Check Point:Black Friday促銷活動的詐騙網域激增
季節性的營銷活動經常會導致網域註冊激增,而犯罪分子亦會藉此機會將詐騙活動的基礎設施隱藏其中。單單10月就有158個與Black Friday相關的新網域出現,數量較2025年每月平均多93%。新網域的增長速度更在11月初進一步加快,僅在前10天內就出現了超過330個相關的新域名。
該增長情形與往年情況相若,在2024年,Black Friday的相關網域註冊數量在10月至11月期間增加了188%。根據目前趨勢,預計在11月底前還會出現數百個新網域。
在10月及11月初觀察到的所有新網域中,每11個就有1個被歸類為惡意。
這些惡意網域當中,有一些明顯採用了結構化的命名模式,結合了年份 2025、國家名稱(主要是西班牙、意大利和德國)以及Black Friday的相關用語。例子包括:
- 2025germanyblackfriday[.]com
- Germany2025blackfridaystores[.]com
- Italyblackfriday2025[.]com
- Spain2025blackfridayshop[.]com
域名字尾經常出現「shop」、「mall」、「stores」及「factory」等字眼,這表示騙徒可能使用了自動化模板或批量註冊工具開設網域。
截至11月17日,這些網頁大多已無法被瀏覽。然而,網域名城中標示義大利的網站仍然活躍。這些網站採用了非常相似的設計模板,並配有不同的通用網店標誌,例如「ClickShop」、「ShopPay」和「SmartShopping」。網站均包含展示各種「促銷」商品的大型圖片,而這些圖片看似來自網上圖片庫 (部分甚至帶有浮水印)。某些網站亦包含提及知名品牌,如H&M、Mango、Columbia和Ovs的內部連結。
這些示例表示這是一個針對某目標群眾的詐騙活動,當中活躍的網站使用了義大利語,而其他網站則使用德語和西班牙語,雖然其他網站目前均處於非活躍狀態,但它們過去可能曾經活躍,未來亦可能會被再次啟用。
這類型的詐騙操作,包括網頁的內容製作,只要使用現今的生成式 AI 工具便能更快、更輕易地完成。現代的生成式 AI 工具大幅降低了建立和本地化此類活動的速度和難度。雖然目前還沒有明確的證據顯示這些案例使用了 AI,但攻擊者正日益採用此類工具,這會令未來的攻擊行動範圍更廣泛、更具針對性,並且更難被偵測。
假冒主要電子商務品牌的域名數量急速上升
除了季節性的Black Friday主題外,品牌濫用仍然是網絡犯罪的重要推動因素,尤其是在這個時期。研究人員在2025年10月發現了1,519個新註冊網域,這些網域名稱引用了知名的電子商務平台,例如Amazon、AliExpress或Alibaba,相比同年9月增加了24%,與2024年10月相比亦增長了12%。在這些網站中,每25個就有1個被識別為存在主動威脅。
與HOKA相關的Black Friday詐騙活動
網域 hokablackfriday[.]com 架設了一個詐騙網站以假冒運動鞋品牌HOKA。該網站採用了:
- 官方標誌
- 高質素的產品圖片
- 低價的折扣以營造「限時優惠」的緊迫感
該網域於2025年10月24日被註冊,其後被標記為釣魚網站。這個詐騙活動的目的,是要在偽造的結帳流程中竊取消費者的個人資料、帳戶憑證和信用卡資料。
與AliExpress相關的釣魚活動
網域 aliexpress62[.]com 仿冒了AliExpress平台,網頁外觀設計和操作體驗幾乎與真實的網頁一模一樣,當中包含品牌元素和促銷內容。
該網域於 2025年10月5日被註冊,目的是收集消費者在虛假網站上輸入的敏感資料,包括個人資料、AliExpress的登入憑證,以及付款卡資料。
針對網絡安全專業人士的行動建議
這些網域的註冊數量和結構顯示出一個經過協調及可擴展的網絡犯罪生態系統,而隨着騙徒採用生成式AI工具,這種攻擊只會更加頻繁且更加精密。網絡安全專業人士在購物高峰期應採取以下針對性的措施降低風險:
- 監控新註冊網域的異常增長,特別關注引用品牌名稱、零售相關用語及可預測命名模式的網域。
- 採用終端防護措施以阻擋惡意或新註冊網域,以防止憑證被竊取,並在消費者與網站進行互動前攔截釣魚網站。
- 採用外部風險管理解決方案以持續偵測暴露於網絡的資產和網域與品牌的冒用行為,同時自動下架詐騙基礎設施。
- 提供明確的機構內外部指引並教導員工如何驗證網址以避開季節性的釣魚陷阱。
- 強化支付流程的防詐騙管制,包括對來自新註冊網域的交易進行風險評分。
攻擊者正針對 Black Friday自動化網域建立流程、擴展冒充策略及利用交易高峰展開詐騙活動,因此採取主動、以情報驅動的安全策略至關重要。