资安业者公布全球最受骇客青睐的顶级网域名称，.zw、.bd、.ws、.tk你听过吗

资安业者Palo Alto Networks近日调查了全球恶意网域所使用的顶级网域名称（Top-Level Domains，TLD），发现骇客所使用的恶意网域名称，有超过9成集中在25个顶级网域名称上，而且特别偏好开发中国家的国家顶级网域名称（ccTLD），像是.tk、.pw及.ws等。

其实全球有超过一半的恶意网站依旧采用.com，原因不外乎是.com为全球最受流行的顶级网域名称，但Palo Alto Networks以恶意网域数量相比当地人口，另也采用平均绝对差（Median of the Absolute Deviation，MAD）的方法，突显出受到骇客青睐的顶级网域名称。

每个国家都可申请自己的国家顶级网域名称，例如.tk为南太平洋小岛托克劳（Tokelau）的ccTLD，它的面积只有10平方公里，人口约为1,500名；.pw为帕劳的ccTLD，面积为459平方公里，人口数为2.2万；.ws为萨摩亚的ccTLD，它是南太平洋的岛国，面积为2,934平方公里 ，人口约为20万。

Palo Alto Networks的调查显示，以这些国家的恶意网域名称与人口数的比率，与德国相较，.tk、.pw及.ws的人均恶意网域名称比率分别是德国.de的27万倍、2,372倍，以及610倍。

其中一个原因是，对某些开发中国家而言，网域名称的注册服务是它们主要的收入来源，例如托克劳（.tk）的网域名称注册收入占该国总营收的1/6；另一个原因是，当它们把ccTLD转交给注册商管理之后，注册商主要透过广告来获利，而免费提供相关网域名称的注册，再加上管理松散，而让.tk成为最受骇客欢迎的ccTLD。

除了ccTLD之外，Palo Alto Networks也采用MAD来计算所有TLD中的恶意网域所占比例，显示全球恶意网域名称比例最高的TLD前五名依序是：.zw、.bd、.ke、.am及.sbs；网钓网域名称比例最高的TLD为：.pw、.quest、.ke、.date及.cyou；恶意程式所使用网域名称比例最高的TLD为：.zw、.bd、.ke、.am及.cd；而骇客最爱用的C&C服务器的网域名称为：.cyou、.pw、.ws、.gq及.cf。

图片来源_Palo Alto Networks

令人好奇的是，有别于免费的ccTLD，在此一类别中不乏昂贵的TLD，例如.zw, .bd及.ke的注册费用，可能是.com的4到14倍。研究显示，看起来这些网域名称一开始的注册不是为了从事恶意行为，比较像是被骇客入侵而成为攻击跳板的。

Palo Alto Networks分析，这些地区的人均GDP比美国低了30~60倍，推测建立这些网站的个人或组织可能相对缺乏资源与资安专长，使得网站漏洞百出才被骇客相中。