前网络安全沙皇鲁迪·朱利安尼(Rudy Giuliani)在推特上成为拼写错误者的攻击目标,原因是他在许多公开推文中出现了大量拼写错误和其他键盘错误。在周日发出的一条推文中,朱利安尼打算把他的65万多名粉丝吸引到他的新网站RudyGiulianics.com上。相反,在“Rudy”后添加的空格向用户发送了一个重定向请求,最终落在了带有广告软件的网页

受害它一直被用来利用那些手指笨拙的人所犯的错误。输入错误的URL通常会导致用户进入404错误页面,但它会被重定向到一个完全不相关的网站——通常是出于恶意设计的。例如,假设你在浏览器的地址栏中输入了yotube.com而不是youtube.com。你看到的不是正常的YouTube门户网站,而是通过一些广告网络进行重定向,很可能最终进入一个骗局页面,这多亏了有胆识的拼写错误者的便利工作。

拼写拼写是一项有利可图的业务,因为威胁行动者会注册词汇接近大品牌或流行网站的域名,以获得大量流量。最终目标并不总是通过游戏盈利正如大家所知道的那样重定向——它可能是网络钓鱼,数据盗窃,甚至是黑客行动主义。

在朱利安尼的案例中,一位公开的政治人物因其推特上充斥着错别字而被网络犯罪分子盯上。事实上,朱利亚尼的Twitter帐户在他的个人网站周围包含大量拼写错误的推文,有时会导致恶意攻击或重定向到恶意广告计划。我们研究了其中几个例子。

打字错误导致政治挑衅

这是一个推特是用iPad从朱利亚尼的账户发送的。写这条推文的人忘了在"看"和" rudygiulianics.com "之间加空格。

结果,该网站变成了Watchrudygiulianics.com,在推特发布一天后注册了该网站:

域名:watchrudygiulianics.com注册商:GoDaddy.com, LLC创建日期:2020-02-16T05:23:50Z

访问该网站立即将用户转到https://www.drugrehab.com/treatment/,一个帮助药物滥用的网站。

在另一个例子,我们发现朱利安尼的网站出现了一个更微妙的拼写错误,在RUDYGIULIANCS.com中少了一个i(正确的网站是rudygiulianics.com)。

域名rudygiuliancs.com也是最近注册的(但在这条推文发布之前,所以它要么是为了防备即将出现的拼写错误,要么就是已经出现了拼写错误)。

域名:rudygiuliancs.com注册商:Wild West Domains, LLC创建日期:2020-02-07T16:30:38Z

这一次,访问这个链接将访问者重定向到维基百科页面特朗普-乌克兰丑闻:

恶意广告和其他交通计划

如前所述,typosquaters通常会监视流行的域名,并注册可能是由于拼写错误造成的新域名。因为朱利安尼在推特上有超过65万的粉丝,而且是一个经常出现在头条的知名政治人物,骗子们知道他是一个很好的潜在网络流量来源,仅仅是拼写错误。

在周日的例子中,一个打印错误导致了一个恶意广告计划。这时间,“Rudy”和“Giulianics.com”之间插入了一个空格。

这个拼写错误导致了一个链接到Giulianics.com,该域名是在一月底注册的。

域名:giulianics.com注册商:GoDaddy.com, LLC创建日期:2020-01-31T20:29:50Z

如上图所示,一旦您访问该域,将发生一系列重定向。这是典型的恶意广告链指纹您的浏览器和其他设置,以交付适当的有效载荷。

在这个例子中,通过谷歌Chrome从美国访问,我们被提供了一个名为隐私浏览的浏览器扩展:

虽然我们没有详细检查扩展,一些评论来自谷歌Play Store的用户表示,该扩展是在浏览网页时被迫使用的。

除了其他功能外,它还可以读取你的浏览器历史记录、你在网站上输入的数据,并可以更改你的默认搜索引擎。根据经验,一般建议不要安装太多的浏览器扩展,特别是当它们通过不必要的重定向被提升时。

在一月底,有一个报告访问朱利安尼的网站散布恶意软件我们当时无法确认,但鉴于目前的打字错误情况,我们认为更有可能是一条包含错误链接的推文导致了恶意广告链,而且很可能是浏览器储物柜。

监控热门账户的错误

我们在野外看到的许多攻击都是机会主义的,祈祷最新的新闻或可能引起注意的事件。人们对流行的社交媒体账户也一直很感兴趣,但通常是直接黑掉它们。在这种情况下,机会主义者等待下一次输入错误的发生,以便推出自己的信息或通过恶意重定向从中获利。

这提醒我们,即使是知名的或经过认证的社交媒体账户也会将用户引向意想不到的方向,导致诈骗或恶意软件。从某种意义上说,任何形式的交流都可能被滥用,通过识别可预见的错误模式并立即对其采取行动,从而为攻击者自己谋利。

对于那些想要保护这些重定向和其他恶意网站活动,Malwarebytes提供了一个必威平台APP免费的浏览器扩展这对阻止恶意广告和其他可疑计划采取了积极的立场。