2025年卡巴斯基在线购物威胁报告:购物季网络犯罪如何利用黑五热潮
全球电子商务市场正以前所未有的速度加速扩张。根据麦肯锡全球研究所的数据,到2040年,全球电子商务预计将以每年7%–9%的速度增长。在卡巴斯基,我们追踪到这种在线购物活动的激增与网络威胁的镜像关系。2025年,我们观察到攻击不仅针对电子商务平台用户,还针对一般的在线购物者,包括使用数字市场、支付服务和应用程序进行日常购物的人。今年,我们还额外分析了网络犯罪分子如何在黑五期间利用游戏平台,因为游戏产业已成为全球销售日历中不可或缺的一部分。威胁行为者一直在加大他们在黑五等销售高峰期的活动力度,利用高需求和用户警惕性降低来窃取个人数据、资金或传播恶意软件。
本报告延续了我们自2021年以来在Securelist上发布的年度系列分析,旨在审视购物相关网络威胁不断演变的态势。
方法论
为了追踪购物威胁格局的持续演变,我们每年都对最常见的恶意技术进行评估,这些技术涵盖金融恶意软件、模仿主要零售商、银行和支付服务的钓鱼页面,以及将用户引向欺诈网站的垃圾邮件活动。2025年,我们还特别关注了与游戏相关的威胁,分析了网络犯罪分子如何利用玩家的兴趣。我们所依赖的威胁数据来源于卡巴斯基安全网络(KSN),该网络处理由卡巴斯基用户在同意下共享的匿名网络安全数据。本报告基于2025年1月至10月收集的数据。
主要发现
- 在2025年前十个月,卡巴斯基产品识别并拦截了近640万次针对在线商店、支付系统和银行用户的钓鱼攻击。
- 其中高达48.2% 的攻击是针对在线购物者。
- 我们在11月的前两周内拦截了超过146,000封黑五主题的垃圾邮件。
- 卡巴斯基检测到超过200万次与在线游戏相关的钓鱼攻击。
- 在2025年黑五购物季期间,记录了约109万次银行木马攻击。
- 针对游戏平台的攻击尝试次数在2025年激增,达到超过2000万次,与往年相比有显著增长。
- 2025年,伪装成Discord的攻击尝试超过1800万次,同比增长超过14倍,而Steam的攻击尝试次数则保持在其过去五年的常规波动范围内。
购物欺诈与钓鱼攻击
钓鱼和诈骗仍然是在线购物者面临的最常见威胁之一,尤其是在流量较高的零售时期,此时用户更可能快速行动并依赖熟悉的品牌标识。网络犯罪分子经常仿冒合法商店、支付页面和银行服务的外观,使其欺诈性网站和电子邮件难以与真实的区分开来。随着客户浏览多个优惠和支付选项,他们可能忽略URL或发件人详细信息,从而增加了凭据被盗和资金损失的可能性。
从2025年1月到10月,卡巴斯基产品成功拦截了6,394,854次尝试访问针对在线商店、支付系统和银行用户的钓鱼链接的行为。细分这些尝试,48.21% 针对在线购物者(相比之下,2024年该部分占比为37.5%),26.10% 针对银行用户(2024年为44.41%),25.69% 模仿支付系统(去年为18.09%)。与往年相比,攻击重点发生了明显转移,针对在线商店用户的攻击现在占比更大,这反映了网络犯罪分子持续利用高需求零售期进行攻击,而针对银行用户的攻击比例相对下降。这可能与全球范围内在线银行保护的加强有关。
2025年1月至10月金融钓鱼攻击类别分布(下载)
2025年,卡巴斯基产品检测并拦截了606,369次滥用亚马逊品牌的钓鱼尝试。网络犯罪分子继续依赖亚马逊主题页面来欺骗用户并获取个人或财务信息。
其他主要的电子商务品牌也被仿冒。检测到模仿阿里巴巴品牌(如速卖通)钓鱼页面的访问尝试54,500次,而eBay主题页面出现在38,383次警报中。拉丁美洲市场Mercado Libre被用作诱饵的情况有8,039次,沃尔玛相关的钓鱼页面被检测到8,156次。
2025年1月至10月骗子模仿的热门在线商店(下载)
2025年,钓鱼活动还大量模仿其他在线平台。Netflix主题页面被检测到801,148次,而Spotify相关的尝试达到576,873次。这种模式可能反映了攻击者持续关注那些流量高、且启用应用内支付的数字娱乐服务,这些服务可以通过盗取账户进行变现。
骗子如何利用2025年的购物热潮
2025年,黑五相关的骗局继续通过多个渠道传播,欺诈性电子邮件活动仍然是关键的分发方法之一。随着零售商增加其季节性推广活动,网络犯罪分子利用大量促销通讯的机会,发送外观相似的邮件,将用户导向诈骗和钓鱼页面。在11月的前两周,卡巴斯基检测到146,535封与季节性销售相关的垃圾邮件,其中包括2,572封提及双十一销售的信息。
