Malwarebytes 偵測到大規模惡意廣告詐騙活動,該活動計劃與 2025 年黑色星期五同時進行。
一項調查顯示,約40%的網友曾遭遇詐騙,其中十分之一的人是受害者。攻擊者利用合法網站上的惡意廣告,將用戶引導至100多個冒充沃爾瑪、家得寶、星鍊和露露檸檬等知名公司的網域。
該假調查頁面提供諸如 Starlink Mini Kits 和 LEGO 等熱門產品作為獎勵,最終要求支付 6.99 美元至 11.94 美元(約 1,000 至 1,800 日元)的運費和手續費,以此收集姓名、地址和信用卡資訊。
技術分析顯示,這些網站具有相同的 HTML 結構和 JavaScript 邏輯,這表明它們並非單一犯罪者所為,而是一種高度組織化的「工業化詐欺形式」。
從: 
黑色星期五騙子向空空如也的銀行帳戶兜售來自知名品牌的假禮物。
【社論】
2025 年式的詐欺行為進入「產業化」階段
Malwarebytes 的這份報告揭示的最重要事實是,數位詐欺已經徹底從單純的「娛樂」或「小規模犯罪」轉變為高度系統化的「產業」。文章中指出的特徵,例如“超過 100 個網域”、“相同的惡意模板”以及“品牌間的動態切換”,表明攻擊者正在濫用軟體開發的最佳實踐(效率、自動化和可擴展性)。這證明,這些攻擊不再是個人駭客的行動,而是像一個有組織的「企業」一樣運作。
惡意廣告威脅利用了「信任鏈」。
尤其值得注意的是,主要的入侵途徑並非電子郵件網路釣魚,而是惡意廣告。我們相信讀者們已經養成了不打開可疑郵件的習慣。但是,如果出現在您喜愛的新聞網站或社交媒體平台上的“廣告”帶有合法品牌標識呢?攻擊者巧妙地利用了我們對網站和廣告平台的「隱性信任」。這可以說是對網路生態系統本身的攻擊。
立即利用科技趨勢
攻擊者精準的選址能力令人印象深刻。除了傳統的禮品券詐騙外,他們還能準確鎖定早期用戶「現在最渴望」的特定科技產品和熱門商品,例如星鍊迷你套裝和YETI套裝。這意味著他們能夠即時分析市場熱度週期,並立即將轉換率最高(在本例中也是受害率最高)的產品融入他們的行銷活動中。
人工智慧驅動型詐欺手段日益複雜化及其未來隱憂
雖然文章沒有直接提及,但生成式人工智慧技術很可能被濫用,用於優化模板並產生看似自然的文字。此前,詐騙網站可以透過「不自然的日文」或「粗糙的設計」來識別,但人工智慧已經將詐騙網站的品質提升到與合法網站難以區分的地步。或許「完全自主的詐騙系統」出現只是時間問題,屆時人工智慧代理將能夠自主分析趨勢並自動產生詐騙網站。
數位空間中「生存策略」的轉變
這則新聞促使我們加強防禦。僅僅「避免造訪可疑網站」是不夠的;我們需要更積極的防禦措施,例如即使在可信任網站上也要保持警惕,並安裝瀏覽器層級的防禦工具(廣告攔截器和安全擴充功能)。科技的進步帶來了便利,但同時也擴大了那些能夠利用科技的人的能力。
[術語]
惡意廣告
網路攻擊方法,在合法網站上投放詐騙廣告,並將訪客引導至詐騙網站。
重定向鏈<br>一種隱藏機制,它會自動快速地將使用者重新導向到多個不同的 URL,然後再到達最終的詐騙網站。
社會工程:一種利用心理弱點(例如「時間不多了」)來竊取資訊而無需技術駭客攻擊的技術。
炒作週期<br>社會對特定技術或產品的期望和關注度的變化。詐騙分數通常會瞄準炒作週期長的產品。
[參考連結]
Malwarebytes (外在)
一家總部位於加州的安全公司發現了並舉報了這起騙局,該公司開發並提供先進的惡意軟體防護軟體。
星鏈(外部)
SpaceX 提供高速、低延遲的衛星通訊服務,而在這個騙局中,便攜式「迷你套件」被用作誘餌。
雪人(外)
這個戶外品牌起源於美國德克薩斯州。其高度耐用的保溫箱和保溫杯廣受歡迎,但其品牌影響力正被不法分子利用來吸引顧客進行詐騙。
[參考文章]
買與不買:網路犯罪分子如何利用黑色星期五牟利(外部連結)
2025 年假期威脅報告,展示了人工智慧濫用和網路釣魚興起的統計數據,強化了詐欺的產業化趨勢。
為什麼我們會落入「黑色星期五」騙局——以及我們可以如何應對(外部連結)
本文解釋了人們在「黑色星期五」購物騙局中落入陷阱的心理機制,並從行為經濟學的角度分析了緊迫感和稀缺性如何影響人們的判斷。
黑色星期五和網路星期一期間網路犯罪激增:2025 年威脅情報報告(外部連結)
假期期間網路犯罪威脅情報呈上升趨勢,並提供了針對特定品牌的攻擊活動的詳細統計數據。
[編者註]
你們有些人可能會想:「我沒事。」然而,事實證明,這種騙局專門針對那些「IT知識水平高的人」想要購買的特定電子產品。當你看到「比官方價格更便宜」或「現貨」之類的字眼時,你的心跳是否曾短暫地加速?你腦海中那一瞬間的疑慮,正是騙子們想要利用的。
請將此訊息分享給您的家人和朋友。您的知識將是您最強大的防禦力量,尤其對於那些不熟悉網路但又喜歡線上購物的人來說更是如此。
