虽然出自 ICANN 组织域名滥用活动报告系统的3月份报告显示,被认定用于网络钓鱼、恶意软件分发以及僵尸网络命令与控制的二级通用顶级域名 (gTLD) 的数量普遍减少,但大量报道指出,犯罪分子正在利用全球新冠肺炎 (COVID-19) 疫情在网络上发起恶意活动。此外,也有大量报告指出,涉及 COVID-19 相关域名的 DNS 滥用现象激增。
为反映不仅需要在 ICANN 章程和 ICANN 社群制定的政策的约束下解决滥用问题,而且还需要依照当地法律法规要求,ICANN 组织始终从多个角度全方位回应 DNS 滥用问题。一般情况下,ICANN 合同合规部(ICANN 合规部)负责施行 ICANN 政策和协议(包括《注册管理机构协议》(RA) 和《注册服务机构认证协议》(RAA))中规定的合同要求,首席技术官办公室 (OCTO) 负责提供主题问题专业技能,而全球域名分部 (GDD) 则负责与签约方合作,促使注册管理机构和注册服务机构依照合同要求和共识性政策要求提供服务。
对于与 COVID-19 相关的滥用问题,ICANN 组织内的这些部门已将涉及 COVID-19 的 DNS 滥用列为优先处理事项,并正在努力与各自所在的社群合作以帮助减少这方面的新威胁。相关威胁包括网络钓鱼、商业电子邮件诈骗、恶意软件分发、诈骗以及许多其他类型的攻击。有时,犯罪分子会以所谓的新冠病毒治疗方法和个人防护设备为诱饵引诱互联网用户泄露其访问凭证和机密信息。此外,攻击者有时还会传播虚假信息或者用恶意软件感染毫无防备的用户的设备。遗憾的是,很多这些恶意活动都是使用或利用域名发起的,为此,互联网社群中有人在询问 ICANN 在阻止这些滥用行为中应发挥什么作用。
OCTO 采取的措施
OCTO 内部的安全、稳定与弹性小组构建了一个可帮助识别利用新冠疫情的滥用域名的系统。该系统可查找与”冠状病毒”、”新冠肺炎”、”疫情”、”新型冠状病毒”等术语相似或包含这些术语的域名,一旦识别出这些域名,便会根据多个可信度较高的威胁情报源对这些域名进行评估,以确定它们是否牵涉到网络钓鱼和/或恶意软件分发。如果牵涉到此类活动,则会将该系统收集的域名和数据与有权利采取相应行动的相关方(如注册服务机构和注册管理机构)共享,在某些情况下还需与国家执法机构和国际执法机构共享。为确保最大限度地提高可信度并尽可能避免误报,目前正在对该系统进行内部测试,此外,我们也一直都在与众多社群成员合作,以确保该系统生成的报告符合其报告要求,进而确保他们能够根据报告及时采取适当措施。
除了开发这个新的分析和报告平台之外,OCTO 内部的团队成员还与来自多个国家和地区的数百名私营公司研究人员以及执法官员一同加入了 COVID-19 网络威胁联盟(CTC)和 COVID-19 网络威胁情报联盟(CTI 联盟)。这两个团体会分享有用的威胁信息,重点会分享在网络领域针对新冠疫情做出的回应。如同 ICANN 通过其事故响应和安全团队论坛 (FIRST) 与事件响应社群合作,并通过信息传递、恶意软件和移动反滥用工作组(M3AAWG)、反网络钓鱼工作组(APWG) 以及国家网络取证和培训联盟 (NCFTA) 与威胁研究和运营安全社群合作一样,ICANN 主要还是通过提供主题问题专业技能和促进致力于解决 DNS 滥用问题的相关方之间的交流来为这两个团体提供支持和协助。
ICANN 合规部采取的措施
