方法论
为了跟踪购物威胁形势的演变,我们每年对最常见的恶意技术进行评估,这些技术包括金融恶意软件、模仿大型零售商、银行和支付服务的钓鱼页面,以及将用户引向欺诈网站的垃圾邮件活动。2025年,我们还特别关注了与游戏相关的威胁,分析了网络犯罪分子如何利用玩家的兴趣。我们依据的威胁数据来源于卡巴斯基安全网络(KSN),该网络处理由卡巴斯基用户自愿分享的匿名网络安全数据。本报告基于2025年1月至10月收集的数据。
主要发现
- 在2025年前十个月,卡巴斯基识别了近640万次针对网店、支付系统和银行用户的钓鱼攻击。
- 这些攻击中高达 48.2% 是针对在线购物者的。
- 在11月的前两周,我们拦截了超过146,000封黑五主题的垃圾邮件。
- 卡巴斯基检测到超过200万次与在线游戏相关的钓鱼攻击。
- 2025年黑五购物季期间,记录了约109万次银行木马攻击。
- 针对游戏平台的攻击尝试数量在2025年急剧上升,达到超过2000万次,与往年相比显著增长。
- 2025年,超过1800万次恶意攻击尝试伪装成 Discord,同比增长超过14倍,而 Steam 的攻击尝试数量则保持在过去五年通常的波动范围内。
购物欺诈与网络钓鱼
网络钓鱼和诈骗仍然是在线购物者最常见的威胁之一,尤其是在零售流量高峰期,此时用户更可能快速行动并依赖熟悉的品牌提示。网络犯罪分子经常仿冒合法商店、支付页面和银行服务的外观,使其欺诈性网站和电子邮件难以与真实的区分开来。随着客户浏览多个优惠和支付选项,他们可能会忽略 URL 或发件人详细信息,从而增加了凭据被盗和资金损失的可能性。
从2025年1月到10月,卡巴斯基产品成功阻止了 6,394,854次 访问针对网店、支付系统和银行用户的钓鱼链接的尝试。细分这些尝试,48.21% 针对在线购物者(相比之下,2024年该部分占比为37.5%),26.10% 针对银行用户(2024年为44.41%),25.69% 模仿支付系统(去年为18.09%)。与往年相比,关注点出现了明显转移,针对网店用户的攻击现在占据了更大份额,这反映了网络犯罪分子继续专注于利用高需求的零售时段,而对银行用户的攻击比例有所下降。这可能与全球在线银行防护的加强有关。
2025年,卡巴斯基产品检测并阻止了 606,369次 涉及滥用亚马逊品牌的钓鱼尝试。网络犯罪分子继续依赖亚马逊主题页面来欺骗用户并获取个人或财务信息。
其他主要电商品牌也被仿冒。检测到模仿阿里巴巴旗下品牌(如 AliExpress)钓鱼页面的尝试 54,500次,而 eBay 主题页面出现了 38,383次 警报。拉丁美洲市场 Mercado Libre 被用作诱饵的有 8,039例,Walmart 相关钓鱼页面被检测到 8,156次。
2025年,钓鱼活动还广泛模仿其他在线平台。Netflix 主题页面被检测到 801,148次,而 Spotify 相关尝试达到 576,873次。这种模式可能反映了攻击者持续关注流量大的数字娱乐服务,这些服务启用了应用内支付,可以通过被盗账户进行变现。
骗子如何利用2025年购物热潮
2025年,黑五相关诈骗继续通过多种渠道传播,欺诈性电子邮件活动仍然是关键的传播方式之一。随着零售商增加季节性推广,网络犯罪分子利用促销通信量大的机会,发送看似真实的邮件,将用户导向诈骗和钓鱼页面。在11月的前两周,卡巴斯基检测到 146,535封 与季节性销售相关的垃圾邮件,其中包括 2,572封 提及双十一销售的信息。
骗子经常试图模仿知名平台以增加其信息的可信度。在年复一年的一个反复出现的活动中,网络犯罪分子复制了亚马逊的品牌和视觉风格,宣传所谓的独家早鸟折扣,折扣高达70%。在此特定案例中,攻击者几乎未对其2024年活动中使用的文本进行任何更改,再次提示用户点击链接前往欺诈页面。此类页面通常旨在窃取用户的个人或支付信息,或诱骗用户购买不存在的商品。
除了对季节性折扣的普遍兴奋之外,骗子还试图利用消费者对新发布的苹果设备的兴趣。为了吸引注意,他们在不同的邮件活动中使用相同的最新设备图片,只更改声称销售该品牌的合法零售商的名称。
骗子在不同的活动中使用相同的图片,只更改零售商的品牌标识。
