Apple Store 取貨最安全?留意第三方代領的新型詐騙手法
網路犯罪集團利用 Apple Store 線上商店第三方代領機制洗錢,南韓和日本深受其害。
在今年亞洲黑帽大會 (Black Hat Asia) 上,一個安全研究團隊報告了網路犯罪集團如何透過偷來的信用卡資訊,利用 Apple Store 線上商店的「第三方代領」選項,在短短兩年內盜取了 40 萬美元。
南韓金融安全研究所 (Financial Security Institute of South Korea) 高級研究員 Gyuyeon Kim 和 Hyunho Cho 指出,在 2022 年 9 月,他們揭露了一系列針對五十多個網購平台的網路攻擊。
犯罪集團把商品結帳頁面改成釣魚網頁,令買家的信用卡資訊和個人資訊同時被發送至網購平台原本的伺服器,以及由犯罪集團操控的非法伺服器,並透過眾多迴避策略,防止網站管理員和使用者發現犯罪蹤跡。
然而,竊取信用卡資訊只是犯罪計畫裡的一個環節。
經過進一步分析,研究員發現犯罪集團竊取信用卡資訊後,並非像傳統那樣在暗網上出售或是非法複製卡片,而是用更巧妙的策略把那些資訊轉換為現金。
犯罪集團利用 Apple Store 第三方代領機制洗錢
Apple Store 線上商店的第三方代領選項,本是提供給那些不便親自前往 Apple Store 的人,讓他們能委託一位代領人幫忙取貨,現在卻被犯罪集團盯上,成為洗錢手段。
整個洗錢流程如下:
- 犯罪集團在網購平台以「折扣價」銷售全新 Apple 產品。比方說,將原價 799 美元的 iPhone 15 以 699 美元的價格出售,這個價格既低到能吸引買家,也高到不會令買家認為是詐騙。
- 買賣契約成立後,犯罪集團不自行發貨,而是向 Apple Store 線上商店下單,並選擇第三方代領。網購平台買家被指定為第三方代領人,這允許他攜帶由政府核發且附照片的身分證件和訂單編號,在 Apple Store 現場取貨。
- 不知情的買家來到 Apple Store 取貨,確認商品無誤後,款項便透過網購平台發放到了犯罪集團帳戶中。如此一來,買家獲得了 iPhone 15,現金也進到犯罪集團的口袋——倒楣的是誰?被釣魚的信用卡持卡人。
由於買家拿到手的 Apple 產品,是犯罪集團以非法取得的信用卡購買的,因此該犯罪計畫被 Gyuyeon Kim 和 Hyunho Cho 稱為「毒蘋果行動」(Operation PoisonedApple)。目前已知的受害範圍是南韓和日本。
誰是幕後黑手?
研究人員相信幕後黑手來自中國,因為釣魚網頁是透過中國的 ISP 註冊的。他們也在暗網論壇上發現,有簡體中文使用者的 email 地址出現在釣魚網頁原始碼中。
雖然還沒有證據顯示台灣是毒蘋果行動的目標,但基於台灣、南韓和日本的地緣關係,以及台灣和中國語言互通,台灣人不能掉以輕心。
如何防範第三方代領詐騙?
第三方代領的新型詐騙手法,已無法單純依靠太過便宜的商品價格來判斷;同時,Apple Store 取貨的選項也有可能降低買家的戒心。不過,還是有方法可以幫助我們減少詐騙風險。
首先,網購買家應選擇資安紀錄良好的平台,並參考賣家的營運年資和評價(但不要忘了評價是可以洗出來的)。另外,如果你買的是 Apple 產品,也要對那些要求你到 Apple Store 取貨的賣家保持警覺。
