名為「ERIAKOS」惡意詐騙活動正透過Facebook廣告推送600 多家虛假網路商店，竊取使用者的個人和財務資料。

這類虛假網站推銷知名品牌商品，並提供大幅折扣來吸引使用者，為逃避資訊安全掃描系統的檢測，只限定透過行動裝置進行存取。Recorded Future發現了ERIAKOS詐騙手法，並依據所使用的網域註冊商、信用卡及支付服務供應商網路資訊，認定詐騙極可能源自中國。儘管研究人員已檢測及測繪大部份網站，發現因這類網站存在時間很短，現今均處於離線狀態，但該類詐騙活動依然在網路上活躍，且不斷產生新的廣告，讓使用者存取新增的詐騙網站。

詐騙活動

Recorded Future 從託管在eriakos[.]com的網路內容來命名此詐騙活動，此類網路在所有已識別的假冒網路商店均隨時可見。研究人員首次在於2024年4月17日發覺這類網路詐騙活動，但尚不清楚該活動於何時開始活躍於網路上。每個詐騙網站都會在Facebook上投放大約100個針對行動使用者的廣告，並在評論中包含虛假的使用者評價，以提高參與度。（如圖1）

圖1:使用虛假使用者評論增加其合法性

這類詐騙廣告宣傳包括 Nike運動鞋、North Face服飾及Amazon 網站上iPhone 等熱門產品，加上大幅優惠打折折扣，但透過不符合常理的限時優惠來吸引潛買家。（如圖2）

圖2:相關運動鞋商品透過不符合常理的87.5%折扣進行促銷

Recorded Future表示，Facebook偶爾會偵測到這些廣告並將其屏蔽，這表明該廣告平台的反詐騙演算法在某些情況下是有效的。「然而，詐騙網域名稱存在於網路的時間很短，這表示設計詐騙廣告活動很可能也是短暫的，其詐騙運營商的意圖在快速吸引及欺騙受害者。」

詐騙網站為逃避相關人員及反詐騙公司的偵測，登錄頁面只透過行動裝置平臺或從Facebook吸引使用者來進行存取。如果使用個人電腦手動輸入詐騙網店URL或非超連結方式進行存取，詐騙網站即傳回404錯誤訊息（如圖3）。這種篩檢主要目的難可以防止立即檢測與刪除，從而增加Facebook用戶面臨的風險。

圖3:透過行動裝置（左）和個人電腦裝置（右）存取網站

此外，用於詐騙性質的網路商店短期網域的持續更新也帶來了另一個挑戰，因為惡意網路會不斷快速地從舊網站轉移到新網站。網路詐騙活動常見網站使用oss[.]eriakos[.]com作為CDN、在阿里雲端服務註冊的網域名稱以及使用IP位址47.251.50[.]19和47.251.129[ .]84等。

BleepingComputer發現上傳到VirusTotal的惡意軟體與這些IP 位址進行傳輸通訊。然而，這些惡意軟體是否來自同一威脅行為者或使用共享基礎設施的其他網路犯罪分子尚不清楚。雖然該詐騙組織許多網站現已不再運營，但Recorded Future與 BleepingComputer分享幾個詐騙廣告樣本，表明此詐騙活動依然活躍。（如圖4）

圖:4詐騙網路最近推廣帶有Amazon品牌的廣告

2024年5月，SRLabs的研究人員發現了另一個線上詐騙網路“BogusBazaar”，證據顯示該網路也在中國境外運作。Recorded Future 告知BleepingComputer，在發表報告之前就已向Meta通報此類詐騙性廣告。

安全購物

此類詐騙活動可能會以多種樣態，詐騙消費者，包括信用卡長的詐欺性購買等。當消費者在假貨網站上購買產品時，信用卡將會被扣款，導致威脅行為者可以竊取消費者的金錢，且擁有消費者的信用卡資料，並將這些資料在暗網市場上交易出售，供其他威脅行為者用於其他詐騙或不法行為。

此外，Facebook等大型平臺上的廣告亦可能會給人一種錯誤的合法性感覺，導致使用者倉促決定購買看似超值的商品。然而，使用者應該謹記，儘管全球知名各社群媒體網站均有保護機制，詐騙者仍然會找到推播假冒網站的機會之窗。在網路購物時及在其訂購網頁上輸入敏感資料前，應確認網路電子商店進行背景檢查，閱讀使用者評論，檢查是否存在條件條款，並確保所使用的網域使用HTTPS加密。然在行動裝置上執行以上所需檢查會更加困難，這可解釋了為什麼詐騙份子會針對行動用戶。

本文參考自：https://www.ghacks.net/2024/07/17/google-chrome-will-soon-throw-security-warnings-at-you-that-you-cannot-ignore/