Magecart - 資安趨勢部落格

下趟旅行要去哪？訂房網假折扣真盜刷,訂房前先預防網路釣魚詐騙！

2023 年 12 月 16 日2024 年 05 月 09 日趨勢科技 TrendMicro

根據 IT Home 報導：「最近駭客針對Booking.com房客發動攻擊的情況不時傳出，其特別之處在於，駭客並非直接對房客下手，而是先對旅館發動網釣攻擊，再假借這些旅館的名義對房客行騙，房客一不注意對方提供的網址是假冒的就點進去查看，很容易上當。值得留意的是，這樣的情況日益惡化，甚至已經在網路犯罪圈發展成上下游分工的情況──有人專門收集旅館的Booking.com帳密供打手運用。」
本文整理訂房網近年相關詐騙,及防範訂房網站詐騙六要點。

日韓永遠去不膩，旅行永遠不嫌多

機票買好了，就上訂房網好好規劃下一次的旅程

但不只考慮要訂哪間房，還有一件事你該好好注意

近期駭客會透過訂房網駭入旅宿對話訊息

只要一不小心點擊連結，就能騙取你的個資

讓你還沒出國花旅費，信用卡就被盜刷欲哭無淚

別讓自己在訂房時落入詐騙連結陷阱！

立即免費下載 PC-cillin

手機電腦防毒防詐讓你規劃下趟旅程更安心！

常見的訂房網站詐騙手法

近年來，訂房網站相關詐騙案件層出不窮，以下整理近年來常見的訂房網站詐騙手法：

假訂單詐騙：詐騙集團會冒用訂房網站名義，向民眾發送假訂單確認信件，信件中要求民眾點擊連結，並輸入信用卡資訊，以完成訂房。民眾點擊連結後，就會被導向詐騙集團的網站，並輸入信用卡資訊，進而被盜刷。
假客服詐騙：詐騙集團會冒用訂房網站客服名義，向民眾發送電話或簡訊，稱民眾的訂單有異常，需要更新信用卡資訊或付款。民眾信以為真，便會在電話或簡訊中提供信用卡資訊，進而被盜刷。
假折扣詐騙：詐騙集團會在社群媒體或網路論壇上，發布訂房網站的假折扣活動，吸引民眾點擊連結。民眾點擊連結後，就會被導向詐騙集團的網站，並要求民眾輸入信用卡資訊，以完成訂房。民眾點擊連結後，就會被導向詐騙集團的網站，並輸入信用卡資訊，進而被盜刷。
假網站或應用程式詐騙：有些詐騙者會建立看似正規的訂房網站或應用程式，但實際上只是用來騙取用戶的個人訊息和付款資訊。消費者應確保使用官方授權的網站或應用程式，避免進入不明來源的網站。
偽造的評價和評論：詐騙者可能會創造偽造的評價和評論，使得低質量的住宿場所看起來好像很受歡迎。消費者在選擇住宿時應留意評價的真實性，可以參考多個來源的評價。
提前付款要求：一些詐騙網站可能會要求提前支付，但正規的訂房網站通常在入住時才會收取款項。請警惕提前付款的要求，以免受騙。

繼續閱讀

就像在 ATM 上安裝盜卡裝置一樣, 「Magecart」專偷線上刷卡資料

2019 年 09 月 16 日2019 年 09 月 20 日趨勢科技 TrendMicro

官網訂機票後,信用卡即遭竊取! 新式數位盜卡集團來了!該如何確保信用卡資料安全？

就像犯罪集團在 ATM 提款機上安裝的盜卡裝置一樣,駭客將一種叫做「Magecart」的惡意程式碼植入目標網站,專門竊取客戶在結帳時所提供的付款資料，只不過是數位版本。更厲害的是，這類程式碼不但強大，而且持卡人完全無法察覺。

過去這一年來 Magecart 駭客集團已證明，沒有任何一個網站可以倖免於這類盜卡攻擊。不論是知名電子商務品牌 (如 Newegg)、國內大型航空公司、全球售票網站 (Ticketmaster)，甚至服務對象遍及美國、加拿大將近 200 所大學的校園網路商店，只要網站接受線上刷卡就存在著風險 。

