隨著一年一度的購物季節黑色星期五的到來,消費者忙於尋找優惠的同時,也正面臨著愈發嚴峻的網路詐騙威脅。近期,中國駭客集團SilkSpecter透過假冒電子商務網站,利用虛假的折扣活動,對歐美的網路購物者展開了大規模的網釣攻擊,試圖竊取信用卡信息與個人資料。
攻擊手法解析:假網站與高科技追蹤器
SilkSpecter主要利用中國SaaS平台「oemapps」搭建虛假的購物網站,模仿知名電商平台,並採用如「.top」、「.shop」等頂級網域名稱以提升可信度。這些網站聲稱提供黑色星期五特惠商品,吸引消費者點擊。一旦進入網站,駭客會使用追蹤工具如OpenReplay和TikTok Pixel,收集訪客的行為數據,例如IP地址和地理位置。
在用戶進行模擬購物時,消費者需要輸入包括姓名、地址、信用卡號碼等敏感信息。儘管付款過程表面上透過合法平台Stripe進行,但資料同步發送至駭客控制的伺服器。此外,駭客常要求消費者提供電話號碼,以便進一步騙取多因素驗證碼或其他敏感數據。不僅僅是釣魚:SilkSpecter的多樣化攻擊手段
除了針對消費者的釣魚攻擊,SilkSpecter還採用了多種惡意策略,包括:
- 魚叉式釣魚攻擊:針對企業和高價值個人,發送定制化的釣魚郵件。
- 漏洞利用:攻擊未修補的軟體漏洞,獲取未經授權的系統訪問。
- 中間人攻擊:攔截用戶與伺服器間的通訊,竊取或修改敏感數據。
- 數據販賣:竊取的信用卡資料與個人信息常被販賣至黑市。
這些多樣化的攻擊手法使SilkSpecter成為國際網路安全的重大威脅。
防範之道:如何保護自身免受攻擊
在黑色星期五這樣的購物高峰期,消費者應保持高度警覺,採取以下措施保護自己:
- 僅在知名網站購物:確認網站URL是否正確,並確保其使用HTTPS協議。
- 避免超低折扣誘惑:理性看待折扣優惠,警惕「兩折起」等不合理的宣傳。
- 不點擊不明連結:謹慎對待來自陌生發件人的電子郵件、簡訊或社交媒體廣告。
- 使用虛擬銀行卡片:減少信用卡信息外洩風險。
- 啟用雙重認證:增強帳戶安全層級。
- 定期檢查交易紀錄:及早發現並處理可疑活動。
結語:提高警覺,共度安全購物季
SilkSpecter駭客事件提醒人們,隨著線上購物的便捷性提升,詐騙手段也在不斷升級。消費者需要在追求優惠的同時,對網站安全性和交易風險保持警惕。透過實施上述安全措施,您可以在這個黑色星期五安心享受購物樂趣,而不必擔憂成為駭客攻擊的目標。