由于订阅制流媒体平台也参与全球销售期,网络犯罪分子也试图利用这种兴趣。例如,我们观察到一个钓鱼网站,骗子在其中宣传一个“12个月订阅捆绑包”,一次性覆盖多个流行服务,要求用户输入银行卡详细信息。为了增强可信度,骗子还包括了伪造的其他“用户”大量成功购买的指标,使优惠看起来合法可信。
除了模仿全球公认的平台外,骗子还建立假装是特定国家本地服务的虚假页面。这种策略能够开展更针对性的活动,使其融入当地在线环境,增加了用户将欺诈页面视为合法并与之互动的机会。
银行木马
银行木马,或称“bankers”,是网络犯罪分子在像2025年黑五这样繁忙的购物季利用的另一种工具。它们旨在从在线银行和支付系统中窃取敏感数据。在本节中,我们将重点介绍 PC 端的银行木马。一旦进入受害者设备,它们会监视浏览器,当用户访问目标网站时,可以使用网络注入或表单抓取等技术来捕获登录凭据、信用卡信息和其他个人数据。一些木马还会监视剪贴板以寻找加密货币钱包地址,并将其替换为恶意攻击者控制的地址。
随着在线购物在主要销售活动期间达到高峰,攻击者越来越多地将电子商务平台与银行一起作为目标。木马可能会在合法网站中注入虚假表单,在结账时欺骗用户泄露敏感数据,增加了身份盗窃和金融欺诈的风险。2025年,卡巴斯基检测到超过 1,088,293次* 银行木马攻击。在今年卡巴斯基分析过的值得注意的银行木马相关案例中,可以提及通过 WhatsApp 传播的新银行木马 Maverick 的活动,以及通过恶意电子邮件和受感染的 WordPress 网站传播的 Efimer 木马,两者都说明了银行木马传播方式的多样性和适应性。
*这些统计数据包括全球活跃的银行恶意软件,以及针对 ATM 和销售点(PoS)系统的恶意软件。我们排除了在其攻击中不再使用银行木马功能的木马家族数据,例如 Emotet。
暗网上的假日销售季
显然,即使是犯罪地下世界也有其自己的假日销售季版本。一旦数据被盗,通常会最终流入暗网论坛,网络犯罪分子在那里积极寻找买家。这种模式并不新鲜,而且在过去两年中,可提供的商品范围基本保持不变。
威胁行为体始终抓住机会吸引“新客户”,宣传与备受瞩目的全球销售活动相关的深度折扣。值得注意的是,年复一年,我们看到相同的成熟服务在黑五前夕宣布其即将到来的促销活动,几乎就像按照他们自己的零售日历运作一样。
我们还注意到,暗网论坛参与者自己也热切期待这些季节性降价,希望以最优惠的价格获取数据库,并在论坛帖子中表达他们的愿望。在黑五前的几个月,以信用卡欺诈为主题的论坛上开始出现帖子,以促销价格宣传被盗的支付卡数据。
针对游戏的威胁
游戏行业面临着高度集中的诈骗和其他网络威胁,这归因于其庞大的全球受众以及对数字商品、更新和游戏内优势的持续需求。玩家通常很快地接受新优惠,使他们更容易受到欺骗性链接或恶意文件的影响。与此同时,玩家经常从第三方市场、社区平台和非官方来源下载游戏、模组、皮肤等,这为攻击者创造了额外的入口点。
通过伪装成游戏玩家喜爱的平台的恶意或不必要文件攻击用户的尝试次数在2025年急剧增加,达到 20,188,897例,与前几年相比大幅上升。
2025年近七倍的增长很可能与2024年底某些国家屏蔽 Discord 有关。最终用户依赖替代工具、代理和修改版客户端。这种变化显著扩大了攻击面,使用户更容易受到伪装成限制规避工具的虚假安装程序和恶意更新的攻击。
这也可以从2025年攻击最多的五个游戏平台中看出:
| 平台 | 攻击尝试次数 |
|---|---|
| Discord | 18,556,566 |
| Steam | 1,547,110 |
| Xbox | 43,560 |
| Uplay | 28,366 |
| Battle.net | 5,538 |
在前几年,Steam 一直是攻击尝试次数最多的平台。其庞大的游戏库、活跃的模组生态系统以及在游戏社区中长期扮演的角色,使其成为网络犯罪分子分发伪装为模组、作弊工具或破解版本的恶意文件的主要目标。然而,在2025年,形势发生了显著变化。Steam 和 Discord 之间的差距扩大到前所未有的程度,因为与 Steam 相关的数字保持在其过去五年典型的波动范围内,而伪装成 Discord 的攻击尝试次数与2024年相比激增了超过14倍,重塑了受攻击游戏平台的层级。
