2026 年 4 月,我們的威脅研究團隊識別出一個龐大的技術支援詐騙網路。最初僅是網域控制器 (DC) 上的一條可疑 DNS 解析,最終揭開了一個低成本、高效率基礎設施濫用的典型案例。
1. 「主排鍵」指紋
其子網域是透過人為鍵盤亂碼敲擊而非演算法生成的。我們根據字元頻率分析歸納出三種操作風格:
| 操作員風格 | 指標特性 | 範例 |
|---|---|---|
| 主排鍵主導型 | 超過 65% 的字元為 A S D F J K L | gbukukkaksdjfkasj… |
| 頂排鍵主導型 | 超過 40% 的字元為 Q W E R T Y | gityuiuyt66… |
| 底排鍵主導型 | 超過 40% 的字元為 Z X C V B N | nbvcxcghjmmn… |
2. 基礎設施經濟學
攻擊者利用 Laravel Forge 來管理其詐騙網站。僅需 每月 12 美元,他們即可獲得:
- 透過 Cloudflare 獲得受信任的 HTTPS 憑證。
- 無須聲譽審查即可獲得即時子網域。
- 自動化 Git 部署,能在數秒內將模板推送至 90 多個站點。
3. 瀏覽器鎖死「陷阱矩陣」
詐騙頁面利用多種規避參數(ph0ne=, Anph=, bcda=)和瀏覽器層級的 API 來阻止使用者關閉分頁,並透過成人內容背景與音訊循環引發恐慌。
4. RMM 移交
關鍵在於,詐騙頁面本身不含惡意軟體。破壞發生在電話通話或 Tawk.to 聊天過程中,操作員會誘騙受害者安裝 ScreenConnect 等遠端存取工具。
5. 關鍵發現與入侵指標 (IOCs)
預設電話: 0800-088-4932
參數: ?ph0ne=, ?Anph=, ?bcda=, ?Kuph=
基礎設施: Laravel Forge, Cloudflare CDN, Tawk.to
結論
最強大的防禦是行為監控。請密切注意內部伺服器是否解析隨機託管子網域,隨後是否有來源於非授權中繼站的 RMM 工具部署。技術是合法的;但意圖是欺詐。
關於 Guardz
Guardz 為管理服務提供商 (MSP) 和 IT 專業人士提供一個人工智能驅動的網絡安全平台,專門設計來保護小型企業免受網絡攻擊。我們的統一檢測與響應平台能夠全面保護用戶、電子郵件、設備、雲端目錄和數據。透過簡化網絡安全管理,我們讓企業能夠專注於發展業務,同時減少安全管理的複雜性。Guardz 結合強大的網絡安全技術和豐富的專業知識,確保安全措施持續受到監控、管理和改進,預防未來的攻擊並降低風險。
About Version 2
Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.
