台灣、中國有雙 11 購物節,歐美則有黑色星期五購物潮,這兩者提供消費者以更低於平日的價格入手官網很久又捨不得買的東西。網路惡意人士也正在為此摩拳擦掌,佈下網路釣魚、詐騙、虛假網站等陷阱等著消費者打開錢包,安全研究單位卡巴斯基發現不只瞄準了 2022 年 FIFA 世界盃假票之外,針對今年黑色星期五與聖誕購物季的騙術也有更新。
黑五購物潮來襲,安全單位發現網路詐騙隨之翻新
網路詐騙萬變不離其宗,雖然有或多或少的差異,但最終目的不是騙取消費者的金錢,就是用戶個人資訊。網路購物最大的優點就是能夠跨越地區限制,輕鬆購得海外商品,所以台灣消費者也很可能會落入黑五詐騙圈套中,卡巴斯基針對最近的網路騙術整理分享,希望大家提高警覺,小心至上。
針對數據和線上支付帳戶的網路釣魚
從 2021 年 1 月至 10 月間,僅卡巴斯基的安全產品就檢測到超過 4000 萬次的網路釣魚攻擊,其中包含 Amazon、eBay、阿里巴巴和 Mercado Libre 都是最受歡迎的佈餌標的,因此若你收到大型電商平台發出的促銷和折扣電子郵件應格外小心。
▲網路釣魚信件催促用戶趕快填寫假的快速意見調查以獲取促銷優惠
以趨勢而言,網路釣魚竊取電子支付系統的帳戶憑證,光是 2021 年 10 月的統計與前一個月相比就增長了 208%。雖然銀行憑證仍然是目標,但因線上支付系統在過去兩年裡面受歡迎程度提升 40%,網路釣魚惡意人士現在更傾向於對線上支付動手腳。
銀行木馬逐漸匿跡
卡巴斯基發現,網路犯罪份子在 2021 年對網路購物者用了 11 種不同的惡意軟體,其中有一半以上是 Zeus 銀行木馬的變種,2021 年惡意攻擊中比較流行的病毒還包含 Qbot(13.9%)、Anubis(13.4%)、Trickbot(11.6%)與 Neurevt(4.8%)。另一項趨勢則是受感染的人數,從過去兩年的 2000 萬下降到今年的 1000 萬,這種下降與不肖人士將焦點轉移到線上支付的行徑一致,這些特洛伊木馬中大多數定為狹窄,僅限於特定的金融機構或平台,因此必須花更多努力才能瞄準更多的潛在受害者。
目前流行的惡意軟體更著重於針對電子商務平台,目的從中竊取線上商店帳戶憑證、信用卡號、CVV、信用卡到期日和電話號碼等資訊。
祖傳招式:惡意網站
有兩種類型的假網站可能會對受害者帶來影響,第一是竊取憑證的網路釣魚網站,第二則是直接瞄準竊取資金的詐騙網站。在地一種情形下,誘餌通常以電子郵件的形式出現,這些郵件聲稱由知名線上通路或流行的電子商務平台所發送,將收線者定為導向至虛假的登入頁面。
▲假的德文版 eBay 網站
第二種情況則是涉及通過複製其 CSS 和所有內容來創造一個與真實商店相仿的假網站,或是在不向買家寄送貨品的情況下接受付款的購物詐騙。在某些情況下,這些平台確實會向受害者發送一個空盒,僅為提供有效的物流追蹤號碼並延後用戶向平台反映的時間,這也減少了用戶使用 PayPal 付款遇到購物糾紛時阻止金錢匯入詐騙者帳戶的可能性,讓詐騙人士有更大機會收到這些不法收入。
▲詐騙人士還會仿冒一些流行品牌的官方購物網站來欺騙用戶。
如何在網路購物時確保安全
在各種大型購物季的時節,你會看到更多商品折扣與促銷活動,但其中一些是騙局的可能性也比平時更高,為了保護你自己與銀行帳戶裡的錢,你應該要採用更可靠的網路安全解決方案,並且在輸入付款資訊前始終保持警戒仔細檢查自己是否在合法、安全的網站上消費。如果你偶然發現一個低到讓人難以置信、超乎常理的特價,那麼即便現在正是下殺深可見骨的黑五購物季,它也很有可能是騙局。
最後,如果你使用的是電子支付而非信用卡,那麼由於數據洩漏的情況下影響較小,所以可以做為網路購物的主要付款方式,且因為電子支付系統利用的是虛擬卡號機制,不會直接將你的卡號暴露出來,所以在安全性上比直接用信用卡、銀行帳號付款更安全一點,若是在名不見經傳的小平台購物時可以考慮使用這種方式。倘若你還是必須以銀行帳號或信用卡付款,請務必驗證是否輸入的金額正確,並且密切監控未來的交易紀錄,避免在不知不覺間辛苦錢就被蠶食鯨吞了。