如前所述,ICANN 合规部负责施行 ICANN 政策和协议(包括《注册管理机构协议》(RA) 和《注册服务机构认证协议》(RAA))中规定的合同要求。ICANN 合规部还与 OCTO 密切合作,以促进识别 DNS 安全威胁(网络钓鱼、恶意软件分发以及僵尸网络命令与控制),并找到与这些威胁相关的签约方。ICANN 合规部使用在审计过程中收集到的数据(有关更多详细信息,请参阅下方内容)来评估注册管理机构和注册服务机构是否履行了 DNS 安全威胁相关义务。除了通过审计收集的数据之外,ICANN 合规部还会利用由 OCTO 和其他机构收集到的数据,主动与负责处理大量 DNS 安全威胁的注册管理机构和注册服务机构接洽并开展合作。如果无法达成建设性合作,ICANN 合规部将毫不犹豫地对拒绝履行 DNS 安全威胁相关义务的人员采取强制措施。
为了应对当前的 COVID-19 疫情,ICANN 合规部正在筛选含有与该疫情相关术语的投诉,并将优先处理这些投诉。需要特别指出的一点是,ICANN 组织从未获得互联网内容监管权,也从未打算获得此授权以成为互联网内容的监管者。在这方面,ICANN 合规部深知,内容问题不应与 RA 和 RAA 中包含的 DNS 安全威胁相关义务混为一谈。
为处理滥用投诉,ICANN 合规部花费了大量时间和精力。从 2019 年 3 月至 2020 年 3 月期间,ICANN 合规部收到了 1,500 多起滥用投诉。大多数投诉都在非正式解决流程中得到了解决,因为注册服务机构能证明其已按照 RAA 要求采取适当措施来调查和回应所报告的滥用问题。在未构成违规处罚的投诉中,约有 10% 的投诉导致提交给 ICANN 合规部的投诉中涉及的域名被暂停使用。
此外,从 2014 年 1 月 1 日至 2020 年 1 月 31 日期间,ICANN合规部向注册服务机构发出了 42 份违规通知,其中有通知指出相关注册服务机构未在其网站上发布用于接收滥用报告的电子邮件地址或发布接收、处理和跟踪滥用报告的程序说明,或者同时未发布这两者。在解决这些违规通知的过程中,ICANN合规部还发布了:
- 五份终止注册服务机构认证的通知;
- 其中一个注册服务机构在收到违规通知后自愿终止其认证。
- 四份暂停注册服务机构认证的通知。
下面列出了 ICANN 合规部施行的一些滥用相关条款:
- 注册管理运行机构有义务在其与注册服务机构的协议中纳入一项条款,以规定注册服务机构与注册人签署的协议须禁止注册人参与某些活动,并要求注册人承担参与这些活动的后果,包括域名被暂停。对未能在其与注册服务机构的协议中纳入所需条款的注册管理运行机构,ICANN 合规部有权直接采取强制措施(《注册管理机构基本协议》规范 11 3(a))。
- 注册管理运行机构需要定期开展技术分析,以评估 gTLD 中的域名是否被用于造成安全威胁,如网址嫁接、网络钓鱼、恶意软件和僵尸网络。此外,注册管理运行机构还需要维护关于识别出的安全威胁数量的统计报告,包括根据在协议期限内定期进行安全检查所得出的结果而采取的措施,并应请求向 ICANN 提供这些报告的副本(《注册管理机构基本协议》规范 11 3(b))。
- 根据 RAA 第 3.18 节,注册服务机构必须:
- 及时采取合理措施对报告的滥用问题进行调查,并做出适当回应;
- 审阅由执法机构、消费者保护机构、半官方机构或其他类似权威机构提交的有充分依据的非法活动(相关定义,请参阅 RAA)报告;以及
- 公开发布滥用问题联系人信息和滥用报告处理程序,以便用户了解如何向注册服务机构提交滥用报告以及相关机构将如何处理这些报告。
- 在调查有效的滥用投诉时,ICANN 合规部要求注册服务机构阐明他们是如何调查和回应报告的滥用问题,并提供可用作其处理方式支撑依据的域名使用策略和滥用策略的链接或者副本。
- ICANN 的合同合规审计项目通过例行向注册管理机构和注册服务机构提出问题来确定这些机构是否遵守规定,其中有些问题涉及滥用行为,通过这种方式,不仅可以解决问题中涉及的滥用行为,还可能有助于解决其他类型的滥用行为。ICANN 合规部也将其最近的审计重点放在 DNS 滥用上。
