关于防范利用非主流二级域名进行钓鱼攻击的风险提示

近期，公共互联网反网络钓鱼工作组接到相关部门的网络安全预警，一种利用特定子域名后缀进行仿冒的网络钓鱼攻击事件呈高发态势。虽然主管部门与反钓鱼工作组已启动专项处置，但攻击手法不断翻新，仍需广大网民提高警惕，学会甄别“李鬼”网站。

伪装成Chrome下载的钓鱼网站

一、事件背景：隐蔽的“批量生成”攻击

近期，网络安全监测发现，黑产团伙利用某些二级域名后缀的批量注册特性，实施大规模的网络钓鱼。这些团伙通过算法自动生成海量的高仿真钓鱼子域名（例如：mb-google-chrome.***），专门伪装成正规软件下载站，通过技术手段霸占搜索引擎结果前列，诱导用户上当。

二、攻击手法解析：SEO投毒+银狐木马

此次攻击的主要目标是诱导用户下载被篡改的软件安装包，其技术路径如下：

诱饵投放（SEO投毒）：黑产利用搜索引擎优化（SEO）技术进行“投毒”。通过技术手段，让这些伪装的钓鱼网站霸占搜索引擎结果的前列（特别是“推广”或靠前的自然排名），伪装成正规的软件下载站。

目标锁定：攻击者重点关注高频软件，如Chrome浏览器、WPS Office等。用户在搜索这些关键词时，极易被诱导点击。

恶意捆绑（银狐木马）：用户如果误信并点击下载，实际上下载的是捆绑了“银狐”远控木马的恶意程序。

危害后果：一旦中招，黑客即可远程控制受害者的电脑。这不仅会导致个人隐私、账号密码被盗取，甚至可能利用受害设备作为跳板，发起更广泛的网络攻击。

三、公众防范指南：三看识破“李鬼”

为了规避风险，除了依赖官方的封堵措施外，公众需掌握以下核心识别技巧：

一看后缀（识别生僻域名）：警惕小众或其他非主流后缀结尾的网站。正规软件官网通常使用规范的国家顶级域名或通用顶级域名。

二看前缀（警惕冗余字符）：警惕域名前缀过长、结构复杂的网站，如以mb-、kn-等开头，或包含大量连字符的域名。正规官网域名通常简洁、易记，符合品牌名称。

三看渠道（坚守官方入口）：下载软件时，务必通过官方应用商店或直接在浏览器输入已知的、正确的官网地址访问。切勿轻信搜索引擎结果中所谓的“高速下载”、“官方下载”等诱导性按钮，这些往往是钓鱼网站的陷阱。

作者：芦笛中国互联网络信息中心