Chuyển thẳng đến nội dung chính
Quay lại trang Tin tức
ĐIỀU TRA NHIỀU VỤ ÁN

Kẻ lừa đảo không phải là tin tặc: Phân tích 4 hệ thống backend, tất cả đều bị xâm nhập một cách dễ dàng

Firebase · Supabase · Express.js · Drainer-as-a-Service · Tháng 2 năm 2026

Vạch trần cơ sở hạ tầng lừa đảo
19,000+
Cụm từ hạt giống bị đánh cắp (1 chiến dịch)
4
Có quyền truy cập đầy đủ vào các hệ thống backend
0
Yêu cầu xác thực
267+
Các tên miền lừa đảo có liên quan

 Lưu ý: Đây là phân tích, không phải sự chỉ trích

Tất cả những nội dung được trình bày trong bài viết này là kết quả của phân tích thụ động và dữ liệu công khai. Không có hệ thống nào bị xâm nhập. Không có quy trình xác thực nào bị vượt qua. Trong từng trường hợp, chính việc cấu hình sai của những kẻ lừa đảo đã khiến cơ sở hạ tầng, dữ liệu nạn nhân và danh tính hoạt động của chúng bị phơi bày trước bất kỳ ai chỉ cần nhìn qua. Mọi khóa API đều được tìm thấy trong các gói JavaScript công khai. Mọi cơ sở dữ liệu đều được mở rộng rãi theo thiết kế của chính các nhà điều hành. Chúng tôi ghi chép lại điều này không phải để chỉ trích — mà để chứng minh rằng những kẻ đang đánh cắp tiền điện tử của bạn thậm chí còn không thể bảo quản được chính những dụng cụ của mình.

 Luận điểm chính: Những kẻ “Script Kiddies” sử dụng các công cụ đánh cắp được

Trong nhận thức của công chúng, vẫn tồn tại một lầm tưởng dai dẳng rằng những kẻ lừa đảo trực tuyến chính là những “hacker” — những thiên tài công nghệ có khả năng xâm nhập vào các hệ thống một cách khéo léo và tinh vi. Điều này là sai.

Những kẻ lừa đảo tiền điện tử hiện đại là những kẻ tấn công nghiệp dư sử dụng các bộ công cụ mua sẵn. Họ mua các gói “Drainer-as-a-Service” với giá từ 200 đến 500 đô la, triển khai chúng trên các dịch vụ lưu trữ miễn phí hoặc giá rẻ, rồi chỉ biết cầu mong nạn nhân của họ không phát hiện ra. Họ không viết mã. Họ không hiểu gì về mạng. Và họ chắc chắn cũng không hiểu gì về bảo mật.

Chúng tôi biết điều này bởi vì vào tháng 2 năm 2026, PhishDestroy đã phân tích 4 đường dây lừa đảo hoạt động độc lập — và trong mọi trường hợp, chúng ta đều có thể:

Không cần khai thác lỗ hổng. Không có lỗ hổng zero-day. Không có "hacking". Chỉ đơn giản là mở cánh cửa trước mà họ đã để không khóa.

 Trường hợp 1: API ảo — server0002.mn19indexpre.xyz

 Express.js trên Apache, An ninh thực tế bằng không

KHÔNG CẦN XÁC THỰCKHÔNG CÓ KIỂM TRA TÍNH HỢP LỆ CỦA DỮ LIỆU ĐẦU VÀOKHÔNG GIỚI HẠN TỐC ĐỘCORS: *
Tham sốGiá trị
Miềnserver0002.mn19indexpre.xyz
Địa chỉ IP108.181.185.225
Cấu trúc máy chủApache/2.4.58 (Ubuntu) → Express.js (Node.js)
Biểu ngữ SSHSSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.11
Đơn vị cấp TLSLet's Encrypt (E7), có hiệu lực từ tháng 1 đến tháng 4 năm 2026
Nhà đăng ký DNSGoDaddy (ns39/ns40.domaincontrol.com)
Email (MX)mn19indexpre-xyz.mail.protection.outlook.com
Khách hàng MicrosoftNETORGFT19090185.onmicrosoft.com
Các cổng mở22 (SSH), 80 (HTTP→301), 443 (HTTPS)