骗子经常试图模仿知名平台以增加其信息的可信度。在一个年复一年出现的典型活动中,网络犯罪分子复制了亚马逊的品牌和视觉风格,宣传据称是独家提前访问、高达70%的折扣。在这个具体案例中,攻击者几乎未对其2024年活动使用的文本进行任何修改,再次提示用户点击一个导向欺诈页面的链接。此类页面通常旨在窃取用户的个人或支付信息,或诱骗用户购买不存在的商品。
除了对季节性折扣的普遍兴奋之外,骗子还试图利用消费者对新发布的苹果设备的兴趣。为了吸引注意,他们在不同的邮件活动中使用相同的最新设备图片,只改变据称销售该品牌的合法零售商的名称。
骗子在不同的活动中使用相同的图片,只改变零售商的品牌标识
由于订阅制流媒体平台也参与全球销售季,网络犯罪分子也试图利用这种兴趣。例如,我们观察到一个钓鱼网站,骗子在其中推广一个“12个月订阅捆绑包”,声称一次性涵盖多个热门服务,并要求用户输入其银行卡详细信息。为了增强可信度,骗子还编造了大量其他“用户”成功购买的指标,使该优惠看起来合法。
除了模仿全球公认的平台外,骗子还建立虚假页面,冒充特定国家的本地服务。这种策略使得更有针对性的活动能够融入本地在线环境,增加了用户将这些欺诈页面视为合法并与之互动的机会。
不存在的挪威在线商店和流行的Labubu玩具销售页面
银行木马
银行木马是网络犯罪分子利用2025年黑五等繁忙购物季的另一种工具。它们旨在从网上银行和支付系统中窃取敏感数据。在本节中,我们将重点关注针对PC的银行木马。一旦进入受害者的设备,它们会监控浏览器,当用户访问目标网站时,可以使用网络注入或表单抓取等技术来捕获登录凭证、信用卡信息和其他个人数据。一些木马还会监视剪贴板中的加密货币钱包地址,并将其替换为恶意行为者控制的地址。
随着主要销售活动期间在线购物达到高峰,攻击者越来越多地将电子商务平台与银行一同作为目标。木马可能会在合法网站中注入虚假表单,诱骗用户在结账时泄露敏感数据,从而增加了身份盗窃和金融欺诈的风险。2025年,卡巴斯基检测到超过1,088,293次* 银行木马攻击。在卡巴斯基全年分析值得注意的银行木马相关案例中,包括通过WhatsApp分发的新Maverick银行木马活动,以及通过恶意电子邮件和受感染的WordPress网站传播的Efimer木马,这两者都说明了银行木马传播方式的多样性和适应性。
*这些统计数据包括全球活跃的银行恶意软件,以及针对ATM和销售点(PoS)系统的恶意软件。我们排除了在攻击中不再使用银行木马功能的木马-银行家家族数据,例如Emotet。
暗网上的假日销售季
显然,即使是犯罪地下世界也有其自己的“假日销售季”版本。一旦数据被盗,通常最终会出现在暗网论坛上,网络犯罪分子在那里积极寻找买家。这种模式远非新鲜事,并且在过去两年中,提供的商品范围基本保持不变。
威胁行为者持续抓住机会吸引“新客户”,广告宣传与全球知名销售活动相关的深度折扣。值得注意的是,年复一年,我们看到同样的老牌服务在黑五前夕宣布其即将到来的促销活动,几乎像是遵循自己的零售日历。
我们还注意到,暗网论坛参与者自己也热切期待这些季节性降价,希望以最优惠的价格获取数据库,并在论坛帖子中表达他们的愿望。在黑五之前的几个月,专门讨论信用卡盗刷的论坛上开始出现帖子,宣传以促销价格出售被盗支付卡数据。
针对游戏的威胁
游戏产业面临着高度集中的诈骗和其他网络威胁,这归因于其庞大的全球受众以及对数字商品、更新和游戏内优势的持续需求。玩家通常快速接触新优惠,使他们更容易受到欺骗性链接或恶意文件的影响。同时,玩家经常从第三方市场、社区平台和非官方来源下载游戏、模组、皮肤等,这为攻击者创造了额外的切入点。
2025年,针对受玩家喜爱的平台的攻击尝试次数急剧增加,达到20,188,897次,与往年相比出现大幅增长。
通过伪装成热门游戏平台的恶意或不必要文件攻击用户的尝试次数(下载)
2025年近七倍的增长很可能与2024年底一些国家对Discord实施封锁有关。最终用户转而依赖替代工具、代理和修改版客户端。这一变化显著扩大了攻击面,使用户更容易受到伪装成限制规避方法的虚假安装程序和恶意更新的攻击。
这也可以从2025年最受攻击的前五大游戏平台中看出:
| 平台 | 攻击尝试次数 |
|---|---|
| Discord | 18,556,566 |
| Steam | 1,547,110 |
| Xbox | 43,560 |
| Uplay | 28,366 |
| Battle.net | 5,538 |
在往年,Steam一直是攻击尝试次数最高的平台。其庞大的游戏库、活跃的模组生态系统以及在游戏社区中的长期地位,使其成为网络犯罪分子分发伪装成模组、作弊器或破解版的恶意文件的主要目标。然而,在2025年,形势发生了显著变化。Steam和Discord之间的差距扩大到前所未有的程度,因为Steam相关数据保持在其过去五年的典型波动范围内,而伪装成Discord的攻击尝试次数较2024年激增超过14倍,重塑了目标游戏平台的层级结构。
