假冒产品列表在真实购物网站上导致支付信息被盗

网络购物骗局警示：Phish n Ships

关键要点

MORE THAN 1000 个合法购物网站已被入侵，以推广假冒产品列表，导致名为“Phish n Ships”的信用卡网络钓鱼计划被曝光。HUMAN的Satori威胁情报和研究团队于星期四发布了这一消息。

研究人员认为，这一骗局自2019年以来已经影响了成千上万的在线购物者，并窃取了数千万美元的资金。

Phish n Ships背后的威胁行为者已建立了121个假在线商店，这些商店通过搜索引擎和被感染网站的列表吸引流量，并在这次诈骗活动中滥用四种不同的第三方支付处理器。

网络购物诈骗分子进行详细调查

这些威胁者利用稀有和高需求商品的吸引力，搭配超低价格和免费运输的承诺，诱骗受害者。例如，有网站列出了一个模仿任天堂Power Glove的奇葩烤箱手套，该商品曾因成功的IndieGoGo众筹项目而出名，但已经缺货多年。

Satori研究人员对攻击者的IP地址和基础设施进行了调查，发现他们使用工具跟踪来自主要零售商的搜索词趋势数据；这些研究可能用于选择项目创建列表，并使用搜索引擎优化SEO方法设置列表的元数据，以确保伪造列表在搜索结果中排名靠前。

Phish n Ships操作还拥有一个简单的自动化系统，用于SEO监控和在线检索产品图片以供其列表使用。

“诱饵与转换”方案将购物者重定向至恶意网站

Phish n Ships对合法购物网站的感染意味着，购物者在点击注入的列表时，可能会从一个看似安全可靠的在线商店重定向到由攻击者控制的网站。

这些受感染的网站可能通过允许未经授权的文件上传的漏洞被攻击者入侵。研究人员注意到，许多受影响的WordPress网站使用的插件Divi Sumo Lite存在跨站脚本XSS漏洞，目前没有官方修复。

一旦被重定向到新的假商店，消费者在尝试购买商品时会被引导至提交支付信息的结账页面，可能是通过合法的支付提供者，或直接提供给威胁行为者。在前一种情况下，订单会使用POST请求创建，其中包含恶意指令以在将信息转发给合法支付处理器之前收集支付信息。

购买完成后，攻击者将获得消费者的资金和支付信息，而消费者则可能空手而归，没有任何商品被发货。

“这种诱饵与转换的方案已经存在了数十年，随着在线商店的出现而持续存在”，KnowBe4的数据驱动防御倡导者Roger Grimes告诉SC媒体。“最终的防御是，在线商店需要更好地保护自己，防止被黑客入侵，这通常意味着更好的反社交工程培训、更好的补丁管理、对所有登录使用抗钓鱼的多重身份验证，以及更好的配置管理。”

Phish n Ships被打击，但仍然是活跃威胁

HUMAN报告表示，已与受影响的网站和支付处理器等合作伙伴一起，成功干扰了Phish n Ships的操作。Satori研究小组发现，自2024年10月以来，一些通过谷歌搜索驱动流量的热门假产品列表已经从谷歌搜索结果中消失。

在此活动中被滥用的支付处理器也被通知，并移除了威胁者的账户。Satori研究人员还与执法机构和威胁情报社区分享了其对该活动的调查结果。

尽管取得了一些进展，但HUMAN警告称，Phish n Ships