從2021年假日購物騙局中得到的安全教訓
到了假日購物季——尤其是11月下旬的感恩節、黑色星期五和網絡星期一(北美地區的購物節,算是“美版雙11”)——大量消費者涌入網絡“薅”羊毛。網絡犯罪分子自然也不會放過機會,他們會在圣誕節前的時間里,利用消費者“占便宜”的心理加大攻擊力度,2021年也不例外。
據TransUnion研究指出,發生在感恩節和網絡星期一期間的全球所有電子商務交易中,近18%存在潛在欺詐性,比去年同期增加了4%。以下是欺詐者針對2021年假日購物季采取的四種典型欺詐方式,以及零售商的應對建議:
網絡釣魚即服務(PhaaS)活動針對黑色星期五購物者
電子郵件安全公司Egress透露,在黑色星期五之前和當天,仿冒主要品牌的網絡釣魚即服務 (PhaaS) 活動有所增加。調查數據顯示,與網絡釣魚工具包相關的域名搶注增加了397%,冒充亞馬遜的網絡釣魚工具包增加了334.1%。
研究人員觀察了近4000頁冒充亞馬遜的內容,并詳細剖析了一個針對黑色星期五的網絡釣魚電子郵件示例,其中提供了虛假的亞馬遜促銷活動,試圖引誘收件人填寫附件表格以換取優惠券。進一步分析顯示,該附件包含XBAgent惡意軟件。
Egress威脅情報副總裁Jack Chapman表示,“PhaaS降低了網絡犯罪分子的準入門檻,使得冒充知名品牌和欺騙受害者變得更加容易。最近,掛牌出售的網絡釣魚工具包數量不斷增加,凸顯了犯罪分子在繁忙的購物時間進行攻擊的企圖。”
零售商應如何應對網絡釣魚活動
Egress首席執行官Tony Pepper強調稱,零售商在防御此類網絡釣魚活動方面必須發揮重要的作用。零售商應該主動告知客戶有關電子郵件通信的最佳實踐,在他們的官網和社交媒體渠道上提供有關電子郵件的使用指導,以及有關發現和報告網絡釣魚電子郵件的一般性建議。
此外,零售商還需要應對的另一個趨勢是,網絡犯罪分子正利用網站漏洞入侵并構建自己的欺詐頁面來收集憑據。研究顯示,在最近的一起涉及UPS的案例中,黑客能夠在真實的UPS網站中建立一個頁面,然后將其用于網絡釣魚攻擊。由于該鏈接在技術上是合法的,因此收件人幾乎不可能知道他們被騙了。零售商有責任確保識別并修補漏洞,以免其網站淪為網絡犯罪分子牟利的工具。
誘餌替換計劃將購物者引誘到欺詐性網站
在假日購物季檢測到的另一個值得注意的欺詐策略,是一種稱為“誘餌替換”(bait-and-switch)的計劃,旨在誘使受害者以為他們通過在線比價網站獲得了超值優惠,結果卻是將他們定向到一個收集信息的虛假網站。一旦受害者填寫表格并登記他們的興趣,來自虛假網站的人就會打電話給他們,獲取他們的銀行卡詳細信息,然后很快就帶著他們的錢消失了。受害者被騙了,卡的詳細信息用在了其他地方的其他購買途徑,而電話中承諾的大筆交易永遠不會兌現。
當欺詐者掌握卡的詳細信息時,他們通常會先去大型商家處試水,進行小額購買以測試他們獲得的信息,然后再進行更大額度的消費。確認卡能夠正常消費后,他們就會致電商家的“客戶支持中心”修改收貨地址。受害者最終意識到自己的卡存在欺詐行為,并向銀行投訴,迫使商家承擔損失。
零售商應如何應對誘餌替換騙局
為了防止這種類型的欺詐,零售商需要采用能夠實時捕捉欺詐者的策略和技術。通過先進的機器學習算法,商家可以使用IP地理位置、電子郵件地址和郵政地址等唯一標識符來識別欺詐交易。但是,防欺詐不僅限于這些方法,還需要實時機制,自動拒絕高風險訂單,以及為新賬戶欺詐和賬戶接管案件發送風險信號。
