震惊域名圈的惊天大瓜!
15 1712
终成 发表于 2024-1-29

以下内容来源于网络信息整合,目前尚不能证实真实性,请自行分辨。

我相信,喜欢看热闹是人类的本质,最近吃了两天的瓜,打算在博客分享一下。

两天前,在大佬论坛中,有大佬(简称曝光者)曝光了一件事,足矣震惊国内外的域名圈。

我整理了一下时间线,可能因为我看到的内容不多,所以这里从23年9月开始。在23年9月14日,一名海外用户在社交媒体上面发帖,说有人冒充他,向域名注册局发送邮件,成功接管了原本属于他的(d.pn)域名,在接管域名之后,该域名whois变更为王某某,也就是本件事情的主人公。

在5天后,也就是9月19日,王某某在国内社交软件的群聊中公布,其获得了域名x.st,并且该域名DNS已经改为王某某的了。

也就是说,在5天内,王某某获得了两个单字符域名,但是由于单字符域名价值较高,并且d.pn的原持有人声称域名被盗窃,且x.st原持有者一直无出售域名的打算,因此怀疑王某某通过不当手段获取了这两枚域名。

又过了4天,时间到了9月23日,王某某再次在社交软件的群聊中公布了他的新域名interesti.ng,该域名整体是有趣的意思(在域名圈内,该类型的域名被称为domain hack,指的是使用一个域名来拼写出一个网站名称或其它意思的单词)也是一种高价值的域名。

在这短短10天不到的时间内,王某某获得了三个高价值域名,立刻引起了曝光者的注意。同时曝光者监测到eveni.ng、exciti.ng、interesti.ng、lovi.ng、morni.ng等hack域名的whois信息也变成了王某某,这很匪夷所思,因为如果同时购买这些域名的话,那将会是一笔不小的花费,因此更让人觉得这些域名可能被王某某通过不正当手段获取了。

在2023年11月,曝光者无意间发现wm.mw的whois信息邮箱发生了变更,在2024年1月11日,曝光者发现wm.mw的whois邮箱再次变更,变成了王某某的。

同时曝光者注意到,在23年11月变更时的邮箱,与域名ho.st的邮箱一致,ho.st本是host.io这家域名数据提供商所使用的跳转域名,但邮箱突然变更,并且由于wm.mw再次变更的邮箱与王某某有关,因此曝光者猜测,这两枚域名可能也遭到了非法获取。

2024年1月15日,曝光者突然发现圣诞岛国家政府域名gov.cx的状态变为pendingTransfer,也就是域名正在转移中,作为一个政府域名,发生域名转移这件事很奇怪,于是曝光者继续查询,发现多个单字符、hack、单词等域名发生转移,包括但不限于e.hn、h.hn、o.hn、p.hn、whois.hn、i.sb、technolo.gy、ener.gy、x.cx、t.cx,同时这些域名都有一个特征,这些都是由CoCCA管理的域名。

曝光者发现之后,并没有第一时间向CoCCA反应这件事,而是继续监测,随后发现了4.gs、f.sb、k.hn等域名也发生了转移,这些域名被转入了一家名为InterCat Ltd的注册商,而该注册商就是本次事件当事人王某某的,后来4.gs域名再次转入国内的注册商西部数码,whois信息也变更为王某某,并且王某某在域名交流论坛大佬论坛中发布域名出售信息,在如此短的时间内发生转移,并且立刻发布交易信息,疑似有销赃变现的意图。

曝光者觉得不能再等下去了,于是迅速联系了 CoCCA 负责人以及 ho.st 的持有人 Ben Dowling,把他们掌握的情况告知了对方,而CoCCA获知这一情况后也立即与曝光者进行了交流,同时阻止了绝大部分域名的转移,并且CoCCA向曝光者展示了哪些域名出现了异常转移的情况。

但是很多域名都已经被成功转移,由于曝光者并不是原持有人,所以CoCCA希望曝光者能够帮忙联系原持有人,由原持有人向注册商或者CoCCA投诉,他们会以此对域名进行 “锁定”。

