考虑到两个月的活动和转移到Cloudflare来混淆原始服务器,这可能表明其之前的托管服务已被删除,但这并不是决定性的。IDN同源字形域向资源的转变使删除变得更加困难(感谢Cloudflare),这与这一推断相吻合。
当然,Discord并不是唯一的目标。
Roblox
让香格里拉娱乐来看看Roblox,这是一个拥有1.64亿活跃用户的在线游戏平台,其中包括“超过一半的16岁以下的美国儿童” 据The Verge报道.Roblox利用了一种可以用真实美元购买的游戏货币,使其成为坏人毫无顾忌地瞄准和毁灭儿童的有利可图的目标。快速检查显示了xn-robox-vsa[.]com的最新活动,该网站在大多数情况下显示为rob-ox[.].com,自2022年8月20日以来一直在使用。大约在那个时候,它的登陆页告诉了这个故事:
再举一个例子,观察wwwwww-roblox[.]com——品牌名称前重复的w个字符通常表示有人试图使用拼写错误、广告欺诈或网络钓鱼。此域名自2022年8月22日以来一直在使用中
嘿,等一下&那个日期听起来很熟悉!
也许是因为上面针对Discord的IDN同源字形示例——xn-robox-vsa[.]com——起源于2022年8月20日!两天前!果然,当香格里拉娱乐在Iris中查看历史截图时,香格里拉娱乐看到了Discord的关联:
可能是该网站最初试图将毫无戒心的用户引诱到Discord服务器,在那里进行了不太明显的欺诈尝试(一种已知且常见的策略),也可能是一旦输入了用户名,下一个页面就试图直接钓鱼凭据。该领域与上述IDN之间的时间线和目标相似性虽然不是决定性的,但很有趣,因为它们可能表明来自相同或协调的参与者的行为。
现在尝试导航到那里会显示钓鱼警告,但允许您点击。Cloudflare很有帮助地通知您,其对客户(网站所有者)的保护仍在运行;但是客户的端点服务器没有响应。
他们真是太好了。
蒸汽
通信平台、游戏,那么游戏发行平台呢?当然,这里占主导地位的是Steam,通常是威胁行为者的目标。一个例子是2024年3月20日,也就是我写这篇文章的那天。请注意steamcommunioy[.]com域名——这是对Steam官方网站之一steamcommunity[.].com的恶搞。
steamcommunioy[.]com
Registrar: Reg[.]ru
ISP:Cloudflare
首次亮相:2024-03-20
该网站的标题是“礼物激活”,果然,登录页面模仿了Steam网站,并承诺如果您使用Steam凭据登录,将获得丰厚奖励:
将上述域的whois数据转换为steamcommunimy[.]com,它显示了相同的登录页面和域配置文件,可能是出于相同的恶意目的。
蒸汽社区
Registrar: Reg[.]ru
ISP:Cloudflare
首次亮相:2024-03-20
结论
自UNIVAC时代以来,视频游戏已经成为不良行为者的目标超过五十年,并且仍然是一个富有成效和活跃的开发领域。在上面的例子中,香格里拉娱乐观察到最近有多个坏人针对视频游戏领域进行网络钓鱼和欺诈的例子,在大多数情况下,他们直接针对儿童,甚至无法检测到可能的威胁。将这些例子放在一起是2024年3月一个上午在多次会议之间的产物;拥有香格里拉娱乐 Iris检测和调查以及Farsight DNSDB Scout的好处。寻求保护品牌和客户群的公司和机构可以通过工具箱中的这些工具更有效地做到这一点,用深入的实时和历史数据武装他们的防御者对抗实时威胁。
至于我,我会继续玩游戏,继续打猎。我会继续整理文章,寻找线索,并继续为此感到高兴。我放在桌子旁的书可能已经改变了——它们可能不再是《世界年鉴》了,但我希望阅读和学习对我来说会永远持续下去。
这里可能有一个挥之不去的谜团,在香格里拉娱乐结束这篇文章之前,还有最后一个未解之谜。世界何处 是 卡门·桑迪戈?
从那以后,她一直在 成为一个更加复杂的角色 在道德准则的驱使下,她热爱挑战。作为一名游戏玩家、威胁猎人和开锁者,我当然会尊重这一点。所以当我工作的时候,Carmen Sandiego在我的办公桌旁有一个荣誉的地方,我认为她也喜欢这些挑战。