 "Xác thực" — Một trò đùa

API này được cung cấp kèm theo một mã thông báo Bearer được mã hóa cứng: thisisakeyforsecureserver. Nhưng đây mới là điểm mấu chốt — token này thực tế chưa được xác minh:

// No auth header → accepted POST / HTTP/1.1 Content-Type: application/json {"subject":"test","domain":"test","messages":["ping"]} → {"success":true}// Wrong token → also accepted Quyền truy cập: Người mang mã thông báo sai hoàn toàn → {"success":true}// Any content type → also accepted Loại nội dung: text/xml, text/plain, multipart/form-data → {"success":true}

 Không xác thực đầu vào

Mọi tải trọng tiêm chích mà chúng tôi đã thử nghiệm đều được chấp nhận mà không có bất kỳ phản hồi nào:

// SQL injection Chủ đề: "' HOẶC 1=1--"→ đã được chấp nhận Chủ đề: "'; DROP TABLE messages;--"→ đã được chấp nhận// SSTI (Server-Side Template Injection) Chủ đề: "{{7*7}}"→ đã được chấp nhận Chủ đề: "{{config}}"→ đã được chấp nhận Chủ đề: "{{self.__class__}}"→ đã được chấp nhận// SSRF (Server-Side Request Forgery) miền: “http://169.254.169.254/latest/meta-data/”→ đã được chấp nhận miền: "file:///etc/passwd"→ đã được chấp nhận// XSS stored payload Chủ đề: "<script>alert(1)</script>"→ đã được chấp nhận

 Dấu vân tay hiệu năng

Thời gian phản hồi ổn định khoảng 7,5 giây đối với yêu cầu POST, bất kể kích thước dữ liệu (chấp nhận từ 10 byte đến 10 MB), cho thấy có thể đang sử dụng tính năng chuyển tiếp email hoặc chuyển tiếp webhook ở phía máy chủ. Yêu cầu GET phản hồi trong 0,6 giây. 10 yêu cầu song song hoàn tất trong 9,1 giây — không áp dụng giới hạn tần suất.

 Khả năng xác định danh tính

ID người thuê Microsoft 365 NETORGFT19090185 là một liên kết trực tiếp đến tài khoản của tổ chức đã đăng ký tên miền này. Kết hợp với các bản ghi đăng ký của GoDaddy và một địa chỉ IP chuyên dụng (không nằm sau CDN), nhà điều hành này là dễ dàng xác định được thông qua các kênh pháp lý. Bản ghi SPF (include:secureserver.net) xác nhận dịch vụ lưu trữ email của GoDaddy — tất cả siêu dữ liệu email đều có thể được truy cập thông qua trát đòi cung cấp thông tin.

 Trường hợp 2: Firebase hoàn toàn mở — web3ledgar.com

 Firestore không có quy tắc bảo mật nào

QUY TẮC FIRESTORE: MỞTẤT CẢ DỮ LIỆU VỀ NẠN NHÂN ĐỀU CÓ THỂ ĐỌC ĐƯỢCKhóa API trong JavaScript công khai12 NẠN NHÂN BỊ PHƠI BÀY
Tham sốGiá trị
Tên miền lừa đảoweb3ledgar.com (tên miền giả mạo từ "Ledger")
Tên miền thay thếweb3.ledgerscore.ltd
Dự án Firebaseweb3ledger-210ab
Khóa APIAIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8
ID ứng dụng1:1054258933515:web:9fb193fcd0093023f7fc0e
Gói JS/static/js/main.7a5ec2fa.js
Quy tắc FirestoreMở rộng — đọc/ghi không cần xác thực
Tổng số nạn nhân12 bản ghi trong users bộ sưu tập
Các bộ sưu tập đã tìm thấyusers, transactions

 Dữ liệu về nạn nhân — Ai cũng có thể truy cập đầy đủ

Một yêu cầu GET duy nhất không được xác thực gửi đến API REST của Firestore đã trả về mỗi cụm từ hạt giống bị đánh cắp:

