2025年网络购物威胁全景:黑五大促下的钓鱼攻击与金融木马

卡巴斯基2025年在线购物威胁报告揭示了黑五等大促期间网络犯罪活动的演变。报告分析了针对电商、支付系统、银行的近640万次钓鱼攻击,以及针对游戏平台的激增威胁,并提供了关键数据和安全洞察。

2025年卡巴斯基在线购物威胁报告 | Securelist

全球电子商务市场正以前所未有的速度加速发展,受在线零售扩张和全球消费者采用率上升的推动。根据麦肯锡全球研究所的数据,预计到2040年,全球电子商务将以每年7-9%的速度增长。 在卡巴斯基,我们追踪了这种在线购物活动的激增如何映射出网络威胁。2025年,我们观察到不仅针对电子商务平台用户的攻击,还包括针对一般在线购物者的攻击,这些购物者使用数字市场、支付服务和日常购物应用。今年,我们还额外分析了网络犯罪分子如何在黑五期间利用游戏平台,因为游戏行业已成为全球销售日历的重要组成部分。威胁行为者一直在利用黑五等销售高峰期加大力度,利用高需求和降低的用户警惕性来窃取个人数据、资金或传播恶意软件。 本报告延续了我们于2021年、2022年、2023年和2024年在Securelist上发布的年度分析系列,旨在审视与购物相关的网络威胁不断演变的格局。

方法论

为了追踪购物威胁态势的持续演变,我们每年对最常见的恶意技术进行一次评估,这些技术涵盖金融恶意软件、模仿主要零售商、银行和支付服务的钓鱼页面,以及将用户引向欺诈网站的垃圾邮件活动。2025年,我们还专门关注了与游戏相关的威胁,分析了网络犯罪分子如何利用玩家的兴趣。我们依赖的威胁数据来源于卡巴斯基安全网络(KSN),该网络处理由卡巴斯基用户同意共享的匿名网络安全数据。本报告基于2025年1月至10月收集的数据。

主要发现

  • 在2025年的前10个月,卡巴斯基识别了近640万次针对在线商店、支付系统和银行用户的钓鱼攻击。
  • 这些攻击中多达48.2%是针对在线购物者的。
  • 我们在11月的前两周拦截了超过146,000条黑五主题的垃圾邮件。
  • 卡巴斯基检测到超过200万次与在线游戏相关的钓鱼攻击。
  • 2025年黑五销售季期间,记录了约109万次银行木马攻击。
  • 针对游戏平台的未遂攻击数量在2025年激增,达到超过2000万次,与往年相比显著增加。
  • 2025年有超过1800万次未遂恶意攻击伪装成Discord,较上年增长了14倍以上,而Steam相关攻击则保持在通常的五年波动范围内。

购物欺诈与钓鱼

钓鱼和骗局仍然是在线购物者面临的最常见威胁之一,尤其是在高流量零售时期,此时用户更有可能快速行动并依赖熟悉的品牌线索。网络犯罪分子经常仿造合法商店、支付页面和银行服务的外观,使其欺诈性网站和电子邮件难以与真实的区分开来。当顾客浏览多个优惠和支付选项时,他们可能会忽略URL或发件人详细信息,从而增加了凭据被盗和财务损失的可能性。 从2025年1月到10月,卡巴斯基产品成功拦截了6,394,854次试图访问针对在线商店、支付系统和银行用户的钓鱼链接的尝试。细分这些尝试,48.21%是针对在线购物者的(相比之下,该细分市场在2024年占37.5%),26.10%针对银行用户(2024年为44.41%),25.69%模仿支付系统(去年为18.09%)。与往年相比,攻击重点发生了明显转变,针对在线商店用户的攻击现在占据了更大份额,这反映了网络犯罪分子持续利用高需求零售期的重点,而针对银行用户的攻击在相对比例上有所下降。这可能与全球在线银行保护的加强有关。

2025年,卡巴斯基产品检测并拦截了606,369次涉及滥用亚马逊品牌的钓鱼尝试。网络犯罪分子继续依赖亚马逊主题页面来欺骗用户并获取个人或财务信息。 其他主要的电子商务品牌也被冒充。试图访问模仿阿里巴巴品牌(如速卖通)的钓鱼页面被检测到54,500次,而eBay主题页面出现在38,383次警报中。拉丁美洲市场Mercado Libre在8,039个案例中被用作诱饵,与沃尔玛相关的钓鱼页面被检测到8,156次。

2025年,钓鱼活动还广泛模仿了其他在线平台。Netflix主题页面被检测到801,148次,而Spotify相关尝试达到576,873次。这种模式可能反映了攻击者持续关注具有启用服务内支付功能的高流量数字娱乐服务,这些服务可以通过被盗账户获利。

