一个名为“SilkSpecter”的中国网络黑产组织出于经济动机，正在使用数千个虚假网上商店窃取美国和欧洲网上购物者的支付卡详细信息。

该欺诈活动于 2024 年 10 月开始，为即将到来的黑色星期五购物期提供大幅折扣，这一时期通常购物活动会增多。

发现该活动的 EclecticIQ 威胁研究员 Arda Buyukkaya 称，截至其报告发布时，SilkSpecter 运营着 4,695 个欺诈域名。

这些网站冒充了 North Face、Lidl、Bath & Body Works、LL Bean、Wayfair、Makita、IKEA 和 Gardena 等知名品牌。

在许多情况下，活动中使用的域名包含“黑色星期五”字符串，明显针对寻找折扣优惠的在线购物消费者。

其中一个冒充 The North Face 的钓鱼网站，来源：EclecticIQ

窃取信用卡信息

SilkSpecter 网站设计精良，通常以所冒充的品牌命名，让人一眼看上去就觉得是真的。这些网站通常使用“.shop”、“.store”、“.vip”和“.top”等顶级域名，这些域名通常与大品牌或值得信赖的电子商务网站无关。

根据受害者的位置，该网站使用谷歌翻译自动调整欺诈网站上的语言。

钓鱼网站集成了合法且值得信赖的支付处理器 Stripe，这增加了网站的合法性，同时仍允许他们窃取信用卡信息。

SilkSpecter 还在网站上使用 OpenReplay、TikTok Pixel 和 Meta Pixel 等跟踪工具。这些工具帮助他们监控访客行为，并可能调整策略以提高运营效率。

当用户尝试从这些网站购买时，他们会被重定向到付款页面，提示他们输入信用卡/借记卡号、有效期和 CVV 代码。最后一步还会要求输入电话号码。

窃取信用卡详细信息，来源：EclecticIQ

除了通过滥用 Stripe 服务窃取订单资金外，该网络钓鱼工具包还将输入的卡详细信息发送到攻击者控制的服务器。

EclecticIQ 认为，该电话号码被盗是为了稍后用于利用支付卡数据处理双因素身份验证 (2FA) 提示所需的语音或短信网络钓鱼攻击。

SilkSpecter 被认为是来自中国的网络黑产组织，因为其使用了中国的 IP 地址和 ASN、中国的域名注册商、网站代码中的语言证据，并且之前使用了名为“oemapps”的中国软件即服务 (SaaS) 平台（在 Stripe 之前）。

JavaScript 注释中使用简体中文

建议黑色星期五购物者仅访问官方品牌网站，避免点击广告、社交媒体帖子中的链接或 Google 搜索上的促销结果。

最后，持卡人应在其金融账户上启动所有可用的保护措施，包括多因素身份验证，并定期监控其报表。

技术报告：https://blog.eclecticiq.com/inside-intelligence-center-financially-motivated-chinese-threat-actor-silkspecter-targeting-black-friday-shoppers

新闻链接：

https://www.bleepingcomputer.com/news/security/fraud-network-uses-4-700-fake-shopping-sites-to-steal-credit-cards/