行為生物識別技術通過不斷評估消費者在設備上刷卡的方式、手握設備的方式、特定的按鍵模式、設備移動等,同樣能夠賦予商家這種能力。通過使用這些數據,商家可以了解數字模式何時出現了偏差(與過去的行為不同)——可能表明賬戶已被盜——并立即采取行動阻止欺詐活動。
結賬濫用和庫存囤積扭曲了市場趨勢
考慮到假日購物季“折扣密集”的性質,市場越來越飽和,許多零售商和欺詐者都想分一杯羹。這時候,就很容易發生“結賬濫用”(其性質相當于“票務倒賣”)的情況。欺詐者使用自動腳本在幾分鐘或幾秒鐘內購買大量高端限量版產品,耗盡合法商家的庫存。然后他們再以更高的價格轉售這些物品。
同樣地,庫存囤積——使用機器人將產品放入購物車、扭曲庫存數據并使產品看起來缺貨的過程——也在同步進行中。要知道,機器人可以在短短兩秒鐘內清除物品的庫存。事實是,電子商務將繼續存在,現在是零售商和品牌商針對此類欺詐采取堅定策略的時候了——否則必將面臨聲譽受損的窘境。
零售商應如何應對結賬濫用和庫存欺詐
零售商需要了解賬戶接管、新賬戶欺詐和其他欺詐攻擊的范圍。這涉及分析運動和行為——尋找與擊鍵、滾動、鼠標移動和觸摸屏交互有關的非人為趨勢。
Magecart card skimming攻擊針對WooCommerce
Card skimming是一種針對在線購物的常見欺詐策略。它的工作原理是將惡意代碼注入瀏覽在線支付表格的電子商務網站。這種攻擊方式首先在電子商務平臺Magento上受到關注,隨后眾多犯罪集團轉而采用card skimming策略來竊取支付卡詳細信息。
RiskIQ的研究發現,Magecart就是這樣的一個群體,且正在利用WooCommerce(一種被在線零售商廣泛使用的開源WordPress插件)中的潛在漏洞和弱點在最近的假日購物季發起新一輪攻擊。該網絡威脅情報公司還詳細介紹了使用WooCommerce插件針對零售商的3款Magecart skimmers,它們分別為:
The WooTheme Skimmer:RiskIQ稱,在使用受損WooCommerce主題的五個域中檢測到的這一Skimmer相對簡單。操作員混淆了所有發現的迭代中的skimming代碼,除了一個。然而,這一個實例似乎是錯誤的,因為RiskIQ在明文版本出現之前檢測到同一個受感染域中的混淆skimmer。
The Slect Skimmer:RiskIQ解釋,這個拼寫錯誤是一個前所未見的Skimmer,一旦DOM內容完全加載,它就會做兩件有趣的事情:它將查找skimmer不想從中提取數據的一系列表單字段,例如打開的文本字段、密碼和復選框;接下來,事件偵聽器會偵聽按鈕的點擊,這可能會避開安全研究人員的沙箱。
The Gateway Skimmer:Risk IQ解釋稱,這個skimmer的復雜程度很高,惡意行為者采用了多層和步驟來隱藏和混淆過程。該skimmer代碼龐大且難以消化,同時還運行著一些在其他skimmer中觀察到的特殊功能。
零售商應如何應對card skimming
RiskIQ的博客寫道,在假期旺季,零售商和在線購物者特別容易遭受card skimming攻擊。WooCommerce用戶通常是中小型企業,這類企業有時被認為是最脆弱的,因為他們缺乏復雜且經過嚴格審查的第三方工具等資源。然而,多年來的證據表明,無論是小型還是大型零售商都可能淪為Magecart skimming的目標。面對這種情況,除了對惡意軟件進行強大的檢測外,網站運營商還應定期檢查其crontab命令是否存在異常內容,確保訪問權限正確,對訪問進行審核等。
