不斷變換網域名稱的詐騙網站:恭喜,您是今天的幸運贏家

哇,又中獎啦!朋友前幾天透過 Google 搜尋「河濱公園 功能」,把第一頁搜尋結果都用新分頁打開,看著看著,突然發現分頁上頭怎麼有紅色鈴鐺,寫著「獎!!!!」,看網頁上的圖案,可以獲得 Samsung Note 8 耶。有那麼好嗎?不要被騙囉,天下沒有白吃的午餐,這個頁面是透過某些技巧蹦出來的。造理說釣魚網站不會出現在搜尋結果的前幾頁,就算有也很快會被擋掉。合理懷疑是開啟其他網頁時連帶打開,有可能透過廣告,或透過惡意程式碼。

而當我拿到連結,準備要來分析的時候,網頁就不見了。仔細看看網域名稱,還滿有趣的耶,「cdn7-network17-server2」似乎藏著某種規律,壞蛋肯定是大量註冊網域名稱,用自動化工具將網頁佈署在不同的伺服器,接著不斷地更換 DNS,好隱藏行蹤。於是我就想來做個實驗,看看能不能找到樣本來分析。


這是當時的螢幕截圖,跳出個視窗「恭喜,您是今天的幸運贏家」,還說每天隨機選取 phone 從整個台北市來領取一個新的蘋果產品,是個限時活動,但背後是 Samsung 阿!反正玩後方轉盤遊戲肯定是會抽到大獎的 xdd

當時的瀏覽紀錄,搜尋「河濱公園 功能」之後,就打開了這個網頁,後來再次搜尋,把每個連結都打開,一無所獲。

剛剛那個網頁已經被 Google 列為詐騙網站。關閉阻擋實際打開,網站已經消失。


重現釣魚網站

既然網域名稱有規律,有著很多連不到的網址 (影分身),當然是要各個擊破,找出本體拉。讓我們去 GoDaddy 看看有哪些網域被註冊。

「cdn7-network17-server2」這個網域理所當然已經註冊了,接著就試試其他數字。啊哈,server 目前 1 到 10 有註冊,但 11 就沒註冊囉。

根據手動粗略的檢查,這批網域規則是「cdnX-network1X-serverY」,其中 X = 1~9,Y = 1~10,大概就是有 90 個網域名稱與伺服器。而這個成本滿便宜的,你看網域 .club 一年優惠只要 1.6 美金,而且大量購買還會有優惠。

有了這 90 個網域名稱以及子網域的規則,讓我們也來利用雲端資源,透過 Google Cloud Platform (GCP) 的伺服器來拜訪這些網址,希望能找到活生生的樣本。

可惜跑了許久,最後還是沒找到。最大的問題是子網域的規則,假如不是「bestXXXX」的話,就沒辦法填充數字去暴力搜尋,後來也證明我的想法是對的,子網域名稱換了 …

隔天睡醒,我再次搜尋關鍵字「河濱公園 功能」,把整排網頁打開,哇!出現了,好像中樂透彩,雀躍之情溢於言表阿 xdd 可惜連結點太快,不知道是哪個,再次搜尋卻又無法重現,嗚嗚嗚。

總之網址從 best 系列

best0969.cdn7-network17-server2

變成 app 系列

app9259.cdn7-network27-server2

看來網域不只我發現的那些,還有 network2X 等等。

網站有個抽獎動畫,下方則是假的 Facebook 留言板。沒轉到他會再給你繼續轉,直到中獎就會跳到我們熟悉的網頁「大贏家抽獎」,沒錯,要繼續騙你啦!最後也發現 DNS 換得很快,不到半小時的時間就連不上了,或許可以反猜網域怎麼跳,但我相信那是 Random,猜不到哈哈。相關內容請看我之前寫的文章,就不贅述囉,也希望大家多多留意,不要輕易地外洩個人資料。


反詐騙系列文章

平時會觀察網路行銷、雲端運算與資訊安全,同時也在思索人生的課題。當世界越快,心則慢,期許自己能靜靜閱讀,細細品味,然後好好思考。