企业动态

    2月5日，奇安信XLab 实验室最新报告称，仿冒 DeepSeek的网站、钓鱼网站已经超过2千个，并还在快速增加中，用户需要高度警惕。这些仿冒网站利用相似的域名和界面来误导用户，用来传播恶意软件、窃取个人信息或骗取订阅费用。此外，骗子紧跟技术潮流，利用市场的兴奋情绪，还推出了所谓“DeepSeek 加持”的各种高大上功能的空气币（无实质价值的虚拟货币），甚至出现宣称可以购买DeepSeek内部原始股的网站。这种模式与过往许多科技爆款（如 ChatGPT）在爆火后迅速出现大量仿冒和诈骗的趋势高度相似，也可能给用户带来大额财产损失。

    奇安信XLab实验室对2024年12月1日至2025年2月3日期间的域名注册情况进行了统计分析，发现在此期间共出现了2650个仿冒DeepSeek的网站。大规模的仿冒域名注册活动从2025年1月26日开始，并在1月28日达到高峰，尽管随后的增长幅度有所减少，但仿冒域名的数量仍在持续增加。

    根据奇安信XLab对当前DeepSeek仿冒域名解析结果来看，这些仿冒域名的使用用途主要为钓鱼欺诈、域名抢注、流量引导，其中钓鱼欺诈主要通过窃取用户登录凭证、利用相似域名和界面误导用户、诱骗用户购买虚拟资产等手段实施诈骗。此外，这些仿冒DeepSeek的域名中有60%解析IP位于美国，其余主要分布在新加坡、德国、立陶宛、俄罗斯和中国，仿冒域名所呈现出的全球化特点，意味着用户可能面临来自世界各地不同类型的网络攻击，潜在安全威胁更加复杂多样。

    以下是奇安信XLab 实验室《DeepSeek 出现大批仿冒域名并在持续增加中》报告原文：

    网络安全领域，由于大规模的基础数据支持，奇安信XLab在多个领域拥有很好的全局视野，能够实时监测互联网中的各种活动，也因此能够发现许多有趣的现象。每当出现重大突发事件或现象级的爆火产品，总会有不同目的的行为随之而来。奇安信XLab不仅能看到技术进步如何推动社会发展，同时也能看到一些别有用心的行为在暗中滋生。

    例如，最近的加州大火引发了全球的关注，人们纷纷捐款以支援灾区。然而，黑客们却利用这种同情心，迅速设立假冒救灾网站，通过钓鱼手段骗取善款，导致不少善良的捐助者上当受骗。

    类似的情况，在科技领域的现象级事件中也屡见不鲜。最近，中国的DeepSeek成为了人工智能领域的现象级爆火服务，短时间内吸引了大量关注。然而，奇安信XLab在大规模域名观测系统中发现，DeepSeek的爆火也带来了大量的仿冒网站、钓鱼网站。目前，XLab检测到的仿冒 DeepSeek相关网站数量，已成为近期监测数据中仿冒、抢注、钓鱼最多的类别之一。通常假冒抢注的网址数字多在十位级别至多百级别，但是这次已经有超过2千个域名，而且现在这个数字还在快速增加。

    这类模仿现象，有的可能只是出于商业目的，想借助 DeepSeek 的热度售卖有前途的域名或者吸引用户；但也有不少恶意行为者，利用相似的域名和界面来误导用户，甚至传播恶意软件、窃取个人信息或骗取订阅费用。除此之外，骗子紧跟技术潮流，利用市场的兴奋情绪，还推出了所谓“DeepSeek 加持”的各种高大上功能的空气币（无实质价值的虚拟货币）。这种模式与过往许多科技爆款（如 ChatGPT）在爆火后迅速出现大量仿冒和诈骗的趋势高度相似。

    因此，奇安信XLab 实验室统计了从2024年12月1日到2025年2月3日两个月的时间域名注册情况，共观察到2650个仿冒DeepSeek的网站。首次看到仿冒deepseek域名的注册时间在2024年12月14日，绝大多数的域名注册在2025年1月26日之后。此外由于数据获取有一定的延迟，因此真实数字要比这个数据会更大。

