一切的起源訊息

昨天，我收到了這個寶貝：

亞馬遜安全召回通知

親愛的亞馬遜顧客，您於2025年10月購買的商品（訂單號：112-4725343-5258772）不符合亞馬遜的標準，已被列入召回名單。為了您的安全，請立即停止使用該產品，並存取以下連結以了解更多詳情併申請全額退款：https://cutt.ly/tr8MrjPI?VJHH=apbxOp

我的第一個反應是： “哦，親愛的……你根本不知道你剛才給誰發了短信。”

我的第二個想法是： “讓我告訴你，如果你盯上安裝了 SubFinder 的用戶會發生什麼。”

📢 致所有正在閱讀此文的騙子們：

歡迎來到2025年。現在不是2015年了。你不能再像以前那樣，註冊個域名，啟動nginx伺服器，弄個Let's Encrypt憑證，就以為自己可以高枕無憂了。

我們有：

• SubFinder只需幾秒鐘即可列舉您的所有 40 個子域名

• VirusTotal API即時分析您的基礎設施

• AbuseIPDB正在追蹤您的主機信譽

• 自動化威脅情報，速度快到你還來不及說出「跑路騙局」這個詞。

你試圖詐騙一個以編寫 Python 腳本為樂的人。一個擁有所有主要威脅情報平台 API 金鑰的人。一個知道dig +trace指令存在的人。

你做出了糟糕的選擇。

⚡ 我是如何找到你的（即時記錄）

步驟 1：URL 解碼（5 秒）

curl -Ls -o /dev/null -w %{url_effective} 'https://cutt.ly/tr8MrjPI?VJHH=apbxOp'
# Output: https://important.hazard.pics/

域名真不錯，兄弟。讓我看看你還有什麼其他東西。

步驟 2：子網域列舉（30 秒）

subfinder -d hazard.pics -silent -o subdomains.txt
# Result: 40 subdomains discovered

等等……四十個子網域？你這是開啟了專業詐騙模式，用了important. 、 payment. 、 national. 、 celebrate.這些子網域？有人 YouTube 教學看多了。

步驟三：基礎設施測繪（2分鐘）

dig important.hazard.pics +short
# 172.81.133.196

whois 172.81.133.196
# Organization: DataWagon LLC, Buffalo, NY
# Abuse Contact: [email protected]

就這樣，我找到了你的主機提供者。你把所有 40 個子網域都放在了一個 IP 位址上。

單點故障 = 單份濫用報告。

步驟四：SSL憑證分析（1分鐘）

openssl s_client -servername important.hazard.pics -connect 172.81.133.196:443

Let's Encrypt 憑證於 2025 年 10 月 16 日頒發。網域於 2025 年 10 月 16 日註冊。

你的基礎建設才13天，非常新，毫無信譽可言，沒有信任可言，只有一股不祥之兆和犯罪。

步驟五：連接埠掃描（2分鐘）

nmap -sV -p 80,443,8080,8443 172.81.133.196
# 80/tcp   open  http     nginx
# 443/tcp  open  ssl/http nginx
# 8080/tcp open  http-proxy

支援nginx、HTTP/2和HTTP/3。有效的SSL憑證。專業部署。

你不是什麼只會寫腳本的小白，你投入了時間。正因如此，拆解它更有成就感。

🚨威脅情報金礦

等等，還有更多。我寫了一個 Python 腳本來查詢：

• VirusTotal （網域、IP、URL信譽）

• AbuseIPDB （IP濫用評分）

• URLhaus （惡意URL資料庫）

• Shodan （可選，專為富裕家庭的孩子準備）

結果？完美！ 👨‍🍳

您的「清潔」基礎設施

{
  "hazard.pics": {
    "virustotal": {
      "malicious": 0,
      "suspicious": 0,
      "undetected": 95
    }
  },
  "172.81.133.196": {
    "abuseipdb": {
      "abuse_confidence_score": 0,
      "total_reports": 0
    }
  }
}

零檢測記錄，零檢舉。因為你是新用戶。

但關鍵在於——我已經將你的網址提交給了 VirusTotal。 24-48 小時內，超過 90 家安全廠商將分析你的網站。所有開啟安全瀏覽功能的瀏覽器都會標記你的網站。所有企業防火牆都會封鎖你的網站。

您的基礎設施有有效期限，有效期限以小時為單位計算。

📊 美妙的部分：自動化

我已將所有內容打包到一個 GitHub 程式碼庫中：

• 完整情報報告（記錄了你8.4KB的罪行）

• 自動化威脅情報增強腳本

• 打擊濫用行為的行動指南及所有聯繫方式

• 完整的IoC清單已準備就緒，可供提交

# enrich_intel.py - One command to rule them all
python3 enrich_intel.py

# Output:
# ✓ 40 subdomains enumerated
# ✓ All IPs analyzed
# ✓ URLs submitted to VirusTotal
# ✓ Reports generated
# ✓ Your career as a scammer: REKT

🎯 擊倒戰術手冊

優先權 1：主機提供者

To: [email protected]
Subject: URGENT - Phishing Infrastructure on 172.81.133.196

Dear DataWagon,

One of your IPs is hosting an Amazon impersonation scam.
Attached: Full intelligence report with 40 malicious subdomains.

