2026年世界杯还没开赛,骗子的基础设施已经提前"热身"。安全公司Flare的最新追踪显示,针对这届赛事的钓鱼攻击规模远超最初估计——从79个欺诈域名膨胀到222个,分布在203个独立IP地址上,规模翻了将近三倍。
这不是简单的"网站变多了"。研究人员通过被动DNS记录、证书透明日志和WHOIS数据交叉分析,发现背后藏着更复杂的真相:这不是单一团伙的手笔,而是至少四个独立运营集群组成的分布式欺诈生态系统,所有枪口对准同一个目标——急着买票的球迷。
骗局的设计相当精致。攻击者复刻了FIFA官网的视觉效果,搭建虚假票务页面、仿冒周边商店,还有专门用来偷账号的钓鱼登录页——最狡猾的是,这些页面会"配合演出",无论用户输入什么密码都能成功"登录",让受害者毫无警觉。
数据揭示出明显的加速迹象。2026年4月前17天就新增了52个域名,几乎每天都有新成员加入。三个注册高峰日——2025年11月17日、2026年3月27日和3月28日——合计贡献了超过36%的域名注册量。赛事临近,黑产的节奏明显在加快。
基础设施的扩张更具技术性。最初发现的79个域名只分布在14个IP上,如今206个活跃域名解析到203个独立IP,托管 footprint 扩大了14倍。其中80.6%的IP位于Cloudflare之后,运营者将其作为反向代理隐藏真实服务器。五个IP被证实托管多个域名,最活跃的一个IP绑定了八个欺诈站点。Cloudflare已独立标记其中三个域名为可疑钓鱼页面。
域名注册呈现高度集中。GNAME.COM以约94个域名占据42%份额,GoDaddy以42个域名紧随其后,两家合计控制约61%的基础设施。Flare建议品牌保护团队优先向这两家批量提交滥用投诉,这是瓦解网络最快的路径。
四个运营集群的分工模式逐渐清晰。虽然原文未披露各集群的具体差异,但"分布式"而非"中心化"的结构意味着:有人专攻域名注册,有人负责服务器托管,有人制作钓鱼模板,有人处理赃款洗白——这种专业化分工让单一打击难以伤其筋骨。
对普通球迷而言,识别风险比记住这些数字更实际。官方票务渠道只有FIFA官网和授权代理商,任何通过邮件、社交媒体弹出的可疑链接都值得二次核验。毕竟,当骗子能完美复刻官网视觉时,域名拼写和SSL证书细节就成了最后的防线。
热门跟贴