黑客假冒宜家等购物网站，诱骗消费者财务信息

随着威胁行为者发起大规模的虚假在线零售商店攻击活动，2025年假日购物季面临着重大的网络安全威胁。这些欺诈性域名旨在冒充全球知名品牌，诱骗毫无戒心的消费者泄露敏感的财务信息或下载恶意软件。

该行动组织严密，利用自动化工具大量生产仿冒网站，高度模仿Zalando、Birkenstock和IKEA等合法零售商的观感。这一恶意活动利用了超过200个新注册的域名网络，这些域名主要通过中国基础设施提供商建立。犯罪分子利用”黑色星期五”、”双十一”等活动期间激增的在线购物流量，企图最大限度地扩大其影响范围。攻击途径包括在TikTok和Facebook等平台进行社交媒体推广，将用户引诱至这些虚假店铺。

一旦受害者访问这些网站，通常会看到仿冒的结账系统，用于窃取信用卡信息或将他们重定向至恶意载荷。

Bfore.ai的分析师于2025年11月发现了这一活动，并指出其依赖于隐私保护的WHOIS数据来隐藏攻击者身份。研究人员强调，该活动显示出”工业化”欺诈模式的迹象，不同活动集群可追溯到特定的托管服务提供商和自治系统。这种复杂的基础设施使攻击者能够在旧域名被检测和下线时，迅速转向并部署新域名。

对消费者的影响是严重的，除了直接的经济损失外，还可能涉及潜在的身份盗窃。该活动的规模表明，其背后是一个拥有资源以维持长期攻击的经济动机团伙。

欺骗性诱饵与规避技术

该活动采用多种欺骗性策略来规避检测并操纵用户信任。一种值得注意的方法是”议题导向”活动，即重新利用像”peaceforsecurity[.]com”这样的域名来销售时尚商品。此战术可能旨在通过使用与典型零售欺诈无关的关键词来绕过安全过滤器。

另一种技术通过混合品牌名称来制造混淆，例如一个推广无关护发产品的”lululemonsalehub”域名。这些不一致之处可以在利用品牌知名度的同时迷惑用户。此外，攻击者使用填充了无意义名称和”免运费”优惠的通用模板来营造合法性假象。

技术分析揭示了使用相同的JavaScript库和结账URL模式，例如：

• /collections/all
• /products/item123

最后，通过像”mango-flashsale[.]com”这样的域名制造季节性紧迫感，模仿合法的促销活动以促使用户仓促决策。

这些复杂的诱饵，加上共享的名称服务器和后端基础设施，展示了现代零售钓鱼活动不断演变的复杂性。

消息来源：cybersecuritynews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；