到目前为止,王某某疑似通过非法手段获取了单字符、hack域名、高价值域名的事情似乎实锤了。在此事曝光之后,大佬论坛中的东璃和何明两位大佬,也曝光了他们曾经在王某某那里购买了.sv单字符域名,但是王某某不协助变更持有者邮箱,并且王某某声称域名邮箱为当地信托律师邮箱,变更邮箱需要对方配合,但是何明在查询之后,发现该邮箱疑似王某某自己在用的邮箱。同时域名玩家卢东东曝光,曾经在王某某那里购买的.td单字符域名,没过多长时间域名就不属于他了,疑似王某某没有向注册局支付域名费用,导致域名被他人获得,对此王某某也没有进行任何退款操作。

在事情曝光到目前为止,当事人王某某依旧没有给出正面回复,目前只是看到他说的是从别的人手中收购来的域名,但没给出任何交易记录,也未对怀疑他非法窃取域名的帖子作出回应,不知道事情还会不会反转。

这件事已经震惊非主流域名圈了,根据目前曝光者提供的证据,我作为一个吃瓜群众,更相信曝光者发布的内容,而当事人王某某一直不回应,不知道是出于什么心态。最后想说的是,该是自己的东西那就是自己的,不该是自己的东西,那就别做梁上君子。

顺便提醒一下各位博主,保护好自己的域名,可以在注册商处开启注册商转移锁,避免域名被恶意转移。

以上内容为网络信息整合,真实性有待考量。
来源:【大佬论坛】⚠️注意:“域名大盗”出现,小心你们的域名了!

E N D
avatar
1 江苏省无锡市 移动
约 3 小时前 回复
avatar
自己的几个域名估计也没人会看得上,哈哈!
2024-02-28 21:30 回复
avatar
掌印 北京市 CNISP会员
中国实名制后不存在这个问题了
2024-02-04 17:59 回复
avatar
这都是老外没装反诈APP的后果
2024-02-01 00:07 回复
avatar
Jialuo Chen 美国 加利福尼亚州洛杉矶市Coperation Coloction数据中心
我的域名都不配被偷,哈哈哈。
2024-01-31 15:35 回复
commentator
终成 IANA
@Jialuo Chen:你也有不少好域名啊
2024-01-31 19:17 回复
avatar
八九 IANA
《 ゚Д゚》太吓银了,不过被盗的好像都是国别非主流域名 不知道对于主流域名需不需要做一些防范措施
2024-01-30 22:50 回复
commentator
终成 IANA
@八九:一般来说,主流域名或者新顶级的注册局都不会这么轻易的通过邮件回复转移码之类的,这些都是一些国别注册局,他们邮箱系统验证不行,没识别伪造的邮件
2024-01-31 09:34 回复
avatar
小乔 IANA
卧槽!
2024-01-30 20:42 回复
commentator
终成 IANA
@小乔:加了原文地址,可以去原文里查看详细内容
2024-01-30 21:01 回复
avatar
obaby 山东省临沂市 联通
社会工程学永不过时。
2024-01-29 20:33 回复
commentator
终成 IANA
@obaby:忘记说了他的盗窃方式。他使用伪造邮箱,伪造了域名持有人邮箱,给注册局发送邮件,可能需要了转移码,并且抄送给了自己的邮箱,注册局在回复原持有者的时候,也会自动给抄送的邮箱发去一封邮件,这样他可能就能拿到域名转移码了
2024-01-29 21:03 回复
commentator
时雨 美国 CloudFlare公司CDN节点
@终成:还能伪装😨,岂不是防不胜防?
2024-02-06 12:07 回复
commentator
终成 IANA
@时雨:邮件原文就能查到是不是真实邮箱了,而且大部分邮局系统是有防伪的。只能说小国注册局太不认真了
2024-02-06 12:15 回复
commentator
Study Club 上海市 电信CN2
@终成:也许是自己没配置好域名的SPF、DKIM等信息。
2024-02-19 11:59 回复