今年的黑色星期五(Black Friday)即將於11月29日到來,各家電商購物網站無不磨拳擦掌,打算藉此衝高業績。但在此同時,駭客也伺機而動,企圖從中騙取信用卡及個資。

威脅情報業者EclecticIQ自10月上旬,發現針對歐洲及美國的網路購物者而來的網路釣魚攻擊,駭客針對尋找黑色星期五折扣的購物者而來,假借提供折扣商品為誘餌,從而引誘受害者交出持卡人資料(Cardholder Data,CHD)、敏感身分驗證資料(Sensitive Authentication Data,SAD),以及個人可識別資訊(PII)。

而對於攻擊者的身分,研究人員指出他們來自中國,並稱呼這些駭客為SilkSpecter,研判是基於經濟利益發起這波攻擊行動。

根據相關調查,這些駭客使用了中國SaaS平臺「oemapps」架設讓人難以察覺異狀的假電子商務網站,並運用top、shop、store、vip等名稱的頂級網域名稱(TLD),來假冒實際的電商網站來行騙。

這些駭客宣稱提供黑色星期五購物2折優惠,讓消費者以為有獨家優惠而上當。一旦購物者存取這些釣魚網頁,駭客使用的網釣套件便會透過OpenReplay、TikTok Pixel、Meta Pixel等多種追蹤器,捕捉購物者的一舉一動。

究竟網釣套件會收集那些資料?其中包含瀏覽器的中繼資料,像是IP位址、地理位置、瀏覽器類型、作業系統資訊等。攻擊者利用這些資訊,並透過Google翻譯的API,自動將釣魚網頁翻譯成受害者使用的語言,而讓購物者更覺得貼近他們實際採買的電商網站。

附帶一提的是,這些網站右下角還會顯示Trust Store的圖案,讓購物者以為是在安全的電商網站進行交易。

當購物者下單,輸入相關的個資,網站就會透過合法的交易處理平臺Stripe傳送購物資料,但實際上,這些資料也會同步送到攻擊者控制的伺服器。研究人員特別提及駭客要求在完成購物前必須輸入電話號碼,很有可能是為了進一步利用竊得的信用卡及借記卡資料,對受害者詐欺,引誘他們提供更多敏感資料,像是多因素驗證(MFA)驗證碼,或是網路銀行的帳密等。

那麼攻擊者如何尋找下手目標,研究人員推測,很有可能是透過社群網站,或是搜尋引擎最佳化下毒(SEO Poisoning)等管道,來散布相關的URL。

文章來源