当前正值网站克隆工具、远程代码执行(RCE)漏洞利用及AI钓鱼诱饵泛滥的季节;威胁行为者正利用AI驱动的钓鱼诱饵、复杂的网站克隆工具以及RCE漏洞利用手段,试图在这个假期购物季非法侵入购物平台。
FortiGuard Labs在11月26日的博客文章中指出,AI技术使攻击者能够制作逼真的电子邮件和合法网站的复制品,以窃取数据或诱骗用户泄露敏感信息。
FortiGuard研究人员写道:“报告还强调了节日主题欺骗性域名的使用日益增多,这些域名模仿受信任的零售商,以诱人的虚假优惠诱骗购物者。”“嗅探工具是另一种关键武器,它使网络犯罪分子能够在在线交易过程中拦截信用卡详情等敏感数据。”
以下是报告的一些要点:
购物主题钓鱼诱饵利用生成式人工智能(GenAI):网络犯罪分子使用ChatGPT制作逼真的钓鱼邮件,模仿零售商和银行的合法通信。这提高了其诈骗的有效性,尤其是在购物高峰期。
品牌假冒猖獗:威胁行为者正加紧利用在线购物趋势。数千个节日主题域名模仿亚马逊、沃尔玛等受信任品牌,并注册以虚假优惠和促销活动欺骗消费者。Adobe Commerce、Shopify和WooCommerce等热门平台因配置薄弱和插件过时而成为主要目标。攻击者部署嗅探器捕获客户数据,并使用RCE漏洞利用手段获得购物平台的管理员访问权限。
暗网服务助长网络犯罪:FortiGuard Labs团队观察到,被盗礼品卡、信用卡数据和被攻破的电子商务网站数据库的销售量激增。根据复杂性和定制程度的不同,钓鱼工具包(让攻击者能够建立高级钓鱼操作,包括相关服务)的售价在100美元至1000美元之间。嗅探和定制暴力破解工具等其他服务也唾手可得,使低技能攻击者也能利用漏洞。
感恩节购物季使零售商面临“算法投毒”风险,攻击者通过注入虚假需求信号或在API层面利用漏洞来操纵动态定价算法,触发降价或修改库存系统,从而引发各种问题。Sectigo高级研究员Jason Soroko说道。
Soroko表示:“监控API异常是一项关键应对措施。忠诚账户采集也是一个潜在威胁,因为攻击者利用凭据填充攻击利用弱密码,窃取奖励积分进行转售或进行欺诈购买。许多忠诚计划缺乏多因素认证(MFA),因此容易成为攻击目标。零售商必须强制执行MFA、推广强密码策略并采用无密码技术来保护客户账户。”
Zimperium威胁情报副总裁Krishna Vishnubhotla补充道,在假期期间,消费者会收到大量优惠和折扣信息。品牌会向消费者提供诱人的优惠,希望诱使他们进行购买。但Vishnubhotla指出,每个人都必须谨慎选择点击哪些广告。
由于员工可能会在工作时间内使用工作设备在线购物,因此组织必须保护员工免受这些电子邮件中的钓鱼链接、恶意二维码和恶意附件的侵害,无论这些邮件是在传统设备还是移动设备上接收的。
Vishnubhotla说:“恶意行为者在设计能够绕过传统检测机制的电子邮件活动方面变得非常有创意。企业应仔细审查电子邮件附件和链接。采用零信任安全模型并使用加密通信进行敏感信息交换,将进一步防范恶意电子邮件。”