至少自 2019 年以来,一项名为“Phish n’ Ships”的网络钓鱼活动一直在进行,感染了 1000 多家合法在线商店,为难以找到的商品推广虚假产品列表。
毫无戒心的用户点击这些产品会被重定向到一个由数百个虚假网上商店组成的网络,这些商店在不运送任何东西的情况下窃取他们的个人详细信息和金钱。
根据发现 Phish n’ Ships 的 HUMAN 的 Satori 威胁情报团队的说法,该活动已经影响了数十万消费者,估计造成了数千万美元的损失。
Phish n’ Ships 行动
该攻击首先通过利用已知漏洞 (n 天)、错误配置或泄露的管理员凭据,用恶意脚本感染合法站点。
一旦网站遭到入侵,威胁行为者就会上传名称不显眼的脚本,例如“zenb.php”和“khyo.php”,并使用这些脚本上传虚假产品列表。
这些项目配有 SEO 优化的元数据,以提高它们在 Google 搜索结果中的可见度,从那里可以吸引受害者。
当受害者点击这些链接时,他们会通过一系列步骤进行重定向,最终导致欺诈网站,这些网站通常模仿受感染电子商店的界面或使用类似的设计。
据 Satori 研究人员称,所有这些假冒商店都连接到一个由 14 个 IP 地址组成的网络,并且它们在 URL 中都包含一个特定的字符串,使其可识别。
试图在假商店购买该商品会将使受害者通过一个虚假的结账流程,该流程旨在看起来合法,但不包括任何数据验证,这是潜在欺诈的迹象。
恶意网站窃取受害者在订单字段中输入的信息,包括他们的信用卡详细信息,并使用攻击者控制的半合法支付处理器帐户完成付款。
购买的物品永远不会运送给买家,因此受害者会损失他们的金钱和数据。
Satori 发现,在 Phish n’ Ships 活跃的五年中,威胁行为者滥用多个支付提供商来兑现骗局收益。
最近,他们适应了在一些虚假电子商店网站上实施支付机制,以便他们可以直接窃取受害者的信用卡详细信息。
活动中断
HUMAN 及其合作伙伴协调了对 Phish n’ Ships 的响应,通知了许多受影响的组织,并向 Google 报告了虚假列表,以便将其删除。
截至撰写本文时,大多数恶意搜索结果已被清理,几乎所有已识别的商店都已被下线。
此外,为欺诈者提现提供便利的支付处理商也收到了相应的通知,并从他们的平台上删除了违规账户,严重破坏了威胁行为者产生利润的能力。
尽管如此,威胁行为者还是可以适应这种中断。尽管 Satori 继续监控该活动是否卷土重来,但他们不太可能放弃,不尝试建立新的购物者欺诈网络。
建议消费者在浏览电子商务平台时注意异常重定向,在尝试购买商品时验证他们是否在正确的商店 URL 上,并尽快向银行和当局报告欺诈性收费。