谁是 DomainNetworks 蜗牛邮件骗局的幕后黑手？

如果您曾经拥有域名，那么您很可能在某个时候收到一封普通邮件，它似乎是域名或网站相关服务的账单。事实上，这些误导性的信件试图诱骗人们为他们从未订购过、不需要、可能永远不会收到的无用服务付费。

以下是该骗局的最新版本：DomainNetworks 以及有关其幕后黑手的一些线索。

DomainNetworks 邮件程序可能会引用已注册或曾经注册到您的姓名和地址的域。尽管这封信的右上角包含“营销服务”一词，但信件的其余部分被设计成具有欺骗性，看起来像是已提供服务的账单。

DomainNetworks 声称，通过其促销服务列出您的域名将导致您网站的流量增加。对于一家似乎完全捏造的公司来说，这是一个可疑的说法，我们稍后会看到。但令人高兴的是，这家企业的老板并不难追踪。

Domainnetworks.com网站表示，该公司在北卡罗来纳州亨德森维尔有一个邮政信箱，在新墨西哥州圣达菲有另一个地址。亨德森维尔地址列出的电话号码与一些随机的非技术企业相关。新墨西哥州的地址被几家不知名的网络托管公司使用。

然而，与这些地址和电话号码没有什么联系，可以让我们更接近地找出谁在运行 Domainnetworks.com。至少根据每个州的国务卿数据库，这两个实体在其所谓的居住州似乎都不是活跃的官方公司。

商业改善局(Better Business Bureau) 对 DomainNetworks 的评级为“F”，其中包括 100 多条评论，这些评论都是由人们对通过平邮邮件收到此类诈骗感到愤怒而发表的。BBB 表示，DomainNetworks 之前以不同的名称运营：US Domain Authority LLC。

在线发布的来自美国域名管理局的蜗牛邮件诈骗信件副本显示，该实体使用了 2022 年 5 月注册的域名usdomainauthority.com。Usdomainauthority 邮件还提供了北卡罗来纳州亨德森的地址，尽管位于不同的邮政信箱。

Usdomainauthority.com 已不再在线，并且该网站似乎已阻止其页面被 archive.org 上的 Wayback Machine 编制索引。但根据 publicwww.com 的说法，在 DomainNetworks.com 上搜索有关退款请求的一长段文本显示，该文本仅在另一个活跃网站上找到。publicwww.com 是一项对现有网站的 HTML 代码进行索引并使其可搜索的服务。

来自 DomainNetwork 的上一个版本，美国域名管理局的欺骗性蜗牛邮件招揽。

另一个网站是 2023 年 1 月注册的域名，名为thedomainsvault.com，其注册详细信息同样隐藏在隐私服务后面。Thedomainsvault 的“常见问题”页面与 DomainNetworks 网站上的页面非常相似；两者都以为什么公司要发送看起来像域名服务账单的邮件的问题开始。

Thedomainsvault.com 不包含有关该实体或运营该实体的人员的有用信息；单击网站上的“联系我们”链接会显示一个页面，其中包含占位符 Lorem Ipsum 文本、联系表格和电话号码 123456789。

然而，在DomainTools.com上搜索 thedomainsvault.com 的被动 DNS 记录显示，在某个时刻，拥有该域的人指示将传入电子邮件发送到[email protected]。

目前在Google 中搜索“ubsagency”时出现的第一个结果是ubsagency.com，它表示它属于一家总部位于拉斯维加斯的搜索引擎优化 (SEO) 和数字营销公司，一般名称为United Business Service和United商业服务。UBSagency 的网站与 thedomainsvault.com 托管在同一家位于密歇根州安娜堡的托管公司 (A2 Hosting Inc)。

UBSagency 的 LinkedIn 页面显示，该公司在维加斯、加利福尼亚州半月湾和华盛顿州伦顿设有办事处。但再一次，这些办事处列出的地址都没有透露任何关于谁经营 UBSagency 的明显线索。再一次，这些实体在其声称的居住州似乎都不是作为官方企业存在的。

在 Constella Intelligence 中搜索 [email protected]显示，该地址在 2019 年 2 月之前的某个时间被用来在室内装饰网站 Houzz.com 上以“ SammySam_Alon ”的名义创建帐户。2019 年 1 月，Houzz承认一次数据泄露暴露了数量不详的客户的账户信息，包括用户 ID、单向加密密码、IP 地址、城市和邮政编码以及 Facebook 信息。

SammySam_Alon 使用阿拉巴马州亨茨维尔的互联网地址 (68.35.149.206) 在 Houzz 注册。Constella表示，该地址与电子邮件[email protected]相关联，该电子邮件还与不同在线商店的其他几个“Sammy”帐户相关联。

Constella 还表示，[email protected] 在众多网站上重复使用的高度唯一的密码仅与其他几个电子邮件帐户相关，包括[email protected]和[email protected]。

2013 年， Sam Orit Alon使用 [email protected] 地址注册了Twitter 帐户，该帐户称他们隶属于 Shenhav Group。据 DomainTools 称，[email protected] 负责注册大约两打域名，其中包括现已解散的 Unitedbusinessservice.com。

Constella 进一步发现，地址 [email protected] 被用来注册whmcs.com的帐户，这是一个网络托管平台，几年前其用户数据库遭到泄露。WHMCS 帐户上的名字是Shmuel Orit Alon，来自以色列的 Kidron。

UBSagency 也有一个 Facebook 页面，或者也许“had”是关键词，因为似乎有人污损了它。加载 UBSagency 的 Facebook 页面显示，几张图像已被覆盖或替换为一条对Sam Alon非常失望的人的消息。

其中一条消息写道：“萨姆·阿隆是个骗子、小偷、胆小鬼，而且有一个非常小的混蛋。”

UBSagency 当前的 Facebook 个人资料页面包含一个与 DomainNetworks 徽标类似的徽标。

UBSagency 个人资料照片中的徽标包括一个看起来像是放大镜的图形，其中有一条线通过圆圈内外的项目符号点呈锯齿形，这种独特的图案与 DomainNetworks 的徽标非常相似：

DomainNetworks（左）和 UBSagency 的徽标。

Constella 还发现，Houzz 的 Sam Alon 使用的亨茨维尔 IP 地址与另一个 Houzz 帐户相关联，该帐户的用户名为“ Eliran ”。

UBSagency Facebook 页面上有几条来自Eliran“Dani”Benz的消息，评论者称他为 UBSagency 的员工或合作伙伴。奔驰个人资料上的最后一次登记是今年早些时候在以色列里雄莱齐永的海滩上进行的。

可能很难相信有人会为他们从未订购过的域名或 SEO 服务支付发票。然而，有大量证据表明，这些虚假账单通常由组织的管理人员处理，最终支付所要求的金额，因为他们认为这是对已经提供的某些服务的欠款。

2018 年，KrebsOnSecurity 发布了《你的领导者如何精通互联网？》，它检查了公共记录，显示美国各地的数十个城市、城镇、学区甚至政治运动都被一家名为 WebListings Inc. 的类似诈骗公司支付了这些诈骗域名发票。

2020 年，KrebsOnSecurity深入调查了 WebListings 骗局的幕后黑手，该骗局十多年来一直在发送这些蜗牛邮件诈骗信件。该调查揭示了该骗局与英国以外的多层次营销业务以及居住在苏格兰的两兄弟有关。

 

原文始发于微信公众号（网络研究院）：谁是 DomainNetworks 蜗牛邮件骗局的幕后黑手？