[[442789]]

到了假日購(gòu)物季——尤其是11月下旬的感恩節(jié)、黑色星期五和網(wǎng)絡(luò)星期一(北美地區(qū)的購(gòu)物節(jié)，算是“美版雙11”)——大量消費(fèi)者涌入網(wǎng)絡(luò)“薅”羊毛。網(wǎng)絡(luò)犯罪分子自然也不會(huì)放過(guò)機(jī)會(huì)，他們會(huì)在圣誕節(jié)前的時(shí)間里，利用消費(fèi)者“占便宜”的心理加大攻擊力度，2021年也不例外。

據(jù)TransUnion研究指出，發(fā)生在感恩節(jié)和網(wǎng)絡(luò)星期一期間的全球所有電子商務(wù)交易中，近18%存在潛在欺詐性，比去年同期增加了4%。以下是欺詐者針對(duì)2021年假日購(gòu)物季采取的四種典型欺詐方式，以及零售商的應(yīng)對(duì)建議：

網(wǎng)絡(luò)釣魚(yú)即服務(wù)(PhaaS)活動(dòng)針對(duì)黑色星期五購(gòu)物者

電子郵件安全公司Egress透露，在黑色星期五之前和當(dāng)天，仿冒主要品牌的網(wǎng)絡(luò)釣魚(yú)即服務(wù) (PhaaS) 活動(dòng)有所增加。調(diào)查數(shù)據(jù)顯示，與網(wǎng)絡(luò)釣魚(yú)工具包相關(guān)的域名搶注增加了397%，冒充亞馬遜的網(wǎng)絡(luò)釣魚(yú)工具包增加了334.1%。

研究人員觀察了近4000頁(yè)冒充亞馬遜的內(nèi)容，并詳細(xì)剖析了一個(gè)針對(duì)黑色星期五的網(wǎng)絡(luò)釣魚(yú)電子郵件示例，其中提供了虛假的亞馬遜促銷(xiāo)活動(dòng)，試圖引誘收件人填寫(xiě)附件表格以換取優(yōu)惠券。進(jìn)一步分析顯示，該附件包含XBAgent惡意軟件。

Egress威脅情報(bào)副總裁Jack Chapman表示，“PhaaS降低了網(wǎng)絡(luò)犯罪分子的準(zhǔn)入門(mén)檻，使得冒充知名品牌和欺騙受害者變得更加容易。最近，掛牌出售的網(wǎng)絡(luò)釣魚(yú)工具包數(shù)量不斷增加，凸顯了犯罪分子在繁忙的購(gòu)物時(shí)間進(jìn)行攻擊的企圖。”

零售商應(yīng)如何應(yīng)對(duì)網(wǎng)絡(luò)釣魚(yú)活動(dòng)

Egress首席執(zhí)行官Tony Pepper強(qiáng)調(diào)稱(chēng)，零售商在防御此類(lèi)網(wǎng)絡(luò)釣魚(yú)活動(dòng)方面必須發(fā)揮重要的作用。零售商應(yīng)該主動(dòng)告知客戶(hù)有關(guān)電子郵件通信的最佳實(shí)踐，在他們的官網(wǎng)和社交媒體渠道上提供有關(guān)電子郵件的使用指導(dǎo)，以及有關(guān)發(fā)現(xiàn)和報(bào)告網(wǎng)絡(luò)釣魚(yú)電子郵件的一般性建議。

此外，零售商還需要應(yīng)對(duì)的另一個(gè)趨勢(shì)是，網(wǎng)絡(luò)犯罪分子正利用網(wǎng)站漏洞入侵并構(gòu)建自己的欺詐頁(yè)面來(lái)收集憑據(jù)。研究顯示，在最近的一起涉及UPS的案例中，黑客能夠在真實(shí)的UPS網(wǎng)站中建立一個(gè)頁(yè)面，然后將其用于網(wǎng)絡(luò)釣魚(yú)攻擊。由于該鏈接在技術(shù)上是合法的，因此收件人幾乎不可能知道他們被騙了。零售商有責(zé)任確保識(shí)別并修補(bǔ)漏洞，以免其網(wǎng)站淪為網(wǎng)絡(luò)犯罪分子牟利的工具。

