天堂玩家注意!假官網登Google搜尋第1名 全台已累積逾10萬次惡意連線
〔記者邱巧貞/台北報導〕天堂玩家注意!近期有駭客鎖定熱門遊戲《天堂》玩家發動網路攻擊,甚至連日常使用的搜尋引擎都成為陷阱入口。
根據台灣網路資訊中心(TWNIC)調查,一個駭客集團打造了高度擬真的假冒官網,並透過SEO操作,將惡意網站的搜尋排名推上Google第一名,甚至超越真正官方網站,導致不少玩家在不知情的情況下誤點並下載惡意程式。該集團甚至進一步架設假的遊戲助手網站,形成完整攻擊鏈,全面鎖定《天堂》玩家。
事件起初源於玩家在論壇Reddit發文警告,指出搜尋韓國遊戲公司NCSoft的遊戲啟動器「PURPLE」時出現異常網站,文中提到真網頁的域名為purple.plaync.com,而假網頁的域名為purple.purplenc.tw,因TW域名為TWNIC管理範疇,故TWNIC主動進行此事件之調查。
首先在假網頁的域名中可發現其使用到purple字串,搜尋後得知purple為ncsoft的遊戲啟動器,玩家可以在下載purple後透過purple啟動ncsoft的遊戲,例如天堂、劍靈、Aion 2等等。顯然駭客也知曉此點,因此將假網頁的名稱取名為purple,並透過SEO洗到Google搜尋排行第一,真正的官網則為排行第二。
假網站連上後畫面幾可亂真,幾乎完整仿冒官方頁面,在網站的右上角可以點擊下載駭客加料的purple軟體,但實際下載的卻是被植入後門程式的惡意安裝檔。一旦執行,使用者裝置可能遭入侵,進而導致帳號、密碼甚至信用資料外洩。
更值得注意的是,這並非單一釣魚網站,而是一套完整且精準的攻擊布局。駭客除了假冒官方啟動器外,還同步建立偽造的外掛論壇與付費頁面,例如gdlmg.club.tw與tw711.com.tw,全面滲透玩家常接觸的各類資源平台,使玩家在搜尋遊戲相關工具時,極易層層中招。
此外,該集團亦註冊多個混淆性極高的網域,包括discord.com.tw、metamask.com.tw、potplayer.com.tw等,藉由模仿知名服務名稱提升可信度,進一步擴大攻擊範圍。
TWNIC透過Passive DNS系統分析發現,該假網站已累積數百筆連線紀錄;若以其流量約占全台0.1%推估,全台應有超過10萬次連線至此假網站之紀錄。進一步追查IP位址 204.12.218.99,也發現該駭客過去曾試圖仿冒《楓之谷》相關網站、《天堂W》頁面以及其他遊戲與資源平台,顯示其具備長期經營與多目標攻擊能力。
TWNIC也提醒,多數使用者習慣直接點擊搜尋結果第一名,卻忽略網址細節,正是駭客得以利用的關鍵漏洞。因此建議玩家下載遊戲或相關工具前,務必確認官方網域,避免點擊來路不明的搜尋結果或廣告連結,同時避免使用未經授權的第三方外掛程式,以降低資安風險。