【BPC 商業流程入侵-優惠卷詐欺】星巴克禮品卡,企業優惠方案代碼…地下市場什麼都賣,什麼都不奇怪!

趨勢科技 TrendMicro 企業資安, 商業流程入侵 (BPC), 地下經濟/網路非法服務/黑色產業

「電信公司提供給員工的語音、簡訊和網路資費特價的優惠碼 」,「飯店訂房時所輸入的企業方案優惠碼」你可以想像這些都可以被有心人士拿來販售嗎?

趨勢科技在地下市場看到許多關於詐欺自動化的產品和服務,規模大到足夠支撐起假造或濫用優惠券/促銷代碼經濟。另外值得一提的是,我們在地下市場中所看到的價格往往比合法管道更便宜3到10倍。

地下市場販賣可以檢查和暴力破解優惠券代碼的軟體。甚至提供影片教學,包括如何破解某些共乘服務的促銷碼。

 

以優惠卷形式所進行的免費贈品及折扣等詐欺行為,據報造成美國企業每年高達3到6億美元的損失。而且只要哪裡有利可圖,網路犯罪分子也就會往哪裡去。優惠券詐欺也是如此,趨勢科技發現相關活動在地下市場非常地活躍。

優惠券詐欺對企業來說代表什麼?在2012年,各大廠商都成為假優惠券受害者,一家消費性產品公司遭受了約128萬美元的損失。另一起優惠券詐欺則是在十年內從各公司竊取了至少2.5億美元

在現實中,它所產生的損失不只是無限暢飲的咖啡、免費搭車和飯店住宿,或是特價的3C產品。地下市場的優惠券詐欺可以延伸成為商業流程入侵(BPC),破壞到支撐業務運作的部分,也進而造成更大的影響。

 

優惠券詐欺和商業流程入侵

趨勢科技在地下市場看到許多種的優惠券詐欺手法。將其整合在一起,特別是關注在商業流程上,產生以下的視覺化圖表:


圖1:如何結合網路犯罪地下服務和優惠券詐欺來入侵傳統優惠卷交易的商業流程

圖2:左圖顯示出一般消費產品廠商正常的優惠券交易是如何運作,而右圖則是如何惡意利用其背後的流程
圖2:左圖顯示出一般消費產品廠商正常的優惠券交易是如何運作,而右圖則是如何惡意利用其背後的流程

優惠券交易通常代表著消費者和零售商/優惠券廠商以及審核優惠券的資料交流中心間的資料交換。這時也常會有中介機構出現,比方說線上的優惠券代理商,或是替零售商宣傳優惠卷的媒體。

事實上,資料的傳遞經過了許多管道,只要一層有漏洞就會影響整個供應鏈。地下市場有專門進行這件事的產品和服務:竊取或破解演算法以及攻擊優惠碼漏洞來暴力破解優惠券和促銷代碼。案例分析:一名研究人員利用了處理星巴克禮品卡的網頁應用程式內的“競態條件(race condition)”漏洞(在這裡軟體依賴程序的順序/時間),結果就是得到無限制的咖啡。

區域或市場限定的優惠券或優惠碼也會被濫用。我們在論壇看到有人販賣某電信公司提供給員工的語音、簡訊和網路資費特價的優惠碼。另一種攻擊則是針對在飯店訂房時所輸入的企業方案優惠碼。

這些只是冰山一角。趨勢科技在地下市場看到許多關於詐欺自動化的產品和服務,規模大到足夠支撐起假造或濫用優惠券/促銷代碼經濟。另外值得一提的是,我們在地下市場中所看到的價格往往比合法管道更便宜3到10倍。下面是一些我們在地下市場所看到值得注意的方案:

 

暴力破解優惠碼和漏洞攻擊。
地下市場販賣可以檢查和暴力破解優惠券代碼的軟體。甚至提供影片教學(上傳到社群媒體),包括如何破解某些共乘服務的促銷碼。優惠券上有廠商或零售商所“隨機”運算出來的安全碼。如果攻擊者能夠弄清楚如何預算或暴力破解這些代碼,廠商就無法掌控這些優惠碼。理論上,很難預先確認正確生成的隨機代碼。但實作上則有其他做法。比方說產生或驗證優惠碼的網頁應用程式內有漏洞時就有可能讓駭客知道代碼。

