假冒BTS世界巡回演唱会门票网站针对多国粉丝进行诈骗

执行摘要

网络犯罪分子利用全球对BTS演唱会门票的需求，运营一系列欺诈性电子商务网站，旨在窃取粉丝的支付卡详情和个人信息。这场活动至少针对了九个国家的受害者，使用了复杂的社会工程学手段，模仿合法票务供应商并利用乐队的官方品牌看起来真实可信。主要目标是金融欺诈，受害者在提交付款后收不到票。

技术分析

这场活动背后的威胁行为者注册了多个域名，这些域名与合法票务供应商非常相似或使用与BTS及其即将到来的巡演相关的关键词。根据来源报告，这些网站专业构建，模仿真正的电子商务平台，包括SSL证书（由HTTPS表示）以培养错误的安全感。技术基础设施是现代网络钓鱼操作的典型：一次性域名、通用托管服务和集成的支付窃取机制。支付数据外泄的确切方法——无论是通过直接向攻击者控制的服务器提交表单还是客户端窃取脚本——在可用的源材料中没有详细说明。

入侵指标

目前没有识别出。

战术、技术与程序

攻击者的战术、技术与程序与标准的电子商务欺诈和网络钓鱼活动一致，强调社会工程学。

• 战术：初始访问（TA0001） – 技术：网络钓鱼（T1566）：主要途径是通过搜索引擎优化（SEO）或社交媒体链接进行鱼叉式网络钓鱼，将用户引导至欺诈网站。
• 战术：凭证访问（TA0006） – 技术：输入捕获：Web门户捕获（T1056.003）：假网站通过其结账表单直接捕获支付卡详情、姓名、地址和其他个人身份信息。
• 伪装：整个操作建立在虚假的授权票务销售者的前提之上，利用粉丝的情感投资和紧迫性。
• 品牌冒充：广泛使用受版权保护的BTS图像、标志和官方巡演图形，创建令人信服的假象。

威胁行为者背景

来源报告没有将这场活动归因于已知的威胁行为者团体。该操作的特点——财务动机、广泛的地理目标和利用受欢迎的文化事件——与机会主义的网络犯罪分子或欺诈即服务（FaaS）平台一致。这些行为者通常没有特定的政治或间谍议程，完全以利润为动机。他们的基础设施可能是敏捷和短暂的，域名被快速注册和放弃，以逃避取缔。

缓解措施与建议

• 