废弃会员卡“诈尸”？扫码竟进诈骗网站，日企域名管理漏洞敲警钟！​

Meise

最近有件事儿，可把日本知名商场“艾托雷”给惊着了。艾托雷是JR东日本铁路公司旗下的商业设施品牌。他们发现一件挺吓人的事儿：不少人家里可能还留着过去发的旧款“艾托雷会员卡”，这卡片背面印着个QR码对吧？你要是现在拿手机去扫那个码，嘿，它居然能跳转到一些莫名其妙的、搞诈骗的网站！

艾托雷赶紧就出来提醒大家了。这事儿可真不是他们自己干的坏事儿。原因出在哪儿呢？是那些过去专门给会员提供服务的网址，虽然艾托雷自己早就停用不用了，结果被有心人（也就是第三方）偷摸拿去搞了歪门邪道。

这些出问题的旧会员卡，是在2013年10月到2016年1月之间发出去的。卡片背面的QR码本来设计得挺好使，当年一扫就能登录会员专属的“我的艾托雷”服务网站，对会员还挺方便的。但这个“我的艾托雷”服务，在2016年2月就已经结束了。

按道理说，服务停了，原来的地址链接就应该作废了才对。但怪就怪在这儿，竟然有人把这个已经“死掉”的地址给“复活”了，只不过，复活之后干的是诈骗的勾当！它是怎么“复活”的呢？

根据JR东日本那边给出的信息，艾托雷公司在2017年夏天做了一件事：他们把那个网络地址的核心部分——也就是“域名”（比如，咱们访问一个网站，网址里像example.com这样的部分就是域名）的管理权给放弃了。这里有个关键的知识点：如果一个公司或个人放弃了一个域名，等过段时间，这个域名别人就能重新注册拥有了。对号入座，就是有人瞅准了这个机会，把艾托雷以前用的域名给注册走了，然后冒充起艾托雷的名义玩起了坏把戏！不过现在还好，那些不三不四的诈骗网站已经访问不了，被封了或者停了。

其实吧，像这种被丢弃的域名，在网上私下买卖的情况还真不少见。有人就发现，像大型的网络拍卖平台上，甚至能看到日本官方之前搞的那个刺激旅游的项目“Go To Travel”用过的疑似域名，还有一个叫“police-map.com”（字面意思就是“警察地图”）这种名字的域名，都被摆出来“卖”了，想想都觉得不简单。

更让人头疼的是，这事儿现在好像还没啥太好的办法能完全管住。日本管理互联网的总务省说了，目前国内并没有专门的法律法规或者正式的要求来管域名的买卖交易。所以呢，就算你发现有人买了废域名干坏事，想阻止他使用也挺难，手头上没啥硬家伙管用。

艾托雷这事儿可不是孤例。之前也有报道，有人把和地方自治体（类似咱们的地方ZF或相关团体）有关的域名给搞去干坏事，直接把访问的人引到了在线赌场网站。还有更夸张的呢，日本中央级的部门，总务省、厚生劳动省、经济产业省、文部科学省、国土交通省这些大门大户，都被发现过域名管理上有问题，有过疏漏，导致第三方有机可乘，差点把这些职能部门的域名拿来搞非法勾当！正因为这些问题的出现，日本的数字厅现在正忙着制定一套规范指南，让大家管好自家域名，别出漏子。

这事儿给所有公司企业，还有ZF机构提了个大醒：当你决定停止一项服务，或者打算不用某个网络地址时，处理后续、特别是那个“域名”怎么处理，可千万不能“撒手不管”。你撒手了，坏人没准儿就盯上了，利用你废弃的域名设个局，结果坑害的可是信任你的普通用户和老百姓。大家可得把自家废弃的“网上家当”管管好啊！