在現實生活中,仍然有很多人相信世上存在「免費午餐」(真正的慈善工作除外),可以不勞而獲取得好處,更相信網絡上無時無刻都有「大慈善家」會把優惠免費向公眾無限量派發,而正因為有這些人的存在,利用免費送優惠圖利的詐騙網站,無論在哪個地區都可以找到。
詐騙網站很多人讚好?
各種禮物卡生產品的廣告通常透過濫發郵件或可疑的網上廣告橫幅傳播,這些生產器的網站質素參差,也有一些設計得極為專業,但他們的行為都完全相同,向網站訪客提供免費生成禮物卡服務,常見的例如:iTunes、Google Play、Amazon、Steam 等等,一個網站能提供多種禮物卡。而且和一般的釣魚網站一樣,網站通常不會說明為何製作人會如此「善心」,但是卻有很多「用戶」留言大讚,表示生產器生產的禮物卡有效,事實上當然是全部都屬虛假的留言,目的就是讓訪客信以為真。
真生產器難以破解
大企業例如 Apple 或 Google 的禮品卡編號運算都受到嚴密保,護避免受到攻擊,根據網絡保安專家的記錄,只有一宗備受矚目的類似事件,在 2009 年 iTunes 的編碼生產運算據稱被中國黑客破解,事件其實更像「洗黑錢」行為,雖然小商戶提供的禮品卡受到較少保護,騙徒相對也較低興趣。
以驗證為名進行詐騙
如果想取得禮物卡編號,訪客首先要在網站上選擇禮物卡,然後系統便會開始「生產編號」(入侵) 程序,為了增加可信性,螢幕上會出現不同的訊息關於連接伺服器和其他操作。訪客在整個過程中都不會看到產生的編號,直至確認到他們為真人而非機械人,這個步驟就需要訪客點擊連結完成特定的工作。
因應訪客所在的地區,網站可能要求訪客填寫問卷、進行抽獎、提供電話或地址資料、申請付費的 SMS 服務、安裝廣告軟件 (重新定向用戶所有搜尋、收集網上活動資料和拒絕刪除) 或他行為,選擇的動作取決於詐騙網站與其他網站的伙伴關係,然後基於地區作分類,每個地區都有網絡伙伴負責處理法律和語言的問題。
結果當然是令人失能,受害者不是來回於不同的網站伙伴填寫不同的表格或抽獎,然後取得一組隨機的編碼,這些理所當然地也是假的編碼,只是模仿相關禮物卡的格式。
詐騙網站不直接騙財
在整件事件中,假編碼生產器的網站持有人並不會直接騙取到訪者的金錢,他們倚靠出售「訪客到伙伴網站的行動」來圖利,收入可以由數毫子一次點擊連結至數十元填好一張表格,又或者登記付費服務,其中不排除有部份廣告的合作伙伴真的認為,取得的用戶資料是真心對他們的產品有興趣,也有部份廣告伙伴其實不太理會,他們取得資料只為用成濫發郵件或相似目的。
沒有免費午餐
雖然的確存在正常的網站為用戶提供折扣或禮物卡,但其實屬於會員計劃 (loyalty program) 的一部份 (例如在伙伴商戶購物換取點數),通常要求用戶花費一定的時間和金錢才會夠取得,相比詐騙生產器取得的 (假) 編碼需要付出更多,證明網絡上並沒有免費午餐,用戶謹記便宜莫貪,小心掉人詐騙陷阱。
資料來源:Threat Post