網路購物 - 資安趨勢部落格

53% 的上班族在工作時網購禮物, 企業也該當心購物詐騙!

2017 年 12 月 15 日2017 年 12 月 11 日趨勢科技 TrendMicro

假日購物季節已經到來，消費者們也在尋找關於熱門玩具、電子產品和服裝等的特別折扣。雖然這季節會出現很棒的優惠和禮品，不過也有來自惡意攻擊者狡猾複雜的威脅。駭客們利用大增的購賣慾望和網路活動來發動無數的假日購物詐騙。

購物旺季 企業也該留心的四項威脅

消費者不只是在自己的個人時間進行購物。根據CareerBuilder的一項研究發現，有53%的企業員工在工作時選購禮物。這之中有43%承認自己在網路購物上花超過了一個小時。

這樣一來，假日購物詐騙影響到的不只是個人，使用企業網路的工作者也會將企業基礎設施帶入危險。隨著消費旺季的到來，這裡提供該注意的四項常見威脅：

1.讓人不由自主點進去的網路釣魚郵件

“雖然消費者中有91%表示自己意識到網路釣魚威脅，還是有五分之二的美國人被騙。”

網路釣魚攻擊在年度購物季節橫行，大部分都是針對想尋找優惠的消費者。駭客針對這點來加以利用，製作包含折扣、優惠券、禮物卡等誘人內容的電子郵件。而這些電子郵件往往夾帶了惡意連結，會讓受害者電腦感染惡意軟體或是騙取個人資料。

根據USA Today的報導，雖然消費者中有91%表示自己已經意識到網路釣魚威脅，但還是有五分之二的美國人受騙。

要發現網路釣魚攻擊，可以檢查寄件者地址是真的來自該公司。此外，在點擊電子郵件連結前先將滑鼠游標移到上面來確認會被導到想去的網站。

繼續閱讀

就是要你點進去!年終購物季小心四種網路詐騙標題

2017 年 12 月 13 日2017 年 12 月 11 日趨勢科技 TrendMicro

年終購物季正如火如荼展開，如同往常一樣，網路犯罪集團早已盯上全球瘋狂購物的消費者。

不過這並非什麼網路詐騙或網路犯罪最新趨勢。多年來，每到年終，消費者遭到詐騙的案件數量便邁入高峰。從 2008 年起，趨勢科技即開始追蹤專門騙取消費者信用卡資料與其他寶貴資訊的網站和垃圾郵件。年終購物潮期間，這類網站數量的增加完全在預料之內，但消費者只需了解歹徒的詐騙手法如何運作，就能保障自身安全。

四種引誘標題,就是要你點進去

今日，使用者已經越來越能分辨垃圾郵件，但網路犯罪集團也不是省油的燈，其社交工程（social engineering ）技巧越來越細膩。許多社交工程誘餌看起來幾可亂真，甚至會精心仿冒一些使用者平常不加思索就會點進去的電子郵件或訊息。

最近我們經常看到歹徒利用下列四種標題來引誘使用者上當：

網購訂單或包裹相關的標題
帳單或發票
旅遊好康或優惠
虛構的促銷或假日特賣

以下是一個網路犯罪集團利用這類標題的範例：這封典型的垃圾郵件看起來很像一封郵局寄來的信件，裡面隨附了一個看似平常的連結，但該連結卻是指向專門散布惡意程式的網站：繼續閱讀

購物季防詐9原則》阿里巴巴旗下AliExpress.com出現漏洞,恐讓信用卡個資外洩

2017 年 12 月 01 日2017 年 11 月 28 日趨勢科技 TrendMicro

安全研究人員在黑色星期五這週披露了阿里巴巴所擁有網路購物服務AliExpress.com(全球速賣通)的一個漏洞，這家公司在全球擁有超過1億的客戶。該網路購物網站被發現一個開放式重新導向（open redirect）漏洞，讓攻擊者能夠展示假優惠券給購物者，以騙取敏感資料。AliExpress在被通知的兩天內採取了行動並加以修復。

受駭者一旦執行包含惡意Javascript程式碼的AliExpress網頁連結，主畫面上會跳出假優惠券視窗來要求客戶提供信用卡資料。攻擊者控制了這個假視窗，使得信用卡資料直接送給攻擊者而非購物網站。

