短信钓鱼全揭秘:DNS追踪揪出网络犯罪老巢
一条短信引发的故事
你肯定遇到过这种情况。手机震了一下,点开一看:"您的包裹投递失败,请点击这里重新安排。"看起来挺正规的,还挺急的,大拇指已经不自觉地悬在链接上方了——脑子还没反应过来呢。
但你可能不知道,就这么轻轻一点,你的登录密码、银行账号,甚至信用卡信息,全都有可能暴露。更重要的是,链接背后的那个 domain,可能藏着更大的秘密——有组织的网络犯罪、自动化攻击套件、成千上万的受害者。
所以这事儿不只是一个链接的问题。我们真正要聊的,是现代网络犯罪分子怎么搭建可扩展的攻击基础设施,以及 defenders 怎么利用 DNS 数据来提前发现他们。
Smishing:用"土办法"偷"高科技"
smishing 就是短信钓鱼(SMS phishing 的缩写)。这东西之所以管用,是因为它精准打击了我们的心理弱点,而且是在我们最私密的设备上动手。
想想看,email 咱们现在多少都有点警惕心了——毕竟这么多年安全培训不是白训的。但短信不一样,短信让人觉得亲近。我们每天平均要看 96 次手机,回消息的速度也比其他渠道快得多。
攻击者当然懂这些。他们还发现一件事:手机浏览器的地址栏默认是隐藏的,想看清楚网址到底是不是真的,挺费劲。电脑上看到可能觉得可疑的链接,放手机上就觉得没什么大不了。
但 smishing 最可怕的地方在哪呢?这不是单纯的机会主义行为。很多短信诈骗背后是有组织的行动——有专门的 infrastructure,有反复使用的套件,有系统化的目标筛选。
顺着数字痕迹找线索:DNS 的情报价值
安全研究员看到一个可疑 domain(比如最近研究中出现的那个假冒 USPS 网站)时,他们看到的不仅仅是一个网站——而是一个网络节点。
DNS(Domain Name System)就像是互联网的电话本。里面藏着大量对 defenders 有用的情报。
调查一般是这样展开的:
第一步:锁定 Infrastructure
smishing 行动一开始,攻击者得先把东西托管起来。他们注册 domain、指向服务器、配置 SSL 证书。每一步都会在 DNS 数据里留下痕迹。通过 Censys、Shodan、PassiveTotal 这些工具,研究员可以发现:
- 哪些 IP 地址在托管恶意内容
- domain 是哪天注册的(能推断出行动时间)
- 还有哪些 domain 用了同样的 hosting infrastructure
- SSL 证书的规律——能看出是不是用了自动化套件
第二步:找规律
一次 smishing 行动很少只用一个 domain。攻击者会不停轮换 domain,为的是躲过 blocklist、延长行动寿命。通过分析多个 domain 的 DNS 记录,研究员能识别出:
- Name server 规律:很多套件开发者用同一家 DNS 服务商,这就成了指纹
- IP 聚类:多个恶意 domain 经常指向同一批服务器 IP 段
- TTL 异常:TTL 值很短的话,说明 domain 频繁更换,容易逃避检测
- Subdomain 结构:自动化套件生成的 subdomain 通常有可预测的规律
第三步:串联 campaigns
这一步可能是最有价值的——DNS 分析能揭示攻击背后的组织结构。研究发现,一个 smishing 套件开发者同时操控着多起看似独立的行动,分别针对不同地区、用不同的诱饵主题(包裹投递、海关费、地址核验等)。
这种组织情报对 defenders 非常重要。如果发现美国的"包裹投递"类 smishing 可能和其他地区的类似活动有关联,说明这是个值得去打击的集中式 operation。
这事儿跟你有什么关系
你可能会想:"我又不开网络安全公司,干嘛要关心什么 DNS 侦探工作?"
但现实是:如果你的用户正在被 smishing 活动盯上——不管是不是冒充你们品牌——最后背锅的还是你的公司。用户被冒用你们公司名字的短信骗了,信任度直接下降;客服得接一堆惊慌失措的电话;如果是受监管行业,还得面对监管机构的质询——问你到底有没有保护好客户。
搞清楚这些攻击是怎么运作的,你才能:
部署 Domain 监控:设置告警,一有新注册的 domain 长得跟你家的很像就通知你。很多攻击者就是赌用户不会注意到那些细微的拼写差异。
培训用户:你理解了 infrastructure 之后,才能做出更有效的安全意识培训。"真真正的投递通知长这样,验证方法是这些"——比一句"不要点可疑链接"有说服力多了。
分享情报:如果你发现了针对用户的 smishing 活动,去举报。共享威胁情报,整个生态都更安全。
选对 Registrar:不是所有 domain registrar 在安全方面都一样靠谱。找那些提供 domain locking、双因素认证、主动 abuse 监控的。
大局:AI 时代的 domain 安全
现在 AI 辅助开发和" vibe coding "越来越火,web 开发本身是更民主化了。但这个便利性攻击者也能用。自动化套件可以大规模生成以假乱真的钓鱼页面,AI 工具能写出更逼真的诈骗话术。
这让 DNS 情报变得比以前更关键。区分合法 infrastructure 和恶意 infrastructure 的那些规律不会消失——只会进化。我们作为 defenders,也得跟着进化。
在 NameOcean,我们非常重视 domain 安全。你在我们这里注册 domain,不只是买了个名字——是找了一个了解威胁态势、愿意帮你保护数字资产的合作伙伴。
最后:保持好奇,保持警惕
下次你再收到"包裹投递失败"的短信,不妨多停留一秒。这条消息不仅仅是一个诈骗尝试——它是一扇窗,让我们得以窥见跨越大陆、影响数万受害者的有组织网络犯罪。
搞清楚这些 operation 是怎么运作的,从支撑它们的 DNS infrastructure,到自动化它们的套件开发者,我们就能成为更好的 defenders。保护好我们的用户、我们的业务、我们的数字生态。
DNS——这本互联网的电话本,其实一直在讲故事。问题是我们有没有在听。