北京
每個月有35個偽造的政府網站上線,21個國家的公民在不知情的情況下下載"官方App",然后銀行賬戶被清空。這不是電影劇本,是Infoblox安全團隊和越南非營利組織Chong Lua Dao剛剛曝光的一條完整黑產鏈。
更魔幻的是,發送釣魚郵件的人自己也是受害者——他們被販賣到柬埔寨西哈努克市的K99凱旋城園區,在武裝看守下被迫工作。
一次DNS異常牽出的"惡意軟件即服務"帝國
事情始于Infoblox客戶網絡中異常的DNS流量 spike。安全研究員順著這條線索,發現了一個此前從未被記錄的惡意軟件即服務(MaaS,Malware-as-a-Service)平臺。
這個平臺運作得像正規SaaS公司一樣"專業":每月注冊約35個新域名,覆蓋印尼、泰國、西班牙、土耳其等21國。域名專門仿冒政府和銀行官網,界面做得足以亂真。
攻擊鏈條設計得相當"用戶友好":受害者下載假App后,要走完完整的KYC(Know Your Customer,實名認證)流程——上傳身份證、刷臉、錄視頻。 attackers 在這個過程中收割全套個人數據加生物特征,一魚多吃。
App裝上后,手機就成了透明盒子:短信被攔截(包括銀行驗證碼), attackers 還能直接操控正版銀行App完成轉賬。
整個流程不需要受害者輸入密碼或二次確認。錢沒了,很多人第一反應是銀行系統故障。
園區里的"客服":被販賣的技術工人
鏈條的末端,是K99凱旋城的幾棟建筑。這座位于柬埔寨西哈努克市的園區,去年已被聯合國點名涉及大規模詐騙和強迫勞動。
幾名被困工人設法聯系到Chong Lua Dao求救。被解救后,他們交出了內部群聊記錄、截圖和運營數據——證據鏈完整到可以直接當法庭證物。
這些材料證實:K99園區內部運行著一套服務化的惡意軟件分發體系,Infoblox追蹤的多個域名正是該體系的對外接口。換句話說,你收到的釣魚鏈接,可能是某個被關在房間里的人,在監控攝像頭下敲出來的。
園區運作高度軍事化。工人按"業績"分組,完不成指標面臨體罰或轉賣。技術崗位相對"吃香"——懂點代碼的人會被安排維護MaaS平臺,而不是打詐騙電話。
政商關系網:誰在給園區開綠燈
調查挖出了更棘手的層面。K99的準入不是有錢就能進,而是由一個小而緊密的群體控制,成員有政治背景。
浮出水面最顯眼的名字:Kok An參議員。公開記錄顯示他是柬埔寨商界資深人物,與執政黨關系深厚。園區運營需要電力、網絡、武裝安保,這些在柬埔寨都不是純商業能解決的事。
研究人員沒有直接指控Kok An參與犯罪,但指出這種"政治掩護"結構讓園區得以長期存在,即使國際壓力不斷。
這不是孤例。東南亞近年涌現大量類似"詐騙園區",從緬甸妙瓦底到柬埔寨西哈努克,模式高度雷同:武裝看守、強迫勞動、多國目標、政商勾連。K99的特殊之處在于,它把傳統電信詐騙升級成了工業化規模的MaaS服務——技術外包、客戶定制、持續迭代。
35個月后的下一個目標是誰
對普通用戶來說,這套攻擊最難防的點在于"官方感"。域名是.gov.xx的變體,App界面和正版幾乎像素級復刻,KYC流程甚至比某些正規銀行還繁瑣——越繁瑣,受害者越覺得"靠譜"。
Infoblox的建議很實際:政府機構和銀行應考慮主動監控相似域名注冊,而不是等釣魚網站上線后再封禁。但對個人,除了老生常談的"別點鏈接",似乎沒太多新招。
被解救的工人透露了一個細節:園區內部把目標國家分成"熱區"和"冷區",35的月注冊量會根據某國近期重大政策調整——比如養老金改革、稅務申報季——動態傾斜。攻擊不是隨機的,是算過ROI的。
當你的手機彈出"社保局"通知要求更新信息時,你怎么判斷對面是公務員還是被困在柬埔寨某個房間里、被迫每小時發送200條消息的人?
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