圖3:俄羅斯地下論壇提供暴力破解/檢查優惠券代碼有效性的工具
圖3:俄羅斯地下論壇提供暴力破解/檢查優惠券代碼有效性的工具

 

 

優惠券即服務。

優惠券(不管是否偽造)可以賣給其他詐騙份子來換取金錢。也有優惠券產生器可以利用線上檢查程式讓詐騙分子產生據稱有效的優惠券代碼。值得注意的是,有個優惠券產生器是針對利用群眾外包(crowdsourcing)來促銷內容到社群媒體的公司。

 

圖4:優惠券產生器,包括一個針對提供社群媒體促銷服務的公司(右)
圖4:優惠券產生器,包括一個針對提供社群媒體促銷服務的公司(右)

 

 

濫用“新客戶”或註冊促銷。

我們還在地下市場發現可以大量出售的“新帳號”。這些帳號可以用來佔新註冊帳號享有額外補貼或免費的便宜。我們還看到論壇有一篇文章描述如何利用新註冊Google Cloud Platform帳號來讓它加入數位貨幣採礦池

圖5:一篇暗網的廣告販賣亞馬遜禮品卡代碼(上圖)和具備禮品卡餘額的沃爾瑪(Walmart)帳號(下圖)
圖5:一篇暗網的廣告販賣亞馬遜禮品卡代碼(上圖)和具備禮品卡餘額的沃爾瑪(Walmart)帳號(下圖)

 

 

販賣優惠券或作為下游。

優惠券作為給其他詐騙份子的替代性貨幣,並且轉售給代理/匿名服務。有些也會販賣優惠卷所兌換的實體商品。其他則採取傳銷或和網路行銷,詐騙份子會利用社交工程手段來引誘激勵可能的詐騙新手。

 

圖6:AiExpress優惠卷的買賣論壇
圖6:AiExpress優惠卷的買賣論壇

 

圖7:暗網的廣告行銷M.video(一家電子零售網路)上便宜25%的商品優惠,以及還有餘額的QIWI電子錢包和預付卡
圖7:暗網的廣告行銷M.video(一家電子零售網路)上便宜25%的商品優惠,以及還有餘額的QIWI電子錢包和預付卡


 

 

總結

 

優惠券可以幫企業帶來更多生意,同時也能夠維持產品和服務的曝光率。不過雖然獲得新客戶是一件好事,企業也必須小心謹慎,尤其是有人會不遵守遊戲規則地來獲取贈品和折扣。

比方說在三月,有家美國家用品廠商和經銷商遭受優惠券詐欺,他們的優惠券上條碼有不能重複使用的說明,但卻不會失效。讓惡意使用優惠券的人可以反覆用來賺錢。

企業可以做什麼?

  1. 建立防護措施,限制重複使用、散播以及設定優惠券代碼使用時間。
  2. 客製化優惠券:加入防偽技術如使用更複雜的資料碼、微縮印刷(microprinting)和浮水印(watermarking),以及檢查驗證優惠碼來防止詐騙份子複製代碼。比方說設定優惠碼在銷售端點使用後過期。
  3. 主動跟經銷商、相關人士和警方共同合作來審查、優化和強制使用更好的防偽/風險管理政策。像是非盈利機構Coupon Information Corporation可以幫助廠商對抗優惠券詐欺行為。
  4. 但更重要的是要確保管理公司商業流程的閘道端點網路伺服器和其他基礎設施的私密性、安全性和完整性。

 

@原文出處:Business Process Compromise and the Underground’s Economy of Coupon Fraud 作者:Vladimir Kropotov和Fyodor Yarochkin(趨勢科技前瞻威脅研究團隊

相關文章:

《看漫畫談資安》在家遠端工作應注意的資安重點
BlackSquid 利用八種知名漏洞潛入伺服器與磁碟,並植入 XMRig 挖礦程式
躲在系統四個月沒被發現?駭客竊取資料的五個隱身術
【2019 年資安預測 】不只是企業高層主管,變臉詐騙也將開始鎖定一般員工 (6-5)