誘餌替換計(jì)劃將購(gòu)物者引誘到欺詐性網(wǎng)站

在假日購(gòu)物季檢測(cè)到的另一個(gè)值得注意的欺詐策略，是一種稱(chēng)為“誘餌替換”(bait-and-switch)的計(jì)劃，旨在誘使受害者以為他們通過(guò)在線比價(jià)網(wǎng)站獲得了超值優(yōu)惠，結(jié)果卻是將他們定向到一個(gè)收集信息的虛假網(wǎng)站。一旦受害者填寫(xiě)表格并登記他們的興趣，來(lái)自虛假網(wǎng)站的人就會(huì)打電話(huà)給他們，獲取他們的銀行卡詳細(xì)信息，然后很快就帶著他們的錢(qián)消失了。受害者被騙了，卡的詳細(xì)信息用在了其他地方的其他購(gòu)買(mǎi)途徑，而電話(huà)中承諾的大筆交易永遠(yuǎn)不會(huì)兌現(xiàn)。

當(dāng)欺詐者掌握卡的詳細(xì)信息時(shí)，他們通常會(huì)先去大型商家處試水，進(jìn)行小額購(gòu)買(mǎi)以測(cè)試他們獲得的信息，然后再進(jìn)行更大額度的消費(fèi)。確認(rèn)卡能夠正常消費(fèi)后，他們就會(huì)致電商家的“客戶(hù)支持中心”修改收貨地址。受害者最終意識(shí)到自己的卡存在欺詐行為，并向銀行投訴，迫使商家承擔(dān)損失。

零售商應(yīng)如何應(yīng)對(duì)誘餌替換騙局

為了防止這種類(lèi)型的欺詐，零售商需要采用能夠?qū)崟r(shí)捕捉欺詐者的策略和技術(shù)。通過(guò)先進(jìn)的機(jī)器學(xué)習(xí)算法，商家可以使用IP地理位置、電子郵件地址和郵政地址等唯一標(biāo)識(shí)符來(lái)識(shí)別欺詐交易。但是，防欺詐不僅限于這些方法，還需要實(shí)時(shí)機(jī)制，自動(dòng)拒絕高風(fēng)險(xiǎn)訂單，以及為新賬戶(hù)欺詐和賬戶(hù)接管案件發(fā)送風(fēng)險(xiǎn)信號(hào)。

行為生物識(shí)別技術(shù)通過(guò)不斷評(píng)估消費(fèi)者在設(shè)備上刷卡的方式、手握設(shè)備的方式、特定的按鍵模式、設(shè)備移動(dòng)等，同樣能夠賦予商家這種能力。通過(guò)使用這些數(shù)據(jù)，商家可以了解數(shù)字模式何時(shí)出現(xiàn)了偏差(與過(guò)去的行為不同)——可能表明賬戶(hù)已被盜——并立即采取行動(dòng)阻止欺詐活動(dòng)。

結(jié)賬濫用和庫(kù)存囤積扭曲了市場(chǎng)趨勢(shì)

考慮到假日購(gòu)物季“折扣密集”的性質(zhì)，市場(chǎng)越來(lái)越飽和，許多零售商和欺詐者都想分一杯羹。這時(shí)候，就很容易發(fā)生“結(jié)賬濫用”(其性質(zhì)相當(dāng)于“票務(wù)倒賣(mài)”)的情況。欺詐者使用自動(dòng)腳本在幾分鐘或幾秒鐘內(nèi)購(gòu)買(mǎi)大量高端限量版產(chǎn)品，耗盡合法商家的庫(kù)存。然后他們?cè)僖愿叩膬r(jià)格轉(zhuǎn)售這些物品。

同樣地，庫(kù)存囤積——使用機(jī)器人將產(chǎn)品放入購(gòu)物車(chē)、扭曲庫(kù)存數(shù)據(jù)并使產(chǎn)品看起來(lái)缺貨的過(guò)程——也在同步進(jìn)行中。要知道，機(jī)器人可以在短短兩秒鐘內(nèi)清除物品的庫(kù)存。事實(shí)是，電子商務(wù)將繼續(xù)存在，現(xiàn)在是零售商和品牌商針對(duì)此類(lèi)欺詐采取堅(jiān)定策略的時(shí)候了——否則必將面臨聲譽(yù)受損的窘境。