骗子如何在2025年利用购物热潮

2025年,黑五相关的骗局继续通过多个渠道传播,欺诈性电子邮件活动仍然是关键的传播方法之一。随着零售商增加其季节性推广,网络犯罪分子利用大量促销通信的机会,发送外观相似的邮件,将用户引导至诈骗和钓鱼页面。在11月的前两周,卡巴斯基检测到146,535条与季节性销售相关的垃圾邮件,其中包括2,572条提及双十一销售的信息。 骗子经常试图模仿知名平台以增加其信息的可信度。在一个年复一年出现的重复性活动中,网络犯罪分子复制了亚马逊的品牌形象和视觉风格,宣传据称高达70%的独家提前访问折扣。在这个特定案例中,攻击者几乎没有对其2024年活动中使用的文本进行任何更改,再次提示用户点击链接前往欺诈页面。此类页面通常旨在窃取他们的个人或支付信息,或诱使用户购买不存在的商品。 除了围绕季节性折扣的普遍兴奋之外,骗子还试图利用消费者对新发布的苹果设备的兴趣。为了吸引注意力,他们在各种邮件活动中使用相同的最新设备图片,只更改据称销售该品牌的合法零售商名称。

由于基于订阅的流媒体平台也参与全球销售期,网络犯罪分子也试图利用这种兴趣。例如,我们观察到一个钓鱼网站,骗子在那里推广一个"12个月订阅捆绑包",声称一次覆盖多个流行服务,并要求用户输入他们的银行卡详细信息。为了增强可信度,骗子还包括了虚构的众多其他"用户"成功购买的指标,使优惠看起来合法。 除了模仿全球公认的平台,骗子还建立虚假页面,假装是特定国家的本地服务。这种策略使得更精准的营销活动能够融入本地在线环境,增加了用户将这些欺诈页面视为合法并与之互动的机会。

银行木马

银行木马是网络犯罪分子在2025年黑五等繁忙购物季利用的另一种工具。它们旨在从在线银行和支付系统中窃取敏感数据。在本节中,我们将重点介绍PC银行木马。一旦进入受害者的设备,它们会监控浏览器,当用户访问目标网站时,可以使用网络注入或表单抓取等技术来捕获登录凭据、信用卡信息和其他个人数据。一些木马还会监视剪贴板中的加密货币钱包地址,并用恶意行为者控制的地址替换它们。 随着在线购物在主要销售活动期间达到高峰,攻击者越来越多地将电子商务平台与银行一起作为目标。木马可能会在合法网站中注入虚假表单,诱使用户在结账时泄露敏感数据,从而增加身份盗窃和金融欺诈的风险。2025年,卡巴斯基检测到超过1,088,293次*银行木马攻击。在卡巴斯基全年分析的重要银行木马相关案例中,可以提及通过WhatsApp传播的新Maverick银行木马活动,以及通过恶意电子邮件和受损WordPress网站传播的Efimer木马,这两者都说明了银行木马传播方式的多样性和适应性。 *这些统计数据包括全球活跃的银行恶意软件,以及针对ATM和销售点(PoS)系统的恶意软件。我们排除了在其攻击中不再使用银行木马功能的木马银行家族的数据,例如Emotet。

暗网上的假日销售季

显然,即使是犯罪地下世界也有自己版本的假日销售季。一旦数据被盗,通常会出现在暗网论坛上,网络犯罪分子在那里积极寻找买家。这种模式并非新鲜事,而且提供的商品范围在过去两年中基本保持不变。 威胁行为者始终抓住机会吸引"新客户",广告与高调全球销售活动相关的深度折扣。值得注意的是,年复一年,我们看到相同的已建立服务在黑五前夕宣布其即将推出的促销活动,几乎就像按照自己的零售日历运作一样。 我们还注意到,暗网论坛参与者自己也热切期待这些季节性降价,希望以最优惠的价格获取数据库,并在论坛帖子中表达他们的愿望。在黑五前的几个月,以信用卡盗刷为主题的论坛上开始出现帖子,广告宣传被盗支付卡数据以促销价格出售。

针对游戏的威胁

游戏行业面临着高度集中的骗局和其他网络威胁,这是由于其庞大的全球受众以及对数字商品、更新和游戏内优势的持续需求。玩家通常快速参与新优惠,使他们更容易受到欺骗性链接或恶意文件的影响。同时,玩家经常从第三方市场、社区平台和非官方来源下载游戏、模组、皮肤等,这为攻击者创造了额外的切入点。 针对游戏玩家喜爱的平台的未遂攻击数量在2025年急剧增加,达到20,188,897例,与往年相比急剧上升。

2025年近七倍的增长很可能与2024年底某些国家对Discord的封锁有关。最终用户依赖替代工具、代理和修改版客户端。这种变化显著扩大了攻击面,使用户更容易受到伪装为限制规避工具的虚假安装程序和恶意更新的攻击。 这也反映在2025年五大最受攻击的游戏平台中:

平台 未遂攻击数量
Discord 18,556,566
Steam 1,547,110
Xbox 43,560
Uplay 28,366
Battle.net 5,538

