隨著巴黎奧運即將於7月26日舉行,鎖定想要線上購買門票的民眾而來的詐欺網站也跟著出現,繼資安業者Proofpoint針對這種情況提出警告,有研究人員公布更為詳細的調查結果,並指出背後的駭客組織同時也鎖定其他大型體育賽事而來。
威脅情報業者QuoIntelligence表示,他們發現專門針對使用俄語的人士,以及部分東歐國家,或是打算觀賞特定體育賽事人士而來的攻擊行動Ticket Heist,研究人員在發現數個假冒奧運售票網站的網域後啟動調查,結果找到由708個詐欺網域名稱組成的大型網路犯罪基礎設施,並指出這些網域從2022年就動作頻頻,相關活動在2023年升級,到了今年針對特定體育賽事發動攻擊。
研究人員指出,他們先是在去年底察覺網路上對於巴黎奧運相關討論顯著增加的情況。
由於奧運向來是許多國家用於地緣政治影響力的工具,再加上烏克蘭戰爭、以哈衝突仍在持續,使得今年的賽事顯得格外重要。再加上今年3月國際奧委會禁止俄羅斯、白俄羅斯運動員代表自己國家參賽,這樣的情況無疑導致國際政治局勢變得更加緊張,國家級駭客針對這類賽事發動攻擊的情況更為加劇。
他們最早發現的惡意網域是Ticket-paris24[.]com、Tickets-paris24[.]com,駭客架設與正牌網站極為相似的購票網站,讓民眾可以在這場體育賽事期間購買特定比賽的門票、挑選座位,甚至能一併安排在巴黎的住宿旅館。研究人員指出,有可能是因為直接從俄文翻譯成英語,這些網站存在少量的拼寫及語法錯誤,但即便如此,使用者操作起來幾乎與正牌網站沒有差異。
雖然駭客架設的網站因針對不同賽事內容有所差異,但研究人員仍舊察覺存在許多相似的地方,像是因複製貼上產生相同的錯誤、翻譯錯誤,而能推測資料的來源可能相同。
他們舉出一些例子,像是大部分架設的網站裡,隱私權政策網頁發布日期皆為2019年7月2日,但相關網域卻是今年2月22日產生,而且在4月28日被網路爬蟲索引的內容是404網頁。類似的小錯誤還包括:事件(Event)網頁部分內容尚未翻譯,並顯示俄文單字Afisha。
為了追蹤這些網站的行為,研究人員也假冒想要入場觀看比賽的民眾,從中輸入各式有效及無效的內容。他們提及這些詐騙網站使用Stripe支付系統,這突顯駭客的目標並非為了竊取信用卡資料,而是在受害者儲值足夠的資金時,才允許下單購票,並在成功扣款後就不再有任何回應。
比較特別的是,冒牌網站票價遠高於正牌網站。正牌網站未指定座位的票價不到100歐元,冒牌網站的票價卻是從300歐元起跳,甚至部分達到1,000歐元,這也突顯對方主要目的就是經濟利益。
值得留意的是,這些駭客不只針對巴黎奧運,並鎖定歐洲足球錦標賽(UEFA Euro 2024),此外,知名人士及團體的演唱會或演奏會,也是他們詐欺標的。
熱門新聞
2024-07-29
2024-07-30
2024-07-29
2024-08-02
2024-07-30
2024-07-31