2026 年 4 月,我們的威脅研究團隊識別出一個龐大的技術支援詐騙網路。最初僅是網域控制器 (DC) 上的一條可疑 DNS 解析,最終揭開了一個低成本、高效率基礎設施濫用的典型案例。
1. 「主排鍵」指紋
其子網域是透過人為鍵盤亂碼敲擊而非演算法生成的。我們根據字元頻率分析歸納出三種操作風格:
| 操作員風格 | 指標特性 | 範例 |
|---|---|---|
| 主排鍵主導型 | 超過 65% 的字元為 A S D F J K L | gbukukkaksdjfkasj… |
| 頂排鍵主導型 | 超過 40% 的字元為 Q W E R T Y | gityuiuyt66… |
| 底排鍵主導型 | 超過 40% 的字元為 Z X C V B N | nbvcxcghjmmn… |
2. 基礎設施經濟學
攻擊者利用 Laravel Forge 來管理其詐騙網站。僅需 每月 12 美元,他們即可獲得:
- 透過 Cloudflare 獲得受信任的 HTTPS 憑證。
- 無須聲譽審查即可獲得即時子網域。
- 自動化 Git 部署,能在數秒內將模板推送至 90 多個站點。
3. 瀏覽器鎖死「陷阱矩陣」
詐騙頁面利用多種規避參數(ph0ne=, Anph=, bcda=)和瀏覽器層級的 API 來阻止使用者關閉分頁,並透過成人內容背景與音訊循環引發恐慌。
4. RMM 移交
關鍵在於,詐騙頁面本身不含惡意軟體。破壞發生在電話通話或 Tawk.to 聊天過程中,操作員會誘騙受害者安裝 ScreenConnect 等遠端存取工具。
5. 關鍵發現與入侵指標 (IOCs)
預設電話: 0800-088-4932
參數: ?ph0ne=, ?Anph=, ?bcda=, ?Kuph=
基礎設施: Laravel Forge, Cloudflare CDN, Tawk.to
結論
最強大的防禦是行為監控。請密切注意內部伺服器是否解析隨機託管子網域,隨後是否有來源於非授權中繼站的 RMM 工具部署。技術是合法的;但意圖是欺詐。
關於 Guardz
Guardz 為管理服務提供商 (MSP) 和 IT 專業人士提供一個人工智能驅動的網絡安全平台,專門設計來保護小型企業免受網絡攻擊。我們的統一檢測與響應平台能夠全面保護用戶、電子郵件、設備、雲端目錄和數據。透過簡化網絡安全管理,我們讓企業能夠專注於發展業務,同時減少安全管理的複雜性。Guardz 結合強大的網絡安全技術和豐富的專業知識,確保安全措施持續受到監控、管理和改進,預防未來的攻擊並降低風險。
關於Version 2
Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。
