前几天,在我平常的搜索过程中,我偶然发现了一个看似普通的网站网络,这些网站旨在欺骗银行、金融机构、石油和天然气公司以及其他大公司。所有网站共享相同的注册电子邮件地址(r.clarko@outlook.com)。许多网站已经被它们所欺骗的公司关闭或接管,还有一些网站被停在那里,没有任何恶意内容。这似乎是一个相对没有出路的研究主题,直到我注意到一个领域在其他领域中脱颖而出:lunaxtracker[.]com。
Lunax Tracker之所以吸引我,有几个原因:首先,它是列表中仅有的。com顶级域名之一。第二,大多数其他域名都注册在同一个注册人的名字和地址下,而这个域名是在WhoIs Guard下注册的。第三,它不符合欺骗大型知名组织的模式。我觉得值得深入研究一下。
在谷歌上快速搜索Lunax Tracker,发现它与一家名为“Lunax Group”的公司有关。乐动体育官网下载这个网站本身至少看起来很奇怪,但实际上并没有太多关于该公司是做什么的线索。乐动体育官网下载他们在追踪什么东西,但没说是什么。
再次搜索Lunax Group让我对这家公司有了更好的了解,该公司自称是一家总部位于欧洲的物流和货运公司。乐动体育官网下载这个网站本身有点钓鱼,但提供了关于这个特定组织的更多线索。
查看这个网站的页面源代码,我发现它使用了WordPress,这让我发现有一个名为“caseyjoe”的WordPress用户在Lunax Group网站上发布了这些页面。此外,还有一个免责声明页面,包括一个电话号码和一个有趣的电子邮件地址:info.trxservices@gmail.com。我在谷歌上查找trxservices,被引导到一个看起来合法的业务,不幸的是,它似乎与这个诈骗网络无关。
我决定从“caseyjoe”开始,在Iris中搜索与这个名字相关的域名。我立刻发现了一个有趣的域名——trxservices[.]org。
围绕相关的电子邮件地址,我找到了两个相关的域名,都与TRX服务组相关。
这两个域名现在都已经关闭了,但在时空机器上快速搜索后,我们发现了一个有趣的发现——这些网站和Lunax集团目前的网站一模一样,甚至连粗略的免责声明页面和“灵活性”部分都写着,奇怪的是,你是一个特殊的实体。
回到Iris,我决定进一步深入研究trxservices。我查看了历史的WhoIs信息,其中确定了另一个相关的电子邮件地址,我已经审查了,因为它似乎不相关。
以这封电子邮件为中心,我们发现了一个包含250多个域名的网络,其中大多数域名似乎都是针对Lunax Group和TRX Services的欺诈行为,而且这些域名注册在同一个人名下,而他使用的是一家我从未听说过的公司的管理电子邮件地址。乐动体育官网下载查找该公司,我发现这是一家总部乐动体育官网下载设在加纳的公司(在这种情况下,所有相关域名都注册给加纳人),首席执行官与注册人同名,该公司专门从事网站设计和域名注册。
对我来说,这个网站的注册电子邮件似乎与为人们注册这些欺诈域名的个人有关,而不一定是骗子本人。我决定把我的搜索重点放在Lunax集团本身会更有好处。
Lunax Group与几个不同的国家有联系,如果你相信他们网站上所有不同的页面——他们说他们在加拿大注册,他们的地址在比利时,域名在加纳注册。Lunax集团在欧洲和加拿大的商业注册中心都没有任何记录。欧洲注册表上有另一个名为Lunax Digital的集团的条目,该集团似乎是一家与Lunax集团无关的合法企业。加纳没有加拿大和欧洲那样的企业登记处,但它有一个企业目录网站;然而,Lunax集团也没有在中国上市。
看看r.clarko@outlook.com注册的其他域名,就会掉进另一个兔子洞。其他一些域名似乎与航运和货运有关,包括sandboxonline[。我们和santrustcourier[.]我们。
第一个是《sandboxonline》。,就会转到一个自称是一家位于纽约布鲁克林的航运公司的网站,该网站提供联邦快递运输、美国邮政运输乐动体育官网下载和邮箱租赁等服务。它还有一个跟踪页面,看起来与Lunax Tracker页面非常相似。然而,尽管看起来是合法的网站,有一些线索证明这确实是假的,可能是一个骗局。
首先,搜索所提供的地址,可以发现该地址曾经有一家名为Sandbox的公司;乐动体育官网下载然而,它早就倒闭了。还有其他沙盒地点开放,但这些地点有一个不同的网站(Sandbox [.]biz)。此外,这两个网站的跟踪功能明显不同,合法网站返回与主要运输公司(DHL, FedEx等)相关的数据,而骗局网站只返回“未找到”错误。最后,查看诈骗网站的页面源,可以发现它在注册时是从另一个网站镜像过来的。第二个站点,santrustcourier[。]我们,也是一个镜像的假。
更深入的研究表明,所有这些网站都有非常相似的跟踪页面,这是有原因的:WordPress有一个名为“WPCargo”的插件,提供了这些网站使用的默认跟踪页面,这更证明了这些网站不是合法网站的理论,因为它们没有自己的跟踪页面,也没有任何大型快递服务提供的跟踪页面。
在试图弄清楚这些航运网站的目的时,DomainTools研究团队在加纳发现了一种商业模式,这可能解释了这些网站的起源。个人将出售中国的电话号码、网站托管服务和模板,以便开展进口和转售业务,人们可以从中国购买物品,然后在本国转售,从中获利。与这种商业模式相关联的运输和跟踪站点看起来与上面描述的非常相似;然而,我们无法确认他们是否是这种商业模式的一部分,也无法找到一个销售进口商品的店面。此外,这篇文章中描述的一些网站反映并模仿了合法的航运网站和企业,并不总是独特的企业。
如果这些网站与进口和转售业务无关,那么这种虚假运输和货运服务网络的最终结局仍有待观察。似乎没有一个网站提供任何恶意软件,并要求任何PII。它们有可能被用于网络钓鱼活动,为一个摇摇晃晃的骗局增添一种合法性,但目前尚不清楚。这也有可能被用于更非法的事情,比如跟踪非法运输。对这一骗局的研究仍在继续。
收集的可疑数据点
域
sandboxonline(。)
santrustcourier(。)
lunaxtracker。com
lunaxgroup。com
电子邮件地址
r.clarko@outlook。com
joe.casey36@yahoo。com