假中華郵政、假 UPS Taiwan 線上付款網站!網路犯罪用快遞詐騙、信用卡詐騙、摸彩詐騙賀新年

根據趨勢科技預測,今年網路犯罪集團仍將利用新冠肺炎(COVID-19)疫情的相關事件和效應,例如人們開始仰賴線上購物與電子化服務,以及 貸款補助需求增加的情況,來誘騙受害者以竊取重要資料。雖然每隔一段時間就會有新的資訊竊取手法出現,但歹徒還是會使用一些經過千錘百鍊的技巧。本文探討我們從 2020 年 12 月下旬至 2021 年 1 月上旬所看到的一些網路釣魚攻擊的行為與特徵,其中較特別的是利用假冒的線上支付網站來輕鬆騙取受害者資訊。

網路犯罪用快遞詐騙、信用卡詐騙、摸彩詐騙賀新年
2020 年 12 月下旬至 2021 年 1 月上旬所看到的一些網路釣魚攻擊的行為與特徵,其中較特別的是利用假冒的線上支付網站來輕鬆騙取受害者資訊。圖為假冒中華郵政的線上付款網頁。

假快遞詐騙


趨勢科技發現三起快遞詐騙假冒郵政服務與合法快遞公司來騙取受害者的信用卡資訊,歹徒經由網路釣魚郵件來散發詐騙連結。在所有三起攻擊當中,歹徒都試圖模仿被假冒機構的郵件通知來讓受害者上當並提供了自己的信用卡資訊而不疑有詐。

 

1.假中華郵政網站

一起假冒台灣中華郵政付款頁面的網路釣魚(Phishing)攻擊,頁面直接模仿中華郵政的網頁,誘使受害者輸入自己的信用卡資料來支付郵資以便收到包裹。值得注意的是,這個山寨假付款頁面的網址 (track-post-gov-tw[.]info/post/internet/Group/fe98e/SSLAuthUI.html 及 track-post-tw[.]com/dpc/sd5cds48sd8.html) 刻意弄得有點像中華郵政的正版網址: https://www.post.gov.tw/。

假冒中華郵政的線上付款網頁。
假冒中華郵政的線上付款網頁。

山寨中華郵政付款頁面網址 (track-post-tw[.]com 與 track-post-tw[.]info) 的網域資訊。
山寨中華郵政付款頁面網址 (track-post-tw[.]com 與 track-post-tw[.]info) 的網域資訊。

2.假 UPS Taiwan 線上付款網站

另有一起網路釣魚郵件使用一個假冒 UPS Taiwan 快遞服務的付款表單,要求收件人提供信用卡/金融簽帳卡資訊來支付運費以便收到包裹。

假冒 UPS Taiwan 快遞服務的付款表單。
假冒 UPS Taiwan 快遞服務的付款表單。



假冒的付款表單網址 (rupeezen[.]com/wp-content/ups.taiwan.delivery/5ff9a9f49fffc26/payment.php) 與 UPS 完全沒有關係。當使用者點選「Pay and continue」(付款並繼續) 按鈕之後,會被帶到一個假的簡訊認證頁面。

A fake UPS Taiwan page redirects to an infinitely loading page.
假的簡訊認證頁面
假的簡訊認證頁面

這個頁面上,除了明顯的文法錯誤之外,還有一個跡象可以看出它是假冒的,當使用者在「SMS KEY」(簡訊認證碼) 欄位輸入任意認證碼之後,接著就會自動前往某個一直處於載入中的頁面。



3.假新加坡郵政網站


還有一起攻擊假冒的是新加坡郵政的網站,在這起攻擊中,網路釣魚郵件會通知收件人有一件待送的包裹,收件人必須先支付 1.99 新幣 (約 1.49 美元) 的小額費用才能收到包裹。不過,如圖顯示,歹徒的電子郵件地址 (club[.]vpcuk[.]org) 與新加坡郵政的網址 (www.singpost.com) 一點關係也沒有。尤其,郵件結尾處的簽名竟然是「The Australia Post team」(澳洲郵政團隊)。

A Singapore Post phishing email
假冒新加坡郵政的網路釣魚郵件。
假冒新加坡郵政的網路釣魚郵件。

如同前面一起網路釣魚攻擊一樣,網路釣魚郵件地址會將使用者帶到一個模仿新加坡郵政網站的假網站 (vs29[.]com/sgspost/manage/)。然後會顯示一張假的訂單資訊,要求受害者提供信用卡資訊。