    注册时间分布

    大规模的仿冒注册从1月26日开始，1月28日达到顶峰，当天超过800个域名，随后几天数据有所下降。

    注册商的情况

    共涉及180个左右不同的注册商

    Top10的注册商占了总域名数量的69%

    同正常域名注册类似，头部的几个分别为GoDaddy，阿里云以及Spaceship等域名注册商。

    在TLD方面

    最多的仍然是通用顶级域，其次是国家顶级域以及新顶级域。

    TLD的具体分布如下：

    在注册人方面

    绝大多数的域名注册人都采用了隐私保护。无法看出是否存在同一个实体进行大批量注册的情况。

    在解析结果方面

    美国有全球最大的域名注册机构和云服务商，所以解析结果60%位于美国。接下来是新加坡，德国，立陶宛，俄罗斯和中国。这六个国家占了总解析IP数量的86.9%。

    从AS来看，主要解析在域名注册商和云服务厂商中。

    域名用途

    从域名解析结果来看，这些域名的使用主要有如下几个用途：

    1.钓鱼欺诈类，用来窃取用户登录凭证或者诱骗用户购买相关的虚拟资产。钓鱼相关页面如下：

    2．通过空气币诱骗用户的网站，有很多，比如：

    3．购买股票网站：除了常规的空气币诈骗之外，骗子甚至宣称可以抢先购买deepseek原始股，着实很动心暴富的机会来了吗？

    4.域名抢注，以期后续能够通过域名获得较好的收益。比如下面这种deepseekagent.com目前标价37.95万人民币，即使DeepSeek目前的热度，这个价格也已经着实不低了。

    5.做AI研究相关的个人或组织，通过这种方式提高其网站曝光度和紧跟研究热点。比如下面的站点：

    一些域名样例

    deepseekr3.com

    deepseekwin.com

    deepseekcto.com

    netdeepseek.com

    deepseekgod.com

    domaindeepseek.com

    deepseek-ai-assistant.com

    localdeepseek.com

    deepseekv3.com

    deep-seek-r1.pw

    seeksdeeper.com

    deepseeky.com

    deepseekai.pics

    finetunedeepseek.com

    deepseekjournal.com

    ideepseekai.com

    deepseek-chat.vip

    discoverdeepseek.com

    learndeepseek.org

    deepseek.cam

    deepseekportfolios.com

    deepseeksol.xyz

    deepseekmoscow.ru

    deepseeknow.xyz

    godeepseek.xyz

    deepseekspan.com

    agideepseek.com

    deepseekworkflow.com

    openaideepseek.com

    deepseek-ai.space

    bdeepseek.com

    deepseekaiapk.com

    deepseek-bank.com

    deepseek27.com

    deepseekindustry.com

    deepseekcoin.net

    deepseekpartners.org

    aideepseek.se

    deepseekasia.online

    8deepseek.com

    deepseekphone.com

    deepseek123.com

    受影响情况及安全建议

    从我们PassiveDNS数据来评估，这些域名的流行度都不太高。绝大多数的域名访问量都极少，只有3个域名的访问来源数量超过50。

    尽管这些伪造的DeepSeek域名在应用形态方面呈现出多种形式，不过这些域名的解析都处在快速的变化之中。

    出于严格的安全考虑，建议用户在访问DeepSeek相关的服务时，务必访问其官方网站deepseek.com 以及 deepseek.cn。其他的域名除非你能够确认访问的的身份，否则不建议进行深度交互，尤其是涉及到用户名密码相关的敏感数据，都需要慎之又慎。

    DeepSeek上线后遭遇的网络攻击时间线梳理

    2月5日

    仿冒 DeepSeek的网站、钓鱼网站已经超过2千个，并还在快速增加中

    1月30日

    2个Mirai变种僵尸网络（HailBot、RapperBot）参与攻击，攻击指令激增100多倍，预示着“职业打手”进场

    1月27、28日

    增加大量HTTP代理攻击，手段转为应用层攻击，防御难度提升

    1月26日

    开始出现大批仿冒DeepSeek的域名，1月28日达到顶峰

    1月20日、22-26日

    以易被清洗的SSDP、NTP反射放大攻击为主，少量HTTP代理攻击

    1月3日、4日、6日、7日、13日

    疑似HTTP代理攻击，出现大量通过代理去链接DeepSeek的代理请求