在往年,Steam一直是被攻击尝试次数最多的平台。其庞大的游戏库、活跃的模组生态系统以及在游戏社区中长期扮演的角色,使其成为网络犯罪分子分发伪装为模组、作弊器或破解版的恶意文件的主要目标。然而,2025年,这一格局发生了显著变化。Steam和Discord之间的差距扩大到前所未有的程度,因为Steam相关数据保持在过去五年典型的波动范围内,而伪装成Discord的攻击尝试数量较2024年激增了14倍以上,重塑了目标游戏平台的层级结构。

从2025年1月到10月,网络犯罪分子使用了各种伪装成与游戏玩家相关的流行平台、模组或规避选项的网络威胁。RiskTool以17,845,099次检测在威胁格局中占据主导地位,远超过任何其他类别。虽然这些工具本身并非恶意,但它们可以隐藏文件、掩盖进程或禁用程序,使其可用于隐秘、持久的滥用,包括隐蔽的加密货币挖矿。Downloader以1,318,743次检测位居第二。它们看起来无害,但可能在下载的文件中获取额外的恶意软件。当用户下载非官方补丁、破解客户端或模组时,通常会安装下载器。Trojans以384,680次检测紧随其后,通常伪装成作弊器或模组安装程序。一旦执行,它们可以窃取凭据、截取令牌或启用远程访问,导致账户接管和游戏内资产的损失。

威胁 游戏相关检测
RiskTool 17,845,099
Downloader 1,318,743
Trojan 384,680
Adware 184,257
Exploit 152,354

针对游戏玩家的钓鱼和诈骗威胁

除了追踪伪装成游戏玩家平台的恶意和不必要文件外,卡巴斯基专家还分析了冒充这些服务的钓鱼页面。2025年1月至10月期间,卡巴斯基产品检测到2,054,336次钓鱼尝试,这些尝试通过伪装成Steam、PlayStation、Xbox和游戏商店等流行平台的虚假登录页面、赠品优惠、“折扣"订阅和其他骗局来攻击用户。

示例:使用流行射击游戏作为诱饵的黑五骗局 截图所示的页面是一个典型的针对游戏玩家的黑五主题骗局,旨在模仿官方的Valorant促销活动。“Valorant Points最高80% off"的横幅、精美的布局和虚假的倒计时器制造了紧迫感,乍一看让优惠显得可信。继续操作的用户会被重定向到一个虚假的登录表单,要求输入Riot账户凭据或银行卡详细信息。一旦提交,这些信息将使攻击者能够接管账户、窃取游戏内资产或进行欺诈交易。 细微的文本错误揭示了页面的欺诈性质。“You should not have a size limit of 5$ dollars in your account"这句话语法不正确,显然可疑。

另一个钓鱼页面依赖一个捏造的"冬季礼物马拉松”,声称提供免费的20美元Steam礼品卡。季节性的框架,加上误导性的计数器(“已领取251,110张中的300,000张”),制造了一种虚假的合法性和紧迫感,旨在促使用户快速互动。 该骗局的核心组成部分是"登录"按钮,该按钮将用户重定向到一个仿冒的Steam登录表单,旨在收集其凭据。一旦获得,攻击者可以完全访问账户,包括支付方式、库存物品和市场资产,并且如果其他地方使用了相同的密码,则可能能够入侵其他服务。

围绕PlayStation 5 Pro和Xbox Series X的骗局似乎是从钓鱼工具包生成的,这是一种可重复使用的模板,骗子可以针对不同品牌进行适配。尽管提到了两个游戏机,两个页面都遵循相同的结构:左侧是声称提供"赢取"高价值设备机会的大胆声明和大型产品图片,右侧是要求用户电子邮件地址的极简风格表单。 一个黄色的横幅宣传"独家优惠"和"有限供应”,给用户施加快速响应的压力。提交电子邮件后,受害者通常会被重定向到额外的个人和支付数据收集表单。之后他们还可能成为后续钓鱼邮件、垃圾邮件或恶意链接的目标。

结论

2025年,全球电子商务的持续扩张继续反映在网络威胁格局中,针对全球在线购物者的钓鱼、诈骗活动和金融恶意软件不断增加。主要销售高峰期再次为欺诈创造了有利条件,导致涉及仿冒零售商页面、欺诈性电子邮件活动和季节性垃圾邮件的持续活动。 威胁行为者也针对数字娱乐和订阅服务的用户。游戏行业经历了明显的恶意活动增长,这主要是由平台可访问性的变化和第三方工具的广泛使用所驱动。与Discord相关的恶意检测数量的显著上升,突显了攻击者如何快速适应用户行为的变化。 总体而言,2025年表明网络犯罪分子继续利用可预测的用户行为模式和主要销售事件来最大化其行动的影响。消费者在购物高峰期应保持特别警惕,并采用更强的安全实践,例如双因素认证、安全的支付方式和谨慎的浏览。一个全面的安全解决方案,能够拦截恶意软件、检测钓鱼页面并保护财务数据,可以进一步降低成为在线威胁受害者的风险。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次