A fake Singapore Post payment page
假冒新加坡郵政的付款網頁。

一旦受害者輸入信用卡/金融簽帳卡資訊之後,接著就會前往一個一直處於載入狀態的驗證網頁,所以很明顯前面的訂單是假的。

An infinitely loading verification page
一直處於載入狀態的驗證網頁。
一直處於載入狀態的驗證網頁。

假摸彩詐騙

有一起攻擊假借摸彩的名義來誘騙受害者上當 (winneragent[.]com/usr/register),其網頁頂端會顯示一段緊急訊息表示因為受到大量媒體關注,這項摸彩活動即將在幾小時內結束,並附上倒數計時,這麼做的目的是為了讓受騙的受害者急著採取行動。

這個假的摸彩活動還表示不需購買商品就能參加,而且使用者只要在下方的表單提供自己的個人資訊與信用卡資料,就能不限次數下載 10 萬本電子書。值得注意的是,其第一個月的金額是 19.99 美元,但隨後每個月續訂的金額卻是 39.99 美元。

A fake sweepstakes scam landing page
謊稱提供摸彩的詐騙網頁。
謊稱提供摸彩的詐騙網頁。

此外,這個網站宣稱跟多家品牌合作並通過認證,卻未提供這些相關網站的外部連結。

經過我們仔細研究之後發現,這個網頁的網域相當新,註冊還不到一年,因此很明顯就是專門用來詐騙的網域。

這項假摸彩活動的「條款與條件」頁面指向一家名叫「Red Gem Media」的公司,該網站據報專門 從事各種詐騙並舉辦騙人的免費贈獎活動。

The fake sweepstakes is run by a company called Red Gem Media.
假摸彩活動是由一家名叫「Red Gem Media」的公司所舉辦。

當使用者填妥表單上的資料並送出之後,就會看到一個失敗訊息。

表單送出後的失敗訊息 (您不符合資格,請再試一次)。A message indicating that the submission has not been successful
表單送出後的失敗訊息 (您不符合資格,請再試一次)。

假匯款詐騙


另一起近期出現的網路釣魚詐騙宣稱提供一大筆金額來誘騙受害者提供信用卡資訊,款項會直接存入受害者的帳戶,受害者只需支付交易手續費。網路犯罪集團散發網路釣魚郵件來尋找受害者,郵件內宣稱銀行已核准了 127,280 俄羅斯盧布 (約合 1,700 美元) 的款項,但使用者必須先回覆確認才能收到匯款。

這起匯款詐騙的網路釣魚郵件。。The phishing email used in this money transfer scheme
這起匯款詐騙的網路釣魚郵件。

電子郵件內容除了明顯的拼字錯誤與排版問題之外,還包括一個假的交易編號以及假的匯款人帳號,但可疑的是郵件內容卻未提到匯款機構的名稱。當收件人點選「Go to your personal account」(前往您的個人帳戶) 按鈕之後,就會前往一個假匯款網站的使用者個人帳戶頁面 (ckconsulting[.]host/landing4.html)。 

假匯款網站個人帳戶頁面。A fake personal account page on the fake money transfer website
假匯款網站個人帳戶頁面。

這個假的個人帳戶頁面上顯示的是一個很通用的銀行名稱,叫作「Internet Bank」(網際網路銀行),而且它的網域非常新。

使用者若點選「Pay the commission and receive the transfer」(支付交易費並接受匯款) 按鈕,就會被導到一個網址 (fjpay[.]icu) 顯示一個假的信用卡/金融簽帳卡表單。表單上寫的匯款費用是 515 俄羅斯盧布 (約合 6.95 美元)。

假的信用卡/金融簽帳卡表單。A fake credit or debit card form
假的信用卡/金融簽帳卡表單。

 
當使用者在表單上填妥資料並送出,就會前往一個合法的交易驗證服務網站 (cap.attempts.securecode.com),這是用來檢查使用者輸入的信用卡資料是否有效。一旦信用卡資料驗證完成,接著就會出現一個錯誤訊息表示銀行拒絕匯款。


銀行拒絕匯款的錯誤訊息。 An error message stating that the bank transfer fee payment did not go through
銀行拒絕匯款的錯誤訊息。 

假線上支付服務網站


最近趨勢科技還看到五個假冒的線上支付服務網站,專門蒐集受害者的信用卡資訊,受害者是經由電子郵件收到這些假網站的連結。

A fake online payment service site
某個假線上支付服務網站。

其中的兩個網站 (gosinpay[.]com 和 onepay[.]shop) 位於較新的網域。

當使用者同意支付某筆金額時,該網頁會將他們導向一個合法的交易驗證服務 (cap.attempts.securecode.com) 來檢查他們輸入的信用卡資訊是否有效。接著,會再回到原本的頁面,但卻沒有顯示付款成功或失敗的訊息。