零售商應(yīng)如何應(yīng)對(duì)結(jié)賬濫用和庫(kù)存欺詐

零售商需要了解賬戶(hù)接管、新賬戶(hù)欺詐和其他欺詐攻擊的范圍。這涉及分析運(yùn)動(dòng)和行為——尋找與擊鍵、滾動(dòng)、鼠標(biāo)移動(dòng)和觸摸屏交互有關(guān)的非人為趨勢(shì)。

Magecart card skimming攻擊針對(duì)WooCommerce

Card skimming是一種針對(duì)在線購(gòu)物的常見(jiàn)欺詐策略。它的工作原理是將惡意代碼注入瀏覽在線支付表格的電子商務(wù)網(wǎng)站。這種攻擊方式首先在電子商務(wù)平臺(tái)Magento上受到關(guān)注，隨后眾多犯罪集團(tuán)轉(zhuǎn)而采用card skimming策略來(lái)竊取支付卡詳細(xì)信息。

RiskIQ的研究發(fā)現(xiàn)，Magecart就是這樣的一個(gè)群體，且正在利用WooCommerce(一種被在線零售商廣泛使用的開(kāi)源WordPress插件)中的潛在漏洞和弱點(diǎn)在最近的假日購(gòu)物季發(fā)起新一輪攻擊。該網(wǎng)絡(luò)威脅情報(bào)公司還詳細(xì)介紹了使用WooCommerce插件針對(duì)零售商的3款Magecart skimmers，它們分別為：

The WooTheme Skimmer：RiskIQ稱(chēng)，在使用受損WooCommerce主題的五個(gè)域中檢測(cè)到的這一Skimmer相對(duì)簡(jiǎn)單。操作員混淆了所有發(fā)現(xiàn)的迭代中的skimming代碼，除了一個(gè)。然而，這一個(gè)實(shí)例似乎是錯(cuò)誤的，因?yàn)镽iskIQ在明文版本出現(xiàn)之前檢測(cè)到同一個(gè)受感染域中的混淆skimmer。

The Slect Skimmer：RiskIQ解釋?zhuān)@個(gè)拼寫(xiě)錯(cuò)誤是一個(gè)前所未見(jiàn)的Skimmer，一旦DOM內(nèi)容完全加載，它就會(huì)做兩件有趣的事情：它將查找skimmer不想從中提取數(shù)據(jù)的一系列表單字段，例如打開(kāi)的文本字段、密碼和復(fù)選框;接下來(lái)，事件偵聽(tīng)器會(huì)偵聽(tīng)按鈕的點(diǎn)擊，這可能會(huì)避開(kāi)安全研究人員的沙箱。

The Gateway Skimmer：Risk IQ解釋稱(chēng)，這個(gè)skimmer的復(fù)雜程度很高，惡意行為者采用了多層和步驟來(lái)隱藏和混淆過(guò)程。該skimmer代碼龐大且難以消化，同時(shí)還運(yùn)行著一些在其他skimmer中觀察到的特殊功能。

零售商應(yīng)如何應(yīng)對(duì)card skimming

RiskIQ的博客寫(xiě)道，在假期旺季，零售商和在線購(gòu)物者特別容易遭受card skimming攻擊。WooCommerce用戶(hù)通常是中小型企業(yè)，這類(lèi)企業(yè)有時(shí)被認(rèn)為是最脆弱的，因?yàn)樗麄內(nèi)狈?fù)雜且經(jīng)過(guò)嚴(yán)格審查的第三方工具等資源。然而，多年來(lái)的證據(jù)表明，無(wú)論是小型還是大型零售商都可能淪為Magecart skimming的目標(biāo)。面對(duì)這種情況，除了對(duì)惡意軟件進(jìn)行強(qiáng)大的檢測(cè)外，網(wǎng)站運(yùn)營(yíng)商還應(yīng)定期檢查其crontab命令是否存在異常內(nèi)容，確保訪問(wèn)權(quán)限正確，對(duì)訪問(wèn)進(jìn)行審核等。