GET /v1/projects/web3ledger-210ab/databases/(default)/documents/users?pageSize=300 → 200 OK→ Tổng số tài liệu: 12// Sample victim record (seed phrase redacted for safety) { "walletId": "W3L-65285520", "loại ví": "WalletConnect", "email": "[ĐÃ BỊ CHE ĐI]@gmail.com", "cụm từ hạt giống": "████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", "createdAt": "2026-02-15T00:14:52.804Z", "trạng thái": "hoạt động" }

Trong số 12 bản ghi đó có một mục rất đáng chú ý — ai đó đã thử nghiệm hệ thống bằng cách fbi@fbi.gov như trong email. Kẻ lừa đảo hoặc là đã thử nghiệm hệ thống của chính mình (điều này hữu ích cho việc xác định danh tính), hoặc là ai đó đã thử nghiệm hệ thống đó trước đó.

 Quy trình tấn công

Trang web lừa đảo này bắt chước giao diện ví của Ledger. Nạn nhân nhấp vào “Kết nối ví” → nhập cụm từ hạt giống → giao diện người dùng React ghi trực tiếp vào Firestore → kẻ lừa đảo đọc dữ liệu từ chính cơ sở dữ liệu đang mở đó. Hoàn toàn không có máy chủ phía sau. Toàn bộ hệ thống hoạt động trên gói dịch vụ miễn phí của Google.

 Khả năng xác định danh tính

ID dự án Firebase web3ledger-210ab và ID ứng dụng 1:1054258933515được liên kết với tài khoản Google. Google lưu trữ hồ sơ thanh toán, nhật ký IP và dữ liệu tạo tài khoản cho tất cả các dự án Firebase. Chỉ cần một yêu cầu từ cơ quan thực thi pháp luật gửi đến Google là danh tính của người vận hành sẽ bị tiết lộ. Hơn nữa, việc các quy tắc Firestore được mở rộng vô hạn có nghĩa là chúng tôi có thể đã ghi các bản ghi vào cơ sở dữ liệu của họ, thông báo cho các nạn nhân ngay lập tức, hoặc xóa toàn bộ bộ sưu tập.

 Trường hợp 3: Supabase Full CRUD — web3safe-pal.com

 Tính năng bảo mật cấp hàng (Row-Level Security) đã bị tắt, GraphQL hoàn toàn mở

RLS ĐÃ BỊ VÔ HIỆU HÓAQUYỀN TRUY CẬP CRUD ĐẦY ĐỦHỖ TRỢ GRAPHQLCÁC HÀM BIÊN ĐƯỢC PHƠI BÀYBẢN DỊCH TIẾNG NGA
Tham sốGiá trị
Tên miền lừa đảoweb3safe-pal.com (tên miền giả mạo từ "SafePal")
Dự án Supabasegzqsadraigchwdhblavp
Khóa ẩn danh Được tiết lộ trong /assets/index-b025f4a6.js (748 KB)
Bảng cơ sở dữ liệuseeds — mở để đọc, chèn, cập nhật, xóa
GraphQLĐã bật tính năng tự kiểm tra toàn diện + các biến thể
Chức năng biên send-wallet-import-email, send-email
Dịch vụ emailAPI gửi lại (RESEND_API_KEY trong biến môi trường)
Hồ sơ nạn nhânCác ID 130–131 (ID 129 đã bị xóa trước đó)
Ngôn ngữ giao diện người dùng Tiếng Nga (“Ví chính”, “Ví của bạn đang được tải...”)

