假日网购安全：当前的威胁与防范措施

主要重点

• AI驱动的钓鱼攻击 ：网络犯罪分子利用AI创建逼真的钓鱼邮件。
• 品牌仿冒活动激增 ：数以千计的假日主题域名混淆消费者。
• 黑市服务推动网络犯罪 ：盗窃的礼品卡和信用卡数据正在被大量贩售。
• 算法操纵风险 ：攻击者可能影响定价算法，导致不必要的损失。
• 企业安全防范 ：需加强多因素身份验证及加密通讯。

网络犯罪分子在这个假日季节中，正利用AI驱动的钓鱼诈骗手法 、精密的网站克隆工具和远程代码执行(RCE)
漏洞，未经授权地侵入购物平台。根据FortiGuardLabs在，AI技术帮助攻击者制作了可信的电子邮件和合法网站的复制品，以盗取数据或欺骗使用者披露敏感信息。

根据FortiGuard的研究人员表示：“报告还强调了越来越多的假期主题域名的使用，这些域名仿冒可信赖的零售商，以吸引消费者通过诱人的虚假优惠进行购买。嗅探工具则是使网络犯罪分子能够在网上交易中拦截敏感数据如信用卡详情的关键武器。”

以下是报告的一些重点：

重点 | 描述
—|—
购物主题的钓鱼诈骗 | 网络犯罪分子利用ChatGPT制作逼真的钓鱼邮件，模仿零售商和银行的合法通信，特别在购物旺季时提高诈骗的有效性。
品牌仿冒活动猖獗 | 威胁行为者加强了对线上购物趋势的利用。数以千计的假期主题域名仿冒例如亚马逊和沃尔玛的可信品牌，以欺骗消费者。
黑市服务助长网络犯罪 | FortiGuard Labs的团队观察到盗窃的礼品卡、信用卡数据和受损电子商务网站数据库的销售激增，诈骗套件的价格从100美元到1000美元不等。

感恩节购物季节还暴露了零售商面临的“算法中毒”风险，即攻击者操纵动态定价算法。Sectigo的资深研究员JasonSoroko表示，通过注入虚假需求信号或利用层的漏洞，攻击者可以触发价格下跌或修改库存系统，从而导致各种问题。

Soroko还表示：“监控API异常是一个关键的对策。忠诚度账号的盗取也是潜在威胁，因为攻击者利用凭证填充来利用弱密码，窃取奖励积分以进行转售或欺诈性购买。许多忠诚计划缺乏多因素身份验证，这使得它们成为容易的目标。零售商必须强制执行多因素身份验证，推广强密码实践，并采用无密码技术来保护客户账户。”

Zimperium的威胁情报副总裁KrishnaVishnubhotla则补充道，假日期间，消费者面临大量的促销和优惠，品牌希望通过有说服力的优惠来吸引购买。然而，Vishnubhotla提醒每个人必须谨慎选择点击哪些广告。