Action requested: Immediate suspension.

Regards,
Someone who knows how to use nmap

優先 2：網域註冊商

To: [email protected]
Subject: Domain Suspension Request - hazard.pics

This domain (13 days old) is used for phishing.
Evidence: Attached.

Sincerely,
The wrong person to scam

預計時間：您的整個營運將在 24-72 小時內停止。

🧠 你做錯了什麼（免費諮詢）

1. 所有基礎設施使用單一IP位址- 一次濫用舉報即可完全關閉

2. 新註冊的域名，信譽度為零——這明顯是騙局。

3. 沒有地理分佈——所有的雞蛋都在一個籃子裡

4. 盯上技術人員－致命的錯誤

5. 未公開 WHOIS 資料－業餘之舉

6. 使用免費套餐主機－DataWagon 會立即終止您的服務。

7. 以為2025年還是2015年──醒醒吧，工具都進化了。

💡 網路防禦新時代

以下是變化之處：

然後（2015年）：

• 人工調查

• 緩慢的報告流程

• 擊斃行動需要數週到數月時間

• 有限的威脅情報

現在（2025 年）：

• 自動偵察（SubFinder、amass、httpx）

• 即時威脅 API（VirusTotal、AbuseIPDB、Shodan）

• 一鍵式基礎設施映射

• 數小時內完成協同打擊

• 開源情報工具無所不在

• 擁有 Python 腳本且有空閒時間的開發者

你試圖在2025年沿用2015年的策略。這就是你失敗的原因。

🛠️ 我的武器庫（全部開源）

以下是導致你失敗的原因：

# Recon
subfinder  # Subdomain enumeration
dig        # DNS queries
whois      # Domain/IP intelligence
nmap       # Port scanning
openssl    # SSL certificate analysis

# Threat Intel
VirusTotal API  # Free tier: 500/day
AbuseIPDB API   # Free tier: 1,000/day
URLhaus API     # Unlimited, no key needed

# Automation
Python + requests
python-dotenv for API keys

總費用：0 美元

總時長：2 小時

您的基礎設施壽命：約 48 小時

📈 資料顯示毫不留情

入侵指標（IoC）

• 網域： hazard.pics

• 子網域： 40 個活躍子網域（已全部列出）

• IP位址： 172.81.133.196（DataWagon LLC）

• SSL： Let's Encrypt（效期至 2026 年 1 月，無關）

• 狀態：已提交至所有主要威脅資料庫

當前聲譽

• VirusTotal：未偵測到任何病毒（病毒出現時間過短）

• AbuseIPDB：0 則報告（發佈時間過短）

• URLhaus：資料庫中不存在（版本太新）

48小時後

• VirusTotal：偵測到 20-40 多個供應商（預測）

• AbuseIPDB：多起濫用報告

• URLhaus：已標記為釣魚網站

• 主機託管：已暫停

• 網域：已被查封或暫停

這就是2025年愚蠢騙局的生命週期。

💬 致腳本小子們的特別寄語

致所有從事釣魚工具包、虛假商店和「輕鬆賺錢」騙局的人：

你既不匿名，也不聰明，你只是懶惰而已。

您租用的每台VPS都會留下痕跡。您註冊的每個網域都會被記錄。您頒發的每張憑證都是公開的。您建立的每一個連線都會被監控。

現在，你所瞄準的每位開發者都可能：

• 擁有威脅情報平台的 API 金鑰

• 了解如何編寫 Python 程式碼

• 擁有空閒時間和怨恨作為動力

• 記錄您的整個基礎設施

• 把它提交到網路上的所有濫用資料庫。

我們不是你們的受害者，我們是你們最糟糕的設想。

🎓 致安全研究人員：請重現此問題

想自己嘗試嗎？方法如下：

1. 設定工具

# Install reconnaissance tools
go install -v github.com/projectdiscovery/subfinder/v2/cmd/subfinder@latest

# Install Python dependencies
pip install requests python-dotenv

# Get free API keys
# VirusTotal: https://www.virustotal.com/gui/join-us
# AbuseIPDB: https://www.abuseipdb.com/register

2. 建立你的腳本

import requests
import os
from dotenv import load_dotenv

load_dotenv()

def check_domain(domain):
    vt_key = os.getenv('VIRUSTOTAL_API_KEY')
    url = f"https://www.virustotal.com/api/v3/domains/{domain}"
    headers = {"x-apikey": vt_key}

    response = requests.get(url, headers=headers)
    return response.json()