 Quyền truy cập đầy đủ vào cơ sở dữ liệu — Đọc, Ghi, Xóa

Khóa ẩn danh Supabase, nằm trong gói JavaScript đã được nén, cho phép Quyền truy cập CRUD đầy đủ đến seeds bảng:

// READ — get all stolen seed phrases GET /rest/v1/seeds?select=*ℴ=id.asc → 200 OK [ {"id":130, "cụm từ":"████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", "tên":"Ví chính"}, {"id":131, "cụm từ":"████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████", "tên":"Ví chính"} ] // INSERT — we can write to the scammer's database POST /rest/v1/seeds {"phrase":"PHISHDESTROY_WAS_HERE","name":"test"} → 201 Đã tạo {"id":132} // UPDATE via GraphQL mutation { updateseedsCollection(filter:{id:{eq:131}}, set:{name:"PhishDestroy was here"}) { affectedCount } } → {"affectedCount": 1}// DELETE via GraphQL mutation { deleteFromseedsCollection(filter:{id:{eq:131}}, atMost:1) { affectedCount } } → {"affectedCount": 1}

Các ID bắt đầu từ 130 — có nghĩa là các bản ghi từ 1 đến 129 đã bị người vận hành xóa trước đó. Ít nhất 131 cụm từ hạt giống đã đi qua hệ thống này.

 Các chức năng của Edge: Dấu vết email

Hai hàm Supabase Edge đang hoạt động. Chúng tôi đã tiến hành phân tích ngược send-email định dạng đầu vào dự kiến của hàm bằng cách thử nghiệm các dữ liệu đầu vào:

// Probing send-email endpoint {"seed":"test phrase","name":"test"} → 200 OK {"id":"f2749592-..."} {"seed_phrase":"...","wallet_name":"..."} → 400 "Không có dữ liệu hạt giống được cung cấp." {"phrase":"...","name":"..."} → 400 "Không có dữ liệu hạt giống được cung cấp."// The function accepts {seed, name} and sends to attacker via Resend API// Edge Function source (reconstructed from JS bundle):// NB.functions.invoke("send-wallet-import-email",// {body: {wallet_name, secret_phrase, ip_address}})

Khóa API Gửi lại (RESEND_API_KEY) được lưu trữ trong các biến môi trường của Supabase. Resend lưu giữ các bản ghi xác minh người gửi và dữ liệu thanh toán — một cách tiếp cận trực tiếp khác để xác định danh tính của người điều hành.

 Khả năng xác định danh tính

Việc bản địa hóa giao diện người dùng tiếng Nga (“Основной кошелек”, “Ваш кошелек загружается...”) cho thấy một Nhân viên tổng đài nói tiếng Nga. Dự án Supabase (gzqsadraigchwdhblavp) được liên kết với một tài khoản có hồ sơ thanh toán. Dịch vụ “Gửi lại email” lưu trữ địa chỉ email của người nhận. Việc tự kiểm tra GraphQL cho thấy cấu trúc cơ sở dữ liệu đầy đủ. Chúng tôi đã chứng minh quyền truy cập ghi đầy đủ — chúng ta có thể đã thay thế mọi cụm từ hạt giống bị đánh cắp bằng một thông báo cảnh báo gửi đến các nạn nhân, hoặc xóa toàn bộ bảng. Người vận hành sẽ không có cách nào để khôi phục dữ liệu.

 Trường hợp 4: Thiết bị thoát nước quy mô công nghiệp — aipolypredictor.xyz

 19.000 cụm từ hạt giống trong 5,8 ngày

Hơn 19.000 hạt giống bị đánh cắpMÃ CÔNG VIỆC LIÊN TIẾPKHÔNG CÓ GIỚI HẠN CORSBộ công cụ DaaS (defex.cc)11 tên miền đã được xác nhận
Tham sốGiá trị
Lĩnh vực Frontend aipolypredictor.xyz ("PolySniper | Các giao dịch nội gián của Frontrun")
API C2api.yfhikblkhghdyteiuyf54.run
Các địa chỉ IP C2 172.67.168.147, 104.21.26.231 (Cloudflare)
Hệ thống phía máy chủExpress.js (Node.js) phiên bản 1.0.0
Nhân viên đăng ký (Phía người dùng)Công ty Cổ phần Tập đoàn NiceNIC International
Chuyên viên đăng ký (C2)PDR Ltd. (PublicDomainRegistry.com)
Thời gian hoạt động~139 giờ (bắt đầu vào khoảng 21:00 UTC ngày 10/02/2026)
Bộ phụ kiện thoát nước CDN renderer-postcard.defex.cc (601 KB mã JavaScript được mã hóa)
Bot TelegramĐang hoạt động, đã tích hợp tính năng thông báo
Giới hạn số lần truy cập10 yêu cầu/60 giây (giới hạn duy nhất được phát hiện)

