tinyurl.com 是有關(guān)機(jī)構(gòu)推出的短網(wǎng)址服務(wù)，即可以將冗長的URL 變?yōu)榭s短的網(wǎng)址。建議相關(guān)機(jī)構(gòu)加強(qiáng)對釣魚URL 的審查與檢測，避免短網(wǎng)

6

全球中文釣魚網(wǎng)站趨勢分析報告

址服務(wù)被濫用。

圖7

：多次用于釣魚網(wǎng)站的域名

為進(jìn)一步了解釣魚攻擊者利用域名的方式和方法，本報告對釣魚網(wǎng)站的域名進(jìn)行分類： 圖8：釣魚網(wǎng)站分類

在全球發(fā)現(xiàn)的55063個中文釣魚網(wǎng)站中，惡意注冊類為42460個，占全部釣魚網(wǎng)站總量的77，所謂的惡意注冊類，指域名符合以下的其中一個或幾個條件：1）注冊后不久即被用于釣魚攻擊；2）包含品牌名稱；3）包含容易誤解為某個品牌名稱的字符串；4）由同

7