替此漏洞找出攻擊方法的安全研究人員指出，AliExpress只用了簡單的方法來阻止這類攻擊。這方法會檢查請求的referer標頭。如果referer沒有設定或不正確，請求會被伺服器拒絕。referer是用來標識請求來源網頁地址的HTTP標頭。

為了繞過AliExrpress的檢查網址來源的保護機制，研究人員送出會由許可且受信賴AliExpress網址導向的惡意連結。為了測試成功，研究人員找出AliExpress內會重新導向第二個AliExpress內連結的連結，讓惡意連結可以加以取代。研究人員將所選擇連結作成了短網址，好讓其看起來不會可疑。點擊這連結的客戶會被送到一個AliExpress登入畫面，接著會將JavaScript注入頁面並發出假優惠券。

防範網路釣魚攻擊

隨著購物季節的到來，攻擊者可能會趁這機會來利用網路釣魚攻擊賺一筆。如果你懷疑自己成為了網路釣魚騙局的受害者，請立刻變更所有帳號的密碼和個人識別碼。

以下是其他如何發現和防止網路釣魚詐騙的九個建議：

將購物網站加入書籤。避免用搜尋引擎來找優惠。將你的搜尋結果限制在受信任且安全的購物網站，這能夠減少你連到詐騙網站的機會。
記得要檢查連結。在點入內嵌的連結前先將游標移到上面來確認網址是否正常。
詐騙郵件通常包含制式的問候語。同時收件者也可能只用使用者的郵件地址而沒有加上他/她的名稱，這是一個警訊。
注意不良的文法或拼寫錯誤。正常郵件不會出現明顯的錯誤。
識別設計完善的電子郵件。錯誤或不當的標誌和版面設計也可以看出郵件並非來自可信來源。
當網站要求輸入密碼時要小心謹慎。切勿將密碼或敏感資訊交給不受信任或第三方網站。
小心那些要求採取緊急行動的郵件或網站。有些郵件會包括緊急的行動要求，如點入某些連結或給出個人資料。
提防各種誇張得不真實的好康優惠。有一種說法是：“如果事情看起來好得太不真實，那可能就不是真的”，這同樣也適用於網路購物。小心那些用非常低價格提供的商品。
定期檢查信用卡帳單。注意未經授權的交易。

繼續閱讀

購物狂歡季,商家如何保護電子商務網站?四個抵禦網路購物威脅建議

2017 年 11 月 10 日2017 年 11 月 13 日趨勢科技 TrendMicro

東方的1111單身購物節,西方感恩節之後的黑色星期五,已經公認成為開啟網路和實體店面假日購物季的觸發事件 – 這段期間在過去幾年已經穩定地讓自身成為特殊的節日。感謝熱門的電子商務如淘寶網,亞馬遜和eBay，購物從未如此有效率。但同時，對企業和消費者來說也從來沒有如此危險。

對客戶來說，用網路找商品充滿了各種危險的可能性，因為駭客和網路騙子都正在尋找他們的下一個目標。對企業主來說，重要的是必須認真對待資訊和資料安全，不僅僅是為了自己，也為了客戶。電子商務已經打敗實體賣場成為消費者想尋找好價格的首選，因為網路購買已經變得更加方便。這對網路銷售業來說代表了一些事情 – 大量網路交易、資料安全威脅甚至是針對性竊盜。多年來，許多事件顯示出電子商務活動的成長也成為任何能夠入侵網路安全措施來駭入帳戶的駭客獲取敏感卡片資料的金礦。

[延伸閱讀：剖析資料外洩和揭開迷思]

三個購物季駭客慣用的網路威脅

在購物季，網路商店應該要採取必要措施來確保提供客戶無憂的購物體驗。為了做到這一點，企業應該要考慮一個策略，不只是要想到獲利，還要想到風險和漏洞。了解你的安全邊界可以幫助你更好地了解該如何建立正確的防禦。其中一部分是意識到可能影響到你的生意或危及你客戶的安全風險：