 Quy mô được thể hiện qua các ID tuần tự

Sai lầm nghiêm trọng nhất: ID công việc theo thứ tự. Mỗi lần gửi cụm từ hạt giống sẽ nhận được một ID tăng dần, nhờ đó bất kỳ ai cũng có thể tính được tổng khối lượng:

POST /api/check-seed-full { "cụm từ hạt giống": "cụm từ thử nghiệm ở đây", "bundleId": "88ef78f56e0837dd0339e40a882bf563", "độ sâu": 100, "miền": "aipolypredictor.xyz", "sourceInfo": {"tên ví":"MetaMask", "isBot":false} } → {"success":true, "message":"Đã kiểm tra hàng đợi", "jobId":"19358"}// Next request: jobId 19359, then 19360...// ~19,000 seed phrases in ~139 hours = ~137 per hour

 Kiến trúc đa chuỗi

Máy chủ C2 tạo khóa trên tất cả các chuỗi chính bằng cách sử dụng các đường dẫn tạo khóa có độ sâu 100:

⛓️
Các chuỗi bị nhắm mục tiêu
ETH/BTC/SOL/XMR
🔑
Độ sâu suy diễn
100
🌐
Các tên miền đã được xác nhận
11
🕸️
defex.cc Liên kết
255+

 Cơ sở hạ tầng chiến dịch

11 tên miền đã được xác nhận thuộc 2 nhóm nhà mạng, được theo dõi thông qua các ID gói ứng dụng:

ID gói ứng dụngTên miềnTình trạng
88ef78f5...aipolypredictor.xyzTRỰC TIẾP
4446ea5d...solana.onspace.app, solxjup.onspace.appTRỰC TIẾP
Bộ sản phẩm defex.cc jup-v2.com, events-charizard.fun, events-llquid.fun, events-blackswan.fun, soljup.onspace.build Hỗn hợp

 Phân tích tải trọng JavaScript

Ba gói mã JavaScript được mã hóa phục vụ cho chương trình rút tiền:

  • wallet-connect.js (46 KB) — Quản lý giao diện người dùng kết nối ví, chặn dữ liệu hạt giống được nhập vào. Làm mờ mã bằng cách xoay mảng chuỗi.
  • wallet-specific-modals.js (134 KB) — Bao gồm Danh sách từ tiếng Anh đầy đủ theo tiêu chuẩn BIP39Danh sách từ vựng Monero (1.626 từ). Chống gỡ lỗi thông qua việc ghi đè console.log/trace. Hỗ trợ cửa sổ bật lên cho nhiều ví.
  • defex.cc/index.js (601 KB) — Được mã hóa theo tiêu chuẩn Unicode với các tên biến bằng tiếng Trung. Logic rút tiền dành riêng cho Solana. Bộ mã hóa Base58, các hàm cơ bản để dẫn xuất khóa mã hóa. Phiên bản 3.0.0.

 Khả năng xác định danh tính

Cái CORS: * tiêu đề và việc thiếu các phương thức xác thực Bất kỳ ai cũng có thể gửi yêu cầu và theo dõi sự gia tăng của mã công việc theo thời gian thực. Việc tích hợp bot Telegram có nghĩa là tài khoản Telegram của nhà điều hành sẽ nhận được thông báo — và dữ liệu meta của Telegram có thể bị yêu cầu cung cấp theo trát tòa. NiceNIC (nhà đăng ký tên miền cho phần frontend) là một nhà đăng ký tên miền “bulletproof” nổi tiếng mà chúng tôi đã đã được điều tra trước đây, nhưng PDR Ltd. (nhà đăng ký tên miền C2) thực sự đáp ứng các yêu cầu từ cơ quan thực thi pháp luật. Cái defex.cc Bộ công cụ xả dữ liệu này phục vụ hơn 255 tên miền — việc làm lộ thông tin của defex.cc sẽ khiến toàn bộ hoạt động của dịch vụ DaaS và tất cả khách hàng của nó bị phơi bày.

