黑色星期五將至，線上購物小心假商城App，美國前10大購物網站有超過6,000個假分身

即將於11月29日開始的黑色星期五購物旺季，不論是消費者還是商家，無不磨拳擦掌，不少消費者準備搶購促銷商品，而商家也準備大賺一筆。但在此同時，駭客也正虎視眈眈，打算偷取交易資料。資安業者RiskIQ指出，去年黑色星期五網路購物創下62億美元的營業額，比2017年增加近1/4，各界預期今年會再創造新的紀錄，使得駭客也打算來分食這塊大餅，因此該公司提出呼籲，消費者要小心有關的假網站與冒牌App等攻擊手法。

值得注意的是，消費者線上購物的型態也有所轉變──透過行動裝置購物的情況，越來越普及。RiskIQ表示，去年黑色星期五就有33.5%是來自行動裝置的消費，雖然，透過網站購物還是大宗，但一般而言，手機的購物App不光帶來了便利，很多人可能認為會比網站購物來得安全，但如今駭客也試圖利用幾可亂真的冒牌購物App，來進行攻擊。RiskIQ在報告裡特別優先提到這種威脅的氾濫，可見我們必須特別留意行動裝置購物的安全。

聲稱能提供購物優惠，就能騙取消費者安裝冒牌App

電子商城無不看好行動裝置的購買力，推出專屬的App供消費者使用。然而，根據RiskIQ調查1,000名消費者發現，許多人並不會留意他們安裝購物App的來源，這也使得攻擊者大肆推出冒牌應用程式，來對消費者發動攻擊。

超過7成（72%）受訪者表示，只要聲稱能夠提供更多優惠，他們就會安裝購物的應用程式，也有近4成（38%）的人下載這些App的時候，並不了解安裝軟體所需開放的權限；再者，透過非官方市集下載應用程式的情況，也有相當的比例──24%使用者會從Google的Play市集或是蘋果的App Store以外的地方，安裝線上購物所需的軟體。

而在RiskIQ所偵測到的黑名單應用程式裡，就較過往成長了20%。其中，若是在網路搜尋黑色星期五、網路星期一（Cyber Monday，即黑色星期五之後的隔周一）、聖誕節，或者是節禮日（Boxing Day，聖誕節翌日）等關鍵字，其中就有951個惡意應用程式。

針對美國前10大電子商城，該公司也發現多達6,353個黑名單App，冒用他們的品牌，使用者會在軟體名稱或是功能的敘述裡，看到這些電商的品牌。而同時包含這些商城的名稱，以及帶有前述節日關鍵字的惡意App，每個電商也有4個。即使是英國前5大電子商城品牌，RiskIQ也發現了24個惡意應用程式。

對於這樣的現象，RiskIQ提醒消費者，最好要從Google Play市集或是蘋果的App Store，下載購物應用程式。而且，消費者不能一味相信市集上的評價，安裝前要從兩種層面進行觀察，一是從應用程式會取得的權限，再者是應用程式的作者和用途敘述等，檢視是否有無不妥之處，才能減少自己安裝到冒牌應用程式的情況。