基于虚假网游交易诈骗发现的域名端口攻防

 

近日,360手机先赔收到多起用户反馈因虚假网游交易被骗,随着对案件的深入研究发现,相比于以往常见的网游交易诈骗手法,还融入了黑帽SEO的渗透站群技术,整体骗术上更多变,攻防能力更强。目前,360已封堵了已知虚假网游交易平台使用的搜索黑关键词,但从手机先赔接到的用反馈情况来看,这种诈骗手法还在传播中……

 

以受害人视角还原被骗过程

用户在闲鱼、5173等二手交易平台、游戏大厅等渠道看到低价游戏账号、装备售卖、高价回收游戏账号信息。沟通后,对方表示为保证交易双方的利益,需要通过“正规”的交易平台进行交易。通过搜索指定的关键词,访问搜索结果里的网游交易平台。在网游交易平台充值后,购买对应的游戏账号/游戏装备,但平台方未提供对应的游戏账号及密码、游戏装备。联系客服后,客服以用户“未缴纳发货费”、“充值未带零头”为由,诱导继续充值。

 

以诈骗团伙视角剖析诈骗流程搭建

虚假网游交易平台站长,在售卖老域名的平台购买cn、pw不同后缀的域名、生成不同的子域名,绑定到ASP脚本的网站,生成钓鱼网站;黑帽seo人员,通过渗透网站使用内嵌关键词、外链,或通过站群等方式,提升虚假网游交易平台关键词在搜索引擎中排名;引流人员通过渠道发布低价游戏账号、装备售卖、高价回收游戏账号信息;客服人员使用话术,诱导用户继续充值,拒不给用户发货。

 

安全专家深度分析诈骗过程中的攻防手法

引流过程

为防止域名被拦截,与用户聊天过程中,并不会直接传播钓鱼网址;用图片代替文字,避免引起平台的风控机制。

域名攻防

通过搜索引擎访问,可看到网游交易平台页面。但复制网址使用浏览器再次访问,则无法访问。

域名使用1080等不常用的端口,若端口不正确,也无法正常访问网页。

查询相关域名对应的服务器,仅能看到开通了22、80、443、8888、11211端口,未发现上述的1080端口,此种方式可以限制非指定人群访问网站。

域名whois保护,多次倒手交易

n域名开启whois保护,仅能看到域名厂商默认的whois信息

n域名短期内从多个域名平台倒手,更换使用人信息

 

虚假网游交易诈骗产业现状的衍生分析

产业运作

传统意义上如果需要搭建一个网站,需要准备:域名,服务器,CMS程序,模板。网站搭建好,上线内容,进行搜索引擎排名优化。而在对虚假网游诈骗网站分析的过程中发现一个现象,一个诈骗团伙手里掌握了过万个网站(含子域名形式),都是诈骗团伙准备或者将要做到搜索引擎首页里使用的,足见诈骗团伙的规模、实力之强大。

应用原理

在深入分析后,这些现象背后使用的是黑帽seo中泛域名站点、泛端口、镜像站群方式。

泛域名:指的是生成无限个二级域名,均解析至同一个IP。利用泛域名,理论上短期内就可以生产无限个域名。

泛端口:指的是同一个域名利用服务器不同的端口生成大量域名。同时可以限制非正常用户的访问。

某工具提供的泛域名和泛端口设置界面

镜像站群:指的是全自动采集复制网站并自动优化的站群系统。

只需要准备域名和需要镜像站群目标站,添加到网站后台,瞬间就搭建一个和目标站一模一样的网站了。同时其还具备来路跳转功能,后端判断是用户访问还是搜索引擎,如果是搜索引擎则返回正常页面,用户则跳转到落地页。

框选部分为端口站群和来路跳转设置

反制手段

针对以上手法生成的域名端口,可利用端口批量扫描软件对端口进行批量解析。例如下图某平台的端口扫描,可指定端口范围进行扫描。

 

安全课堂

n不明身份人员发布的低价售卖游戏账号或装备的信息,这往往是骗子散播虚假消息的说辞。

n避开正规平台要求使用指定的交易网站,极有可能是骗子搭建的虚假网站。

n网站提现失败、资金冻结,要求用户联系“客服”,以各种理由要求充值的情况,都可能是陷阱。

n切勿轻信带有广告性质的视频或弹窗,而随意购买装备或进行网游充值。

(完)