报告期内伪装成Steam和Discord攻击用户的尝试次数(下载)
从2025年1月到10月,网络犯罪分子使用各种伪装成与玩家相关的热门平台、修改版或规避选项的网络威胁。RiskTool以17,845,099次检测在威胁格局中占据主导地位,远超其他任何类别。尽管这些工具本身并非恶意,但它们可以隐藏文件、掩盖进程或禁用程序,使其可用于隐蔽、持久的滥用,包括秘密挖矿。Downloader以1,318,743次检测位列第二。它们看起来无害,但可能在下载的其他文件中获取额外的恶意软件。当用户下载非官方补丁、破解客户端或模组时,通常会安装下载器。Trojan以384,680次检测紧随其后,通常伪装成作弊器或模组安装程序。一旦执行,它们可以窃取凭据、截取令牌或启用远程访问,导致账户被接管以及游戏内资产的损失。
| 威胁类型 | 游戏相关检测次数 |
|---|---|
| RiskTool | 17,845,099 |
| Downloader | 1,318,743 |
| Trojan | 384,680 |
| Adware | 184,257 |
| Exploit | 152,354 |
针对玩家的钓鱼和诈骗威胁
除了追踪伪装成玩家平台的恶意和不必要文件外,卡巴斯基专家还分析了仿冒这些服务的钓鱼页面。在2025年1月至10月期间,卡巴斯基产品检测到2,054,336次通过虚假登录页面、赠品活动、“折扣”订阅以及其他仿冒Steam、PlayStation、Xbox和游戏商店等热门平台的骗局来针对用户的钓鱼尝试。
使用热门射击游戏作为诱饵的黑五骗局示例
截图中显示的页面是一个典型的针对玩家的黑五主题骗局,旨在模仿官方的Valorant促销活动。“Valorant Points高达80%折扣”横幅、精美的布局和虚假的倒计时器营造出紧迫感,使优惠乍一看显得可信。继续操作的用户将被重定向到一个虚假登录表单,要求提供Riot账户凭证或银行卡详细信息。一旦提交,这些信息将使攻击者能够接管账户、窃取游戏内资产或进行欺诈交易。
细微的文本错误揭示了页面的欺诈性质。“You should not have a size limit of 5$ dollars in your account”这句话语法不正确,明显可疑。
另一个钓鱼页面依赖于一个虚构的“冬季礼物马拉松”活动,声称提供免费的20美元Steam礼品卡。季节性的框架,加上误导性的计数器(“251,110 of 300,000 cards received”),营造出一种虚假的合法性和紧迫感,意在促使用户快速互动。
该骗局的核心部分是“Sign in”按钮,该按钮将用户重定向到一个旨在收集其凭证的仿冒Steam登录表单。一旦获得凭证,攻击者可以获得账户的完全访问权限,包括支付方式、库存物品和市场资产,并且如果其他地方使用了相同的密码,还可能危及其他服务。
围绕PlayStation 5 Pro和Xbox Series X的骗局示例
围绕PlayStation 5 Pro和Xbox Series X的骗局似乎是从钓鱼工具包生成的,这是一种可重复使用的模板,骗子为不同品牌进行适配。尽管涉及两个游戏机,但两个页面都遵循相同的结构:左侧是声称提供“赢得”高价值设备机会的醒目声明和大型产品图片,右侧是要求用户输入电子邮件地址的极简表单。
黄色横幅宣传“独家优惠”和“数量有限”,给用户施加快速响应的压力。提交电子邮件后,受害者通常会被重定向到收集额外个人和支付数据的表单。之后他们还可能成为后续钓鱼邮件、垃圾邮件或恶意链接的目标。
结论
2025年,全球电子商务的持续扩张继续反映在网络威胁格局中,针对全球在线购物者的钓鱼、诈骗活动和金融恶意软件层出不穷。销售高峰期再次为欺诈创造了有利条件,导致涉及仿冒零售商页面、欺诈性电子邮件活动和季节性垃圾邮件的持续活动。
威胁行为者也针对数字娱乐和订阅服务用户。游戏行业经历了恶意活动的显著增加,这是由平台可访问性的变化和第三方工具的广泛使用所驱动的。与Discord相关的恶意检测数量的大幅上升,突显了攻击者如何快速适应用户行为的变化。
总体而言,2025年表明网络犯罪分子继续利用可预测的用户行为模式和主要销售事件来最大化其行动的影响。消费者在购物高峰期应保持格外警惕,并采用更强的安全实践,例如双因素认证、安全的支付方式和谨慎浏览。一个能够拦截恶意软件、检测钓鱼页面并保护财务数据的全面安全解决方案,可以进一步降低成为在线威胁受害者的风险。