在今年的 Black Hat Asia 年度駭客大會上,一組安全研究人員揭露了網路犯罪份子,如何利用被盜取的信用卡資料,與 Apple Store Online 的「其他人會取貨」選項,在短短兩年內大賺超過 40 萬美元(約台幣 1,240 萬元)黑心錢。
韓國金融安全研究所的 Gyuyeon Kim 和 Hyunho Cho 表示,在 2022 年 9 月發現了針對超過 50 家合法線上商店的一系列網路攻擊,進一步暴露已發生的重大資料外洩事件。只不過 Kim 與 Cho 也發現,威脅行為者不僅對快速竊取用戶資料感興趣。
網路犯罪份子會設法操作這些線上商店的付款頁面,將信用卡、個人資料,以及合法資料傳輸到他們的伺服器中,以防被發現。Kim 與 Cho 指出,這些威脅組織利用多種漏洞與工具,採用各種規避策略來防止網站管理員與使用者偵測他們的網路釣魚頁面。
但竊取信用卡資料只是這項計畫的一部分。研究顯示,犯罪分子獲利的主要方式之一是利用 Apple Store Online 的提貨政策漏洞,來進行犯罪。
這項犯罪計畫會首先在韓國的二手網路商店以折扣價格來銷售新蘋果產品,這些二手網路商店有點類似於 Craiglist 或 eBay;當買家與賣家(網路犯罪份子)達成購買協議時,先前被盜取的信用卡資料就會被用於從 Apple Store 中購買實際產品。
整個過程中網路犯罪份子沒有實際發貨,而是在蘋果官網上購物並設定「其他人或取走」的選項,這個選項允許授權個人透過出示帶有照片的身分證件與 QR Code/訂單號碼,在蘋果直營店中提取產品。二手商品的買家會被指定為第三方,買家可以前往蘋果直營店提取那些被盜信用卡在不知情情況下購買的產品。
為什麽買家願意在二手網路商店上購買產品?研究人員以一支 800 美元的全新 iPhone 15 為例,網路犯罪份子可能會在二手網路商店中設定售價為 700 美元,這個價格足夠低到吸引買家的興趣,但也足夠高以免被視為詐騙。
在找到感興趣的買家後,網路犯罪分子會使用透過網路釣魚獲得的被盜信用卡號碼購買設備,並將買家從二手商店支付的 700 美元收入囊中。
Kim 與 Cho 將這項犯罪計畫稱為「PoisonedApple」,他們認為犯罪分子在過去兩年間已透過同樣的手法不法獲取 40 萬美元,目前這項犯罪計畫的影響範圍為韓國與日本,但其他國家的犯罪分子沒有理由不做同樣的事情。
那麼這項犯罪計畫始於何處?研究人員認為,由於網路釣魚網頁是透過中國 ISP 註冊,因此犯罪首腦應該是位於中國某處。且值得注意的是,研究人員在爬梳暗網論壇時,在原始碼中發現了簡體中文,與同一個電子郵件地址。
(首圖來源:蘋果)