根據統計2024年全球電子商貿交易突破7兆美元,並估計接下來5年將增長1.5倍,這亦吸引了網絡犯罪份子的注意,去年因為詐騙就造成440億美元損失,往後5年更可能高達1070億美元,其中有多種詐騙活動構成最大威脅。
帳號盜竊
因為資料盜竊工具和不同的資料庫外洩,攻擊者取得數以十億計在不同網站上的電郵和密碼組合,他們可以在任何其他網站上嘗試這些用戶帳號,因為很多人都在不同服務上使用相同的密碼,這種攻擊名為「credential stuffing」,一日成功,攻擊者就能使用受害者連繫銀行卡或會員點數購物,犯罪份子也使用遭入侵的帳號使用其他信用卡進行欺詐性付款。
測試盜竊信用卡
就像登入憑證一樣,攻擊者也可能持有從惡意程式得來的盜竊信用卡資料,他們需要測試該卡的有效性和可進行網上付款,而電子商貿平台就是他們的測試工具,測試的購物額通是都很小,發現仍能使用的卡便會出售予其他犯罪份子,再使用不同的渠道吸乾資金。對商戶而言,只是看似有客戶把大量不昂貴的產品加到購物車,並重複嘗試結帳,每次使用不同的卡,即使是小商戶可能會累積數百次被遺棄的購物車,最終付款平台可能會因為失敗付款太多而封鎖商店。
買家詐騙
有時候真實的客戶可能在完成結帳後,稍後時間告訴銀行他們從沒購物並要求退款,這可能是詐騙,也可能是家庭成員丈經授權下使用信用卡(例如兒童使用父母的信用卡),雖然這種事故通常只是少數,但對商家仍能構實嚴重傷害,尤其當商戶對「聰明」的社群認為是容易退款的網站時。
欺詐訂單
根據商店的定位、位置和其他因素,犯罪份子可能嘗試使用被盜的信用卡購買貨品或服務「套現」,結果在大量購買後導致大量投訴和取消,在某些極端個案,單是數量已構成威脅,一家商店11萬8000個欺詐訂單,犯罪份子每3秒便下一張假訂單。
禮品卡攻擊
如果商店接受禮品卡,機械人可能會嘗試暴力破解數以千計的卡號碼和核實碼,以找出有效的一張,一旦發現,他們可能直接用來購物或在第二市場上出隻。
會員積分盜竊
如果商店在接受透過會員積分進行購物而無需額外的SMS或其他方法核實,攻擊者就能立即吸乾他們手上帳號的積分,又或者繼續等受害者累積更多積分,後者通常發生在較高貨品價值的商店,以及有忠實的客戶群。
搜括特別產品
如果你出售搶手的演唱會門券或限量版波鞋,搜括用的機械人能在數分鐘有搶購所有獨別的產品,引發其他忠實客戶的不滿,在黑市上有出售專門針對知名電子商貿平台的機械人,例如Shopifybot。
大量帳號登記
為實成功實施以上的活動,攻擊者經常在商店創建數以十萬計的帳戶,同時增加了商戶的操作成本,包括發送歡迎SMS訊息和其他電郵活動。
對商戶構成直接和間接損失
即使商戶和客人雙方都沒有金錢或貨物損失,任何以上的行為都會引起廣泛的問題和花費:
- 詐騙交易和重複付款失敗引發的成本,根據情況和支付平台之間的協議,商戶可能需要支付交易和退款費用、罰款和其他成本,也可能超出了交易限額和被暫停使用支付平台,正常運作被癱瘓。
- 廣告的成本和分析被干擾,機械人經由推薦連結、付款廣告和其他形式的網上廣告,這意味著商戶真實廣告的預算可能浪費在吸引假用戶,即使機械人不直接消耗預算,他們的活動可能搞亂廣告平台的演唱法,結果導致降低網站的流量品質。
- 不當地創建新帳號帶來的行銷活動和推廣成本,已登記的用戶創建新帳號來賺取首次購物的迎新獎勵,又或者騙徒尋找漏洞試圖以不誠實手段獲取大量獎賞,結果原本用來吸引和增加用戶忠誠度的預算被浪費。
- 幾個假交易難以從商戶分析中過濾,尤其只倚賴電子商貿平台上預設的分析工具,結果在制訂要求和存倉的計劃時可能變得困難。
- 處理數以百計的棄單、數以千計的假帳號和無數的付款失敗,浪費員工的時間和精力,引致營運的延誤和損失。
- 根據攻擊的種類,客戶可能受到直接損失(金錢被盜、積分被盜、使用他們的帳號進行詐騙活動),或間接的不便(產品短缺、交易失敗),無論哪種情況,支援和行銷團隊都需要處理,提供節扣、賠償等行為以安撫客戶的不滿,但有些客戶可能自此不再光顧。
保護網上業務
利用過濾IP地址封鎖機械人或在結帳時加入CAPTCHA已經過時,AI大量湧現不但有利於行銷和客戶支援的自動化,同時新世代的危險詐騙機械人也能簡單地繞過傳統的防護。不論不論業務的規模都需要次世代的保護技術,由用戶進入網站直至支付持結監察用戶的活動,持續即時分析用戶的裝置、行為、環境和metadata,為合法用戶建立個人檔案,及時偵測異樣和防止帳號洩漏和詐騙,防護協助偵測任何已被入侵的合法帳號,濫用支付平台API,創建大量假帳號或嘗試規避保安措施。
資料來源:Kaspersky Blog
