詐騙新手法:取消訂單,信用卡反而被盜!

網購訂單釣魚頁面秀出受害人地址與電話,增加可信度

明明沒下單,卻收到訂單確認信,而且金額高達一千美金!
訂單上的地址和電話確實是你的,懷疑信用卡遭盜刷,急著取消訂單,卻把信用卡個資雙手奉上。
歹徒怎麼拿到消費者個資,以逼真的詐騙手法,讓受害者掉入陷阱?

最近出現一起網路詐騙會假借法國某零售商名義詐騙使用者。其詐騙手法使用一種更細膩的目標式社交工程(social engineering )手法,利用使用者的實際住址與電話號碼。

2020 年 6 月,法國零售業者  Darty  警告消費者注意一起專門竊取法國使用者信用卡資訊的網路詐騙。然而在2020 年的黑色星期五購物節( 11 月 27 日)期間,歹徒似乎又對消費者重新發動了一波新的攻擊,因為這段期間是零售業的旺季,許多商店都會趁機推出各種優惠活動。再加上法國近來都因 新冠狀病毒(COVID-19,俗稱武漢肺炎)疫情的關係而處於封城狀態,所以許多人都選擇在線上購物而不上街採購。值得注意的是,這類詐騙大多冒用一些大型機構的名義,但這些機構並不知情。

趨勢科技在監控網際網路時發現了一起新的網路攻擊,並指出這起攻擊運用了一種更細膩的社交工程技巧,利用使用者的實際住址和電話號碼。

根據我們調查,這起攻擊被冒名的廠商 Darty 本身並無問題,犯罪集團應該是駭入了某家租車公司並竊取了他們的客戶資料,請看以下分析。

手法:「沒買?請取消訂購」


多年來,網路犯罪集團運用了無數的社交工程詐騙技巧來騙取使用者的信用卡資訊。歹徒經常假冒影音串流服務網站政府稅務部門金融機構或其他機構的名義散發詐騙郵件,有時也會假冒某個國家的大型企業,例如這次就是法國大型零售商 Darty。

此次詐騙郵件假扮成使用者上網購物的訂單確認信件:

圖 1 至 2:詐騙電子郵件。
Fig-2-Fraud-email

圖 1 至 2:詐騙電子郵件。

如某些網路釣魚郵件一樣,這是一封請收件人確認網路購物訂單的詐騙郵件。但有別於我們過去經常看到的詐騙,訂單上的住址與電話確實是收件人的真實地址和電話。

不知情的使用者在收到這封郵件時,很可能會以為自己的信用卡被人在網路上盜刷,而且訂單金還將近一千歐元 (約當一千多美元)。收件人很可能因為這樣而上當立即點選「Annuler ma commande」(取消我的訂單) 連結,試圖取消這筆不知名訂單。

點下取消訂單按鈕,將被導到網路釣魚網頁


接下來才是詐騙的重頭戲,當使用者點下郵件內的紅色取消按鈕之後,將被導到一個網路釣魚網頁,頁面上同樣顯示著 Darty 的標誌:

Fig-3-Phishing-landing-page
圖 3:網路釣魚網頁。

使用者會看到一個已經預先填入使用者資料的表單,包括:姓、名、電話及住址。

當使用者填妥該表單並按下「valider」(確認) 按鈕後,就會跳到第二個網頁,接著蒐集使用者的信用卡資訊:

Fig-4-Credit-card-info-theft-page
圖 4:信用卡資訊蒐集網頁。

這些資訊一旦得手之後,歹徒就能自由使用這些信用卡來賺取不法獲利。

犯罪集團怎麼拿到姓名、住址、電話等個資?


看到這樣的手法,大家一定馬上會聯想:一定是 Darty 洩漏了客戶的資料。但其實並非如此,Darty 跟這起詐騙並無關聯。

趨勢科技有合理的原因相信,網路犯罪集團應該是入侵了法國某家轎車/卡車出租公司的客戶資料庫 (該公司專門以需要搬家的消費者為對象)。我們之所以如此肯定,是因為我們有一位員工的私人電子郵件信箱就收到了一封這起攻擊的郵件,而這個電子郵件信箱只曾經提供給這家租車公司。

既然歹徒已經入侵了租車公司的資料庫,那就不難解釋為何歹徒能夠掌握消費者的個人資訊,例如:姓名、住址、電話。不過目前我們還不知道歹徒如何取得這個資料庫,以及他們是否也攻擊其他來源得到的電子郵件地址。趨勢科技目前已採取行動讓前述網路釣魚網頁在週末前下架,此外我們通知了受影響的廠商。

受害者該做些什麼?


使用者若不小心已經在上述網路釣魚網頁中送出了自己的信用卡資訊,請立即打電話給發卡銀行將信用卡停用,以免被歹徒盜刷。

防範詐騙


網路犯罪集團隨時都在處心積慮想要竊取使用者的信用卡資料,我們建議消費者應養成以下習慣來防範這類威脅:

  • 對於要求提供信用卡資料的電子郵件與網頁要特別小心,務必再次確認電子郵件地址與網站的網址確實是屬於相關機構。
  • 為避免帳號輕易被盜,切勿在不同網站或網路服務使用相同的密碼。您可採用一套密碼管理軟體 (如趨勢科技密碼管理通) 來協助您管理不同網站與服務的密碼。

此外,我們也建議採用個人用戶採用 PC-cillin 雲端版,企業用戶採用趨勢科技 Cloud App Security 來防範網路釣魚和其他電子郵件威脅。

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用 ,

入侵指標資料

  • 89.37.226[.].145
  • www.dartyDarty.com.annulation-edn[.]pro
  • www.dartyDarty.com.annulation-fdt[.].com
  • www.dartyDarty.com.annulation-sa[.].com
  • www.dartyDarty.com.annulation-td[.].com
  • www.dartyDarty.com.domaine-td[.].com
  • www.dartyDarty.com.ediarn[.].com
  • www.dartyDarty.com.fort-dt[.].com
  • www.dartyDarty.com.sive-st[.].com
  • www.fnac.com.annulation-sde[.].com
  • www.fnac.com.ordre-destim[.].com
  • www.fnac.com.remboursement-commandes[.].press
  • www.fnac.com.remboursement-commandes[.].website
  • www.fnac.com.remboursement-sarl[.].site
  • www.fr-marketplace[.].press
  • www.fr-marketplace[.].store
  • www.fr-marketplace[.].website
  • www.remboursement-sarl[.].site
  • www.sarl-marketplace[.].site

原文出處:Scammers Use Home Addresses of Targets in France 作者:Cedric Pernet

FB IG Youtube LINE 官網