- 去年,ICANN 合规部开展了一项有关注册管理运行机构应对 DNS 安全威胁的审计工作。这项审计工作评估了注册管理机构对合同规定的履行情况,包括对《注册管理机构基本协议》中规范 11 3(b)(如上所述)的履行情况。ICANN 合规部将对其认证的注册服务机构进行审计,以评估其履行 DNS 安全威胁相关义务的情况。在进行这些审计时,ICANN 合规部将利用 OCTO 开发的技术平台来识别 DNS 安全威胁,并找到与这些威胁相关的签约方。
ICANN 合规部号召发现域名被用于实施 DNS 滥用行为(尤其是与 COVID-19 相关的 DNS 滥用行为)的相关方将问题报告给相关注册管理机构和注册服务机构,如果认为签约方未能及时妥善处理其报告的滥用问题,则可向 ICANN 合规部提交投诉。ICANN 合规部希望向注册服务机构报告 DNS 滥用问题的人员参考由注册服务机构利益相关方团体发布的指南。
GDD 采取的措施
全球域名分部 (GDD) 与 gTLD 注册管理机构和 ICANN 认证注册服务机构保持着业务合作关系,负责向这些机构提供服务以帮助他们履行合同义务。通过合作,GDD 将签约方的活动与 ICANN 组织和社群的各个部分联系起来并进行协调,从而帮助抵御 DNS 安全威胁和其他形式的 DNS 滥用。
本月初,我向 gTLD 注册管理机构和注册服务机构发送了电子邮件,感谢他们为减轻和最大限度地减少遭到恶意利用和滥用的与新冠疫情相关的域名所做的努力。注册服务机构利益相关方团体最近发布了一份很有用的指南,该指南名为”注册服务机构应对 COVID-19 危机的方法”,其中提供了一些注册服务机构社群在开展相关工作时可使用的步骤和资源。
GDD 正密切关注与 COVID-19 相关的滥用行为及其对域名行业的影响。在此特别要指出的是,GDD 团队最近就注册服务机构如何及时保护在续订域名时遇到困难的注册人提供了指导意见。GDD 已请求与签约方代表开展进一步讨论,以更好地理解、应对和解决签约方和注册人所面临的问题,并探索可行的解决方案。
后续工作
要打击滥用行为,则需要为具有合法权益的相关方提供一种可预测和可靠的域名注册数据访问机制。在欧盟《通用数据保护条例》(GDPR) 框架下,ICANN 组织将继续努力澄清 gTLD 域名注册数据的统一访问模型是否符合欧盟法规这一问题。对于执法机构和安全从业人员而言,为保护互联网用户免受犯罪分子利用 COVID-19 疫情或任何其他新型威胁进行的欺诈和犯罪活动的侵害,具有域名注册数据的访问权限至关重要。ICANN 社群通过《gTLD 注册数据临时规范》快速政策制定流程 (EPDP) 来定义集中访问模型的各个元素,为此,已经花费了大量的时间和精力。为确定这种访问模型是否可以及如何在不违背 GDPR 的情况下提供有效的注册数据访问机制,ICANN 组织和其他机构还花费了大量的时间和精力向欧洲数据保护理事会寻求指导意见。到目前为止,ICANN 社群尚未收到来自欧洲数据保护理事会的指导意见。
ICANN 组织将继续评估为确保向所有互联网用户提供稳定和安全的域名系统所需的其他方法和工具。请务必采取必要措施来保护您的系统,并保持警惕,以抵御可能会出现的恶意攻击。通过采取标准的”网络安全”做法,例如不点击未经请求的电子邮件中的链接、验证电子邮件”发件人”地址是否与预期发件人相一致、警惕包含错别字或奇怪语法的电子邮件、在回应电子邮件或电子邮件中包含的链接时不提供任何类型的凭据、对未经请求的电子邮件中的声明持怀疑态度等等,有助于大幅降低您遭受 DNS 滥用攻击的可能性。
社群的健康运行和安全是 ICANN 组织的一项首要任务。不论是在线上还是线下,都请注意安全,以减慢 COVID-19 的传播速度并阻止犯罪分子利用全球 COVID-19 疫情发起恶意活动。