每年的 Black Friday 和 Cyber Monday 都是購物的旺季,騙徒及犯罪份子自然不放過這個機會,今年這些不法份子分別用到偽冒網域、社交媒體送禮騙局和惡意 Chrome 插件,冒求取得消費者的付款資料。
盜取資料和散播惡意程式
研究人員在今年 Black Friday 的購買熱潮中,發現有不法之途分別利用社交媒體騙局、偽冒網或的手法,目的都是盜取不虞有詐的購物者的登入或付款資料,甚至是散播惡意程式到購物者的系統,而且用盡方法瞄準最多的受害者,包括假借尊享、限時送禮或要求受害者在社交媒體分享騙局以取得更多優惠。
知名品牌實體店成主要目標
研究人員表示,每逢臨近假期,騙徒便開始瞄準消費者,而且每年都有上升趨勢,而且訛稱送禮的手段越來越精密,騙徒使用更多誘惑的手段,令受害者時間緊迫而容易誤墮陷阱。在統計中發現,攻擊者主要把擁有實體店的知名品牌作為目標,其中 Walmart、Target、Apple 和 Tiffany 都成為目標,不過奢侈品所佔的總百份比比較低,當中實體店佔了 92%,這數字符合研究人員的預期,因為大部份人還是會到傳統的實體店進行購物。
想盡辦法接觸更多漏在受害者
騙徒充份利用了社交媒體能接觸到公眾,特別活躍於 Facebook 和 Twitter,通常會利用提供免費優惠或禮品卡作為誘餌,騙取消費者點擊連結,進入外在網域,然後要求輸入不同的個人資料,由電郵、地址、信用卡資料等等,盡量一次過收集消費者所有重要的資料,而消費者一心想取得某些免費產品,而不懷疑已掉入陷阱。
除了誘人的圖片,騙徒今次還善用了 hashtag,因為只要透過 hashtag 就能找到騙局的資訊,方便更多受害者掉入陷阱,而網上商店方面,偽冒 Amazon 是最常見網域。
其實是網絡釣魚攻擊
在社交媒體上的送禮騙局,其實可以判斷為網絡釣魚攻擊,在社交媒體貼文所連結的外部網站,大部份的像真度都十分高,容易令人信以為真,而且以送 iPhone 和 Samsung Galaxy 手機最為常見,有部份釣魚網站更直接抄襲真的網站,令釣魚網頁更加真實,這亦有助騙徒收集受害者的個人資料。
資料來源:Threat Post
