请注意，新出现的breached.fi并非BreachForums论坛，是一个假冒网站

几天前，BreachForums论坛在暗网与明网均陷入瘫痪，“暗网下/AWX”已经提醒小心谣言及诈骗信息了，但未曾想到，除了谣言诈骗，还有假冒网站，一个新的所谓替代网站“breached[.]fi”突然出现，甚至威胁情报研究者都认为这是BreachForums论坛更换的新明网域名，但这个网站大概只是一个新的蜜罐。

之前“暗网下/AWX”得到的关于的消息：“目前的情况通报如下：Shiny删除了他的Telegram，但没有对任何版主说过一句话。Hollow昨天还在线，但没有理会任何信息，并更改了最后一次在线时间的设置。目前，Shiny和Hollow都应被视为Sus，直到有更多信息出现。”

事实上，之前就有网友在Telegram提醒：“Breachforums似乎暂时瘫痪了，没有替代品或新的域名。不要上当受骗或被骗入蜜罐。注意安全。”然而，无数黑产从业者对BreachForums论坛的需求是趋之若鹜的，有网友在Telegram群组大声呼唤：“我需要breachforums”。

于是一个假冒网站“breached.fi”应运而生，宣称自己就是Breachforums的新域名，新网站Owner是Anastasia，并发布了一个公告：

亲爱的社区成员：正如你们许多人所注意到的，BreachForums的基础设施突然下线了。
这是由于一个意外问题造成的，主要是因为之前负责管理基础设施的Shiny已经失联，我们无法联系到他。
鉴于此，我们决定彻底重建。我们已经准备好了一个全新的基础设施，并将使用全新、干净的源代码库。这确保了之前版本中不存在任何未知的后门或漏洞（无论有意或无意）。
安全和稳定是我们未来的首要任务。新论坛即将上线。
感谢您的耐心等待和持续支持。

看起来有点像官方声明，只不过，这是一个假冒网站。DarkWebInformer（@DarkWebInformer）在X里提醒：

BreachForums的PGP无法与breached[.]fi上的金丝雀（canary ）进行验证。请自行承担使用风险。请始终遵循“信任但要验证”的方法。您可以随时使用我的PGP验证工具。

对此，vxdb（@vxdb）在第一时间转发假冒网站的公告后随即删除了他的推文，并发布道歉推文：“我发表的关于Anastasia公告的帖子是在一个假冒的breakforums网站上发布的。我本该尽职尽责，确认该域名是否合法。我向您道歉，我已经删除了原帖。”

hasan（@sextorts）有一些内幕消息，他表示：breached[.]fi和breakforums[.]st一样其实都在记录用户的IP，但这不是重点，重点是Anastasia和Shiny都有访问域名的权限，当时IntelBroker在，没有他们的许可，无法连接任何DNS。直接判断breached[.]fi是假冒的方法是其没有数据库，因为除了拥有网站正面的快照外，没有人可以真正登录该网站。

hasan称自己是一个OSINTer（威胁情报研究者），而不是一个入侵者，因此他注意到的这些事情高于其他人的第一手资料的。他的几点担心：

• 新网站并没有BreachForums的数据库，虽然前端网站的存档快照清晰可见，但人们根本无法登录网站
• 新域名托管在芬兰的 .fi ccTLD 上，与圣多美和普林西比的 .st 相比，.fi ccTLD 需要符合北约和欧盟的规定，而 .st 则不需要符合 MLAT 的规定
• 启动新的BreachForums项目，似乎恢复一些强大而不是蜜罐的东西，但现在看起来像联邦调查局的人。
• breakforums[.]st域名解析在DDoS guard，尽管BreachForums通常在被攻破后会更换主机，但DDoS guard本身被攻破，因此breachforums[.]st没有启动。但现在如果它在一个符合欧盟和其他执法机构要求的新域名上启动，这很不合理。
• IP记录，它肯定会记录您的IP，因为DDoS防护选择的主机是cPanel，但从外观上看，它有更多的JavaScript路由，可能会记录您的cookies等信息。

技术分析的非常全，也与“暗网下/AWX”前面提醒的类似，这时候冒出来的网站、Telegram群组大概率都是冒充。BreachForums接下来有什么故事，“暗网下/AWX”将持续关注。

更多暗网新闻动态，请关注“暗网下/AWX”。