另外三個假的線上支付服務網站 (pay-ping[.]top、payink[.]top 及 aalbn[.]xyz) 則是不到一個月前才註冊。

某個假線上支付服務網站。A fake online payment service site
某個假線上支付服務網站。

當受害者填妥信用卡資訊並按下「pay」(支付) 按鈕時,網站會顯示一個錯誤訊息。

受害者在假線上支付網站表單填妥資訊並送出之後看到的錯誤訊息。The error message after a victim encodes information on the fake online payment service form
受害者在假線上支付網站表單填妥資訊並送出之後看到的錯誤訊息。

未來還有更多網路釣魚詐騙


Covid-19 已證明,就算全球飽受疫情之苦,網路犯罪集團依然持續在想盡辦法詐騙受害者。事實上,網路犯罪集團甚至趁著這波疫情而變本加厲,例如,由於許多國家的人民因為無法出門而開始改用網路購物,所以 2020 年第一季的網路釣魚網站數量暴增了 350% 。

在本文探討的多起攻擊當中,歹徒利用了假冒的支付頁面來輕鬆騙取受害者的信用卡資訊,這未來很可能會變成網路釣魚網的新常態 (即使在疫情過後)。網路釣魚集團竊取受害者電子郵件地址和帳號密碼的情況早已司空見慣,但這樣的作法不一定能獲利,因為現在很多線上支付網站都支援雙重認證或多重認證 (更別說還有第三方認證) 以防止歹徒登入他們用戶的帳號。所以,對網路釣魚集團來說,竊取信用卡/簽帳金融卡資訊反而容易得多。而且,有些 ATM 提款機還支援無卡提款,雖然這些提款機會要求輸入一組密碼,但網路釣魚集團可利用暴力猜測密碼的技巧來破解,所以這一點還是比較容易克服。

養成良好習慣以防範網路釣魚詐騙


要防範網路釣魚的威脅,我們建議使用者應養成以下良好習慣:

逐字識破釣魚網偽裝術:近日一波國泰世華詐騙簡訊,不斷出現變種,網址與官方正版非常神似,幾乎都有 cathay 字樣,民眾需要睜大眼睛有一詐騙網址含有 cathay-bk 字樣 ,跟官方cathaybk 簡直是雙胞胎。

  • 檢查網站內容。若您不小心點進去某個網站,請檢查網站的品牌與服務名稱,網路釣魚網站通常會模仿該品牌的網站,因此檢查時需要一點技巧,您可以檢查一下「Terms of Service」(服務條款)、「Help」(協助) 和「Privacy Policy」(隱私權政策) 等這類連結的網址 (如果有的話)。
  • 雙重確認所有資訊。若您收到一封電子郵件說您有一件包裹待領,請手動前往該郵政或快遞服務的官方網站來進入您的帳號並確定您是否真有包裹待領。
  • 在接觸到可疑詐騙網址前搶先攔阻
    網路詐騙已不限於單一詐騙手法,駭客不只會偽冒銀行通知,即使是熟悉的網站或社群平台也有可能作假。建議使用跨平台的防毒軟體,透過最新網頁偵測技術,自動封鎖惡意網頁及詐騙網址,在接觸到可疑詐騙網址前搶先攔阻,大幅減少個資外洩及錢財損失的風險!

趨勢科技解決方案

一般用戶:
 建議使用跨平台的 PC-cillin 2021 雲端版,手機可以安裝 趨勢科技行動安全防護,透過最新網頁偵測技術,自動封鎖惡意網頁及詐騙網址,在接觸到可疑詐騙網址前搶先攔阻,大幅減少個資外洩及錢財損失的風險!

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用 ,

企業用戶:
趨勢科技 Cloud App Security™ 解決方案可強化 Office 365 以及其他雲端服務的安全,利用沙盒模擬惡意程式分析來偵測勒索病毒、變臉詐騙 (BEC) 和其他進階威脅。此外還可保護雲端檔案分享,防範威脅與資料外洩,管制敏感資料的使用,並防止惡意程式經由檔案分享散布。

 Deep Discovery Email Inspector  可藉由即時掃瞄與進階分析技巧來偵測已知和未知的攻擊,防止使用者遭到網路釣魚和勒索病毒攻擊。

原文出處:Cybercriminals kick-off 2021 with sweepstakes, credit card, delivery scams 作者:Paul Miguel Babon (威脅分析師)

FBIGYoutubeLINE官網