从1月到10月,2025年,网络犯罪分子使用了各种伪装成与游戏玩家相关的流行平台、修改或规避选项的网络威胁。RiskTool 以 17,845,099次 检测占据威胁格局的主导地位,远多于任何其他类别。尽管这些工具本身并非恶意,但它们可以隐藏文件、掩盖进程或禁用程序,使其可用于隐蔽、持久的滥用,包括隐秘的加密货币挖矿。Downloaders 以 1,318,743次 检测排名第二。这些看起来无害,但可能会获取其他恶意软件。通常在用户下载非官方补丁、破解客户端或模组时安装 Downloaders。Trojans 以 384,680次 检测紧随其后,通常伪装为作弊工具或模组安装程序。一旦执行,它们可以窃取凭据、拦截令牌或启用远程访问,导致账户接管和游戏内资产损失。
| 威胁 | 游戏相关检测次数 |
|---|---|
| RiskTool | 17,845,099 |
| Downloader | 1,318,743 |
| Trojan | 384,680 |
| Adware | 184,257 |
| Exploit | 152,354 |
针对游戏玩家的钓鱼和诈骗威胁
除了跟踪伪装成游戏玩家平台的恶意和不必要文件外,卡巴斯基专家还分析了模仿这些服务的钓鱼页面。在2025年1月至10月期间,卡巴斯基产品检测到 2,054,336次 钓鱼尝试,这些尝试通过伪造的登录页面、赠品活动、“折扣”订阅和其他冒充 Steam、PlayStation、Xbox 和游戏商店等流行平台的诈骗手段针对用户。
截图所示的页面是一个典型的针对游戏玩家的黑五主题诈骗,旨在模仿官方的 Valorant 促销活动。“Valorant Points 最高80% off”横幅、精美的布局和虚假的倒计时器营造了紧迫感,使优惠乍一看显得可信。继续操作的用户会被重定向到一个要求输入 Riot 账户凭据或银行卡详细信息的虚假登录表单。一旦提交,这些信息将使攻击者能够接管账户、窃取游戏内资产或进行欺诈交易。
微小的文本错误揭示了页面的欺诈性质。“You should not have a size limit of 5$ dollars in your account”这句话语法不正确,显然可疑。
另一个钓鱼页面依赖于一个捏造的“冬季礼物马拉松”,声称提供免费的20美元 Steam 礼品卡。结合误导性的计数器(“251,110 of 300,000 cards received”),季节性框架制造了一种虚假的合法性和紧迫感,旨在促使用户快速互动。
该骗局的核心部分是“Sign in”按钮,该按钮将用户重定向到一个旨在收集其凭据的仿冒 Steam 登录表单。一旦获取,攻击者可以完全访问账户,包括支付方式、库存物品和市场资产,并且如果密码在其他地方重复使用,则可能能够入侵其他服务。
围绕 PlayStation 5 Pro 和 Xbox Series X 的诈骗似乎是由钓鱼工具包生成的,这是一个可重复使用的模板,骗子针对不同品牌进行改编。尽管涉及两款游戏机,但两个页面都遵循相同的结构:左侧是声称提供“赢取”高价值设备机会的大胆声明和大型产品图片,右侧是要求用户输入电子邮件地址的极简主义表单。
一个黄色横幅宣传具有“有限供应”的“独家优惠”,给用户施加压力要求快速响应。提交电子邮件后,受害者通常会被重定向到收集额外个人和支付数据的表单。他们也可能随后成为后续钓鱼邮件、垃圾邮件或恶意链接的目标。
结论
2025年,全球电子商务的持续扩张继续在网络威胁格局中得到反映,网络钓鱼、诈骗活动和金融恶意软件针对全球在线购物者。销售高峰期再次为欺诈创造了有利条件,导致涉及仿冒零售商页面、欺诈性电子邮件活动和季节性垃圾邮件的持续活动。
威胁行为体也将数字娱乐和订阅服务的用户作为目标。游戏行业经历了明显的恶意活动增长,这由平台可访问性的变化和第三方工具的广泛使用推动。与 Discord 相关的恶意检测显著增加,突显了攻击者如何迅速适应用户行为的变化。
总体而言,2025年表明,网络犯罪分子继续利用可预测的用户行为模式和主要销售事件来最大化其操作的影响。消费者在购物高峰期应保持特别警惕,并采用更强的安全实践,例如双因素认证、安全支付方法和谨慎浏览。能够拦截恶意软件、检测钓鱼页面并保护财务数据的全面安全解决方案可以进一步降低成为在线威胁受害者的风险。