Recorded Future
美国资安业者Recorded Future上周揭露了一个锁定脸书用户的电子商务诈骗活动,此一被称为ERIAKOS的活动涉及608个诈骗网站,它们假冒知名品牌并透过恶意广告散布,借以窃取使用者的个人或金融资料。更特别的是,这608个诈骗网站只能透过行动装置及广告存取。
Recorded Future的支付诈欺情报(Payment Fraud Intelligence)团队是在今年的4月17日侦测到ERIAKOS的活动,该活动是由608个诈骗网站组成,它们采用了同一个内容递送网路(CDN),所有的网域名称都是向阿里云(Alibaba Cloud)注册,使用两个特定的IP位址,在主要网域及次要网域间都存在著特定的错误配置。
骇客借由脸书的恶意广告来将受害者导至诈骗网站,研究人员发现,虽然脸书的广告服务(Facebook Ads)偶尔会阻止诈骗广告,甚至会封锁负责相关广告活动的帐户,然而,骇客透过执行大规模却短暂的广告活动来躲避侦测,同时在这些诈骗网站上提供商品的限时优惠,以刺激消费者快速付款。
不过,上述诈骗网站只能由行动浏览器透过恶意的脸书广告才能存取;若以桌面浏览器点选恶意广告,或是自行动浏览器直接输入网址,都会出现404错误(下图);若是自桌面浏览器上直接输入网址,则会出现与诈骗无关的网站。
图片来源/Recorded Future
这是Recorded Future首次看到的攻击战术、技巧与程序(TTP),猜测是骇客为了过滤受害者,降低被侦测的机率,并延长恶意活动时间的作法。
研究人员认为,这类的诈骗攻击经常替金融机构带来损失或拒付纠纷,建议应将此一报告中的可疑商家列入黑名单,阻止消费者与这些商家的交易,同时监控历史交易资料来侦测潜在风险,另也奉劝消费者应只在安全与可靠的网站上提供个人及付款资讯,并对未经请求的通讯或广告保持警惕。