 So sánh song song: 4 thao tác, cùng một mẫu

Hệ mét mn19indexpre
Express.js
web3ledgar
Firebase
web3safe-pal
Supabase
aipolypredictor
Bộ thoát nước C2
Xác thựcKhông có (mã thông báo bị bỏ qua)Không cóKhóa ẩn danh trong JavaScriptKhông có (CORS: *)
Dữ liệu có thể đọc đượcTin nhắn/chuyển tiếpTất cả các cụm từ hạt giốngTất cả các cụm từ hạt giốngMã công việc / mức lương
Dữ liệu có thể ghiCó (không giới hạn)Đúng vậyCó (CRUD đầy đủ)Có (gửi)
Xác thực đầu vàoKhôngKhôngKhôngTối giản
Giới hạn tốc độKhông cóKhông cóKhông có10 yêu cầu/60 giây
Có thể xác định danh tínhKhách hàng MS365Tài khoản GoogleGửi lại + Thanh toán SupabasePDR + Telegram
Số nạn nhân ước tínhKhông rõ12131+19,000+
Ngôn ngữ của nhà điều hànhKhông rõTiếng AnhTiếng NgaKhông rõ

 Tại sao những kẻ lừa đảo không phải là tin tặc

Bằng chứng là vô cùng rõ ràng. Trong cả 4 chiến dịch, chúng tôi đều nhận thấy cùng một mô hình:

 Những kẻ lừa đảo làm gì
  • Mua bộ dụng cụ ráo nước làm sẵn (200–500 USD)
  • Triển khai trên các gói miễn phí (Firebase, Supabase)
  • Giữ nguyên các thiết lập mặc định
  • Sử dụng các mã thông báo được mã hóa cứng mà họ không xác minh
  • Không bao giờ kích hoạt RLS, không bao giờ hạn chế CORS
  • Tiết lộ danh tính của chính họ trong siêu dữ liệu
  • Sử dụng các mã định danh tuần tự thể hiện được quy mô của chúng
 Những điều tin tặc có thể làm
  • Viết các công cụ trích xuất dữ liệu tùy chỉnh
  • Sử dụng các kênh được mã hóa và xác thực
  • Ngẫu nhiên hóa các mã định danh, luân phiên sử dụng cơ sở hạ tầng
  • Áp dụng các biện pháp kiểm soát truy cập phù hợp
  • Sử dụng Tor/chuỗi proxy, thanh toán ẩn danh
  • Tách biệt danh tính hoạt động khỏi dịch vụ lưu trữ
  • Áp dụng các kỹ thuật chống điều tra pháp y

Khách hàng điển hình của dịch vụ “Drainer-as-a-Service” là một kẻ lừa đảo xã hội sử dụng thẻ tín dụng, chứ không phải là kỹ thuật viên. Họ biết cách đăng ký tên miền và chèn mã vào bảng điều khiển dịch vụ lưu trữ. Tuy nhiên, họ không biết cách:

Đây không phải là những đối thủ tinh vi. Đây là những người không thể thiết lập cơ sở dữ liệu.

 Các chỉ số cho thấy hệ thống bị xâm nhập (IOCs)

Tên miền

# Case 1: Express.js API server0002.mn19indexpre.xyz # Case 2: Firebase Stealer web3ledgar.com web3.ledgerscore.ltd # Case 3: Supabase Stealer web3safe-pal.com # Case 4: Drainer Campaign aipolypredictor.xyz API.yfhikblkhghdyteiuyf54.run yfhikblkhghdyteiuyf54.run renderer-postcard.defex.cc solana.onspace.app solxjup.onspace.app jupag.onspace.app jupiverse.onspace.app stakepayment.icu jup-v2.com events-charizard.fun events-llquid.fun events-blackswan.fun soljup.onspace.build

Địa chỉ IP

108.181.185.225 # Case 1 — Express.js (dedicated) 172.67.168.147 / 104.21.26.231 # Case 4 — C2 API (Cloudflare) 172.67.178.251 / 104.21.67.171 # Case 4 — Frontend (Cloudflare) 172.67.209.39 / 104.21.37.139 # Case 4 — defex.cc (Cloudflare) 43.130.171.152 / 43.130.171.225 # Case 4 — onspace domains (Tencent)