近年來大約有 17,000 個網站是經由此方式遭到入侵。還有另一波攻擊在短短 24 小時內就入侵了 962 家網路商店。Magecart 還變本加厲開發支援各種結帳網頁的萬用盜卡程式碼們,最高記錄可支援 57 種支付閘道，也就是說駭客可以很輕鬆地利用同一套工具來攻擊全球網站。

七月英國航空 (British Airways) 遭到了航空史上最高的罰鍰，原因是該公司的客戶在其官網訂票之後，信用卡資料便隨即遭到竊取。這筆由英國隱私權監理機構所開出的 2.28 億美元罰款，反映出這起事件的嚴重性，以及該公司未善盡保護客戶個人及金融資訊的責任。不過，這起事件的後續發展並不只侷限於英國航空公司及其客戶。這其實是一波最新的攻擊手法，歹徒專門在電子商務網站上植入「數位盜卡」程式碼來竊取使用者在網站上消費時所輸入的付款資訊。

雖然，數以萬計的網站都曾經發生同樣的情況，但你還是有一些方法可以確保自身的消費安全，最方便的作法就是安裝一套 PC-cillin 雲端版。不過，有些事情你還是必須預先了解。

PC-cillin 雲端版30天防毒軟體》即刻免費下載試用

繼續閱讀

專竊取信用卡的駭客集團Magecart,對277 個網站發動新一波攻擊

2019 年 01 月 21 日2020 年 09 月 17 日趨勢科技 TrendMicro

新年一開始，趨勢科技就偵測到某個我們一直持續追蹤的網路盜卡集團突然活躍起來。在這段期間，我們發現有 277 個售票、旅遊、航空訂位等電子商務網站以及一些知名藥妝、服飾品牌自家的結帳網頁都被此犯罪集團注入了專門用來盜取支付卡資料的惡意程式碼 (趨勢科技命名為：JS_OBFUS.C.)。趨勢科技的機器學習(Machine learning,ML)和行為偵測技術已能主動偵測並攔截這些惡意的程式碼 (顯示名稱為 Downloader.JS.TRX.XXJSE9EFF010)。

經由網路廣告供應鏈來散布惡意程式

這一波活動有點不太尋常，因為該集團過去向來都是入侵了電子商務網站並在網頁上注入惡意程式碼之後，就低調地默默躲著。結果，經過我們一番研究之後發現，駭客的盜卡程式碼並非直接注入電子商務網站的網頁，而是注入 Adverline 這家法國網路廣告公司的 JavaScript 程式庫當中，我們在發現之後已迅速通知該廣告公司。而 Adverline 也立即處理了這次事件，並馬上與 CERT La Poste 配合採取了一些必要的矯正措施。

圖 1：網路支付卡資料竊盜攻擊過程。

圖 2：這波支付卡資料竊盜網路攻擊 (1 月 1-6 日) 每日活動數量 (上) 以及受害的國家分布 (下)。
資料來源：趨勢科技 Smart Protection Network™

根據此次攻擊假借第三方服務廠商軟體元件的情況來看，我們推測應該是 Magecart Group 5 犯罪集團所為。RiskIQ 曾指出該集團涉及了多起資料外洩事件，如去年的 Ticketmaster 資料外洩事件。在 Risk IQ 研究人員 Yonathan Klijnsma 的協助下，我們判斷這波支付卡資料竊盜網路攻擊應該是 Magecart 犯罪集團底下一個新的「Magecart Group 12」次團體所為。

Magecart Group 12 的攻擊模式

有別於其他網路盜卡集團直接入侵目標電子商務網站結帳平台的作法，Magecart Groups 5 和 Magecart Group 12 會攻擊電子商務網站所採用的第三方服務，將惡意程式碼注入這些服務所提供的 JavaScript 程式庫當中。如此一來，所有採用該服務的網站都會載入這些盜卡程式碼。而攻擊第三方服務的作法也讓歹徒能夠擴大攻擊範圍，進而竊取更多支付卡資料。

就此次 Adverline 的案例來說，歹徒是將程式碼注入一個可根據不同對象提供不同廣告的 JavaScript 程式庫。電子商務網站經常使用這樣的程式庫來標記網站訪客並提供可能會吸引他們回流的廣告。我們的研究指出，受害的網站因使用了 Adverline 的程式庫而載入Magecart Group 12 的盜卡程式碼，而該程式碼會將使用者在網頁上輸入的付款資料傳送至歹徒遠端的伺服器。