# Now automate everything

3. 記錄一切

• 保留帶有時間戳記的日誌

• 保存所有 JSON 回應

• 截圖保存所有內容

• 建立 Markdown 報告

4. 負責任地報告

• 聯絡主機提供商

• 提交至威脅資料庫

• 與社區分享 IoC

• 不要公開騙子的個人資訊（這應該交給執法部門處理）。

🏆 記分牌

騙子的投資：

• 域名註冊費：10美元

• VPS主機：每月5美元

• SSL憑證：免費（Let's Encrypt）

• 設定時間：約4小時

• 總計：15 美元 + 4 小時

我的投資：

• 偵察時間：2小時

• API費用：0美元（免費套餐）

• 滿足感：無價之寶

騙子的損失：

• 主機服務暫停：5 美元

• 域名被燒毀：10美元

• 基礎設施無法使用：所有

• 名譽掃地：生涯

• 總計：你的整個運作 + 自我

🔮 未來一片光明（對我們而言）

這只是個開始。敬請期待：

• 人工智慧驅動的網路釣魚偵測

• 即時區塊鏈分析，打擊加密貨幣詐騙

• 自動化開源情報管道

• 社群威脅共享網絡

• 即時查詢威脅 API 的瀏覽器擴充程序

我們開發的每個工具都會增加你的工作難度。我們整合的每個 API 都會增加你的可見度。我們分享的每個腳本都會增加你的安全漏洞。

⚡ 結語

給我發這封簡訊的騙子：

謝謝你。你給了我：

• 一次有趣的技巧練習

• 本文內容

• 事實證明，愚蠢的騙局在2025年會迅速消亡。

• 編寫更好的安全工具的動力

作為回報，我給了你：

• 您的整個基礎設施已繪製完成

• 您的主機提供者的濫用郵件

• 90多家安全廠商正在分析您的網站

• 本文旨在警示他人。

你想偷我50美元，但我把你的整個行動都搶走了。

給其他看到這篇文章的騙子：選擇目標時要更加謹慎。

致開發者、安全研究人員和技術人員：我們是網路的免疫系統。讓我們繼續搜尋安全漏洞。

🛠️資源與工具

我的阿森納：

• 子網域查找器- 子網域枚舉

• VirusTotal API - 威脅情報

• AbuseIPDB - IP信譽

• URLhaus - 惡意 URL 資料庫

了解更多：

• OWASP威脅情報

• 專案發現工具

• Abuse.ch 平台

我的方法：

完整調查報告（已減敏處理）：[可應要求提供]

📝 經驗教訓

對於捍衛者：

1. 一切自動化

2. 使用免費的威脅情報API

3. 記錄你的發現

4. 與社區分享 IoC

5. 立即向主機提供者報告

致詐騙者：

1. 不

2. 說真的，別這樣

3. 找份正經工作

4. （合法地）學習編程

5. 如果忽略第 1-4 點，至少不要針對開發者。

🌟 要點

我們活在一個這樣的時代：

• 一個 Python 腳本即可繪製出您的整個基礎架構圖。

• 免費 API 金鑰讓任何人都能存取企業威脅情報

• 開源工具可與商業安全套件相媲美

• 一個惱怒的開發人員可以在一個下午內摧毀你的營運。

愚蠢的騙子將比以往任何時候都更容易被辨識出來。

如果你瞄準的是一個把程式設計當作嗜好的人呢？

GG，你自作自受。

🤝 連結與協作

如果您正在從事類似的安全研究或想分享威脅情報，請與我們聯絡。分享越多，詐騙手法就越快消失。

記住：不要作惡。用你的力量做好事。而且，永遠、永遠都要先搞清楚你想騙的是誰。

給騙子：如果你看到了這則訊息，我希望你能從中學到教訓。你的下一份工作應該少一些犯罪，多一些合法的程式碼創作。

致其他所有人：注意安全。如果收到可疑簡訊？不妨先看看是不是個學習機會。 😈

免責聲明：本文所述技術僅用於教育和防禦目的。請務必向有關部門舉報網路犯罪。切勿參與任何非法活動。

本文撰寫過程中，沒有騙子受到傷害，但他們的犯罪基礎設施被徹底摧毀。

#網路安全 #威脅情報 #Python #開發者生活 #不要欺騙開發者 #1337

原文出處：https://dev.to/copyleftdev/dear-scammers-you-picked-the-wrong-developer-46m6