惡意廣告 – 在網站上（特別是在熱門電子商務網站）看到網路廣告是很正常的事，因此購物者更容易被誘騙點入顯示成彈跳式視窗或提醒警告的惡意廣告。點入這些廣告可能會在不知不覺中安裝了惡意軟體。客戶也可能經由路過式下載（drive-by download）或只是因為網頁載入了惡意廣告而受到感染。最近，已經看到惡意廣告會夾帶勒索病毒，這可能造成檔案損毀和遺失。
垃圾郵件 – 使用者喜歡在這些節日期間進行大筆交易，意味著他們更可能去觀看網路行銷。你的公司可能會寄送郵件來做行銷、銷售或提供特別優惠。然而，攻擊者會使用具備非常相似主旨或外觀的惡意郵件來誘騙客戶點入可能連到網路釣魚網站的惡意連結。繼續閱讀

雙11光棍節駭客虎視眈眈小心”滑”出中毒風險假淘寶真釣魚山寨App蠢蠢欲動

2016 年 11 月 10 日2016 年 11 月 10 日趨勢科技 TrendMicro

趨勢科技五大秘訣看緊荷包免遭駭客魔爪

11月 11 日,雙11光棍節近年來已成為網購族“不可不敗”的大日子！根據資策會的報告^註1顯示，2015年台灣雙11當日網購金額約新台幣57.2億元，但巨大的交易量也容易成為駭客覬覦的目標。根據刑事局統計，今年上半年網拍詐騙已造成高達5000多萬元的損失^註2。駭客偽裝成知名電商的釣魚網站與山寨 App，提供虛假優惠竊取消費者個人資料與金錢。以阿里巴巴為例，去年「雙11」銷售額中，以手機下單比例將近七成，可見行動網購的“滑商機”驚人！針對網路購物的資安風險，趨勢科技提供行動購物五大秘訣，同時推出趨勢科技PC-cillin雲端版限時三天5折優惠方案，讓消費者能夠安心搶貨。

秘訣1：使用官方 App

消費者應避免下載來自不明第三方應用程式商店的 App，消費者可從購物網站提供的官方載點下載 App，以免駭客透過山寨 App 竊取個資。

祕訣2：避免使用公共 Wi-Fi

關閉行動裝置上自動連線 Wi-Fi 的設定，可降低駭客暗中連上裝置的風險。此外，若須使用公共 Wi-Fi，建議消費者使用虛擬私人網路（VPN），加密收發的資料，確保網路連線安全性。

秘訣3：不點閱可疑電子郵件

消費者應避免點閱來路不明的郵件中所附的連結及檔案，以免成為駭客攻擊的目標。同時，驗證郵件也是釣魚郵件常見的手法之一，消費者在點選郵件內的網址前，務必再次確認網址是否正確。

秘訣4：瀏覽網址細細看

消費者應確認完整網址內容的正確性，避免駭客在網址中藉由拼字錯誤或多餘字以假亂真。此外，消費者也可以善用手機瀏覽器的書籤功能，將常用的網站加入書籤中，降低因為拼錯字而誤觸釣魚網站的可能性。

秘訣5：電腦防毒外，也不忘安裝行動安全防護程式

消費者除了安裝電腦版的趨勢科技PC-cillin雲端版保護電腦防毒外，透過手機購物時，也要記得安裝趨勢科技PC-cillin雲端版提供的行動安全防護程式，有效防堵惡意釣魚網站，杜絕山寨 App，保護裝置與資料的安全。

趨勢科技PC-cillin雲端版除保護個人電腦上網安全外，所提供行動安全防護可保護手機、平板裝置過濾並封鎖惡意釣魚網站，主動偵測並預警可能竊取消費者資料的假冒 App。其獨家的 Wi-Fi 安全性檢查功能，可主動偵測並排除具風險的公共 Wi-Fi，提供消費者安全無虞的上網環境。趨勢科技因應光棍節網購熱潮可能伴隨而來的安全威脅，自11月10日中午12:00至11月13日夜間12:00，推出 PC-cillin 2017雲端版 3年3機版限時優惠方案，新購下載版即享限時5折優惠，為消費者一一擊破各種網購資安風險！

最新優惠訊息請參考

註1：資策會FIND(2015.11)/臺灣消費者雙十一線上購物行為報告

註2：內政部警政署刑事警察局：網購APP祭優惠折扣小心遭詐！

###