Согласно анализу угроз, проведенному подразделением 42 Palo Alto Networks, набирает обороты мошеннический метод фишинга, называемый теневым копированием доменов. Он может быть даже более распространенным, чем предполагалось ранее экспертами по информационной безопасности. В период с 25 апреля по 27 июня 2022 года компания обнаружила, что 12 197 доменов были затенены для распространения вредоносного контента.

Теневой домен обычно представляет собой поддомен, тайно добавленный к обычно авторитетному домену, который будет отображать что-то похожее на настоящий сайт, хотя на самом деле это не так. Так, например, если вы зайдете на  "yourbank[.]com" и желаете войти в свою учетную запись, вы можете ничего не заподозрить. Тем не менее, эта страница может быть использована для кражи вашей регистрационной информации.

Далее в отчете следует, что свойства теневых доменов довольно сложны. Во многих случаях поддомены часто легко и быстро настраиваются, и обычно намеренно. Например, фирмы, занимающиеся веб-дизайном, намеренно будут запрашивать поддомен, если им вдруг понадобится редизайн для тестирования. В других случаях это может быть легитимно добавленная услуга, которая становится взломанной. Метод обнаружения для выявления аварийного блока подразделением Unit 42 включает несколько условий, которые необходимы для обнаружения. Он предполагает такие условия, как проверка того, соответствует ли субдомен шаблонам других субдоменов в домене, значительно ли IP-адрес, на котором возникает субдомен, отличается от исходного, как долго субдомен был активен и многое другое.

Есть несколько способов самостоятельно обнаружить теневые домены. Если вы являетесь владельцем домена, вы можете проверить, есть ли у вас поддомены, которые вы не распознаете в своих записях DNS. Если вы это обнаружили, измените свой пароль и, в некоторых случаях, свой безопасный доступ, а затем удалите эти поддомены. Если вы обычный пользователь, обратите очень пристальное внимание на адрес, по которому вы переходите по ссылке, если он находится в вашем электронном письме, и обратите особое внимание на то, кто на самом деле отправил сообщение. Кроме того, если вам будет предложено ввести логин, дважды проверьте адресную строку - если вы точно не помните нужное доменное имя, включая поддомен, не входите в систему. Вы можете даже связаться с организацией, в которой вы работаете или пытаетесь получить доступ к их веб-сайту, чтобы подтвердить детали своими собственными средствами. Например, если это ваш банк, позвоните в свой банк по номеру, указанному в выписке.