Khóa API và ID dự án

# Firebase (Case 2) Dự án: web3ledger-210ab Khóa API: AIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8 ID ứng dụng: 1:1054258933515:web:9fb193fcd0093023f7fc0e # Supabase (Case 3) Dự án: gzqsadraigchwdhblavp Khóa ẩn danh: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9... # Campaign Tracking (Case 4) Gói 1: 88ef78f56e0837dd0339e40a882bf563 Gói 2: 4446ea5ddb308b2494db8ad4b12196c3 # Microsoft Tenant (Case 1) NETORGFT19090185.onmicrosoft.com

 Kết luận: Nhà vua không mặc quần áo

 Điểm chính

Mọi hoạt động lừa đảo mà chúng tôi đã phân tích đều có thể là bị xâm phạm hoàn toàn, bị lộ danh tính và bị phá vỡ chỉ bằng cách sử dụng trình duyệt web, curl và các tài liệu hướng dẫn công khai. Trong mọi trường hợp, những kẻ tấn công đều để cơ sở dữ liệu của mình hoàn toàn mở, để lộ khóa API trong các tệp JavaScript công khai, để lộ danh tính trong siêu dữ liệu, và khiến dữ liệu của nạn nhân có thể truy cập được bởi bất kỳ ai chỉ cần bận tâm tìm kiếm.

Bài học rất đơn giản: Những kẻ lừa đảo không phải là tin tặc. Họ là những kẻ trộm vặt đã mua một bộ dụng cụ mở khóa trên AliExpress nhưng lại quên khóa cửa trước nhà mình. Những công cụ họ sử dụng rất tinh vi — bởi vì chúng do người khác chế tạo. Bản thân những kẻ điều hành này chỉ là những tay nghiệp dư, thường xuyên để lộ cơ sở hạ tầng của chính họ, dữ liệu của nạn nhân và danh tính của bản thân cho bất kỳ ai có kiến thức kỹ thuật cơ bản.

Nếu bạn đã nhập cụm từ khôi phục trên bất kỳ trang web nào trong số này — hãy coi như ví của bạn đã bị xâm phạm và chuyển tiền ngay lập tức.

Tất cả các phát hiện đã được báo cáo cho các nhà cung cấp dịch vụ liên quan (Google/Firebase, Supabase, Cloudflare, các đơn vị đăng ký tên miền) và được ghi chép lại để phục vụ công tác thực thi pháp luật. Các chỉ số IOC nêu trên đã được bổ sung vào PhishDestroy danh sách tiêu diệt.

Chia sẻ cuộc điều tra này

X / Twitter Telegram Reddit LinkedIn

Các cuộc điều tra liên quan

BUYTRX bị phanh phui: 55 tên miền & kẻ đánh cắp quyền phê duyệt TRON
ĐIỀU TRA
BUYTRX bị phanh phui: 55 tên miền & kẻ đánh cắp quyền phê duyệt TRON
Bộ công cụ Crypto Drainer: Vạch trần các đại lý phân phối Angel Drainer
ĐIỀU TRA SÂU RỘNG
Bộ công cụ Crypto Drainer: Vạch trần các đại lý phân phối Angel Drainer
Keitaro TDS: 1.500 tấm bị lộ, không có ứng dụng hợp pháp nào
ĐIỀU TRA
Keitaro TDS: 1.500 tấm bị lộ, không có ứng dụng hợp pháp nào
Thông báo về tính minh bạch. PhishDestroy là một dự án độc lập, phi thương mại. Các nghiên cứu của chúng tôi có thể phản ánh sự thiên vị vốn có đối với cơ sở hạ tầng lừa đảo và các dịch vụ hỗ trợ cho hoạt động này. Chúng tôi khuyến khích độc giả đánh giá tất cả các tài liệu một cách khách quan và độc lập. Xem toàn văn tuyên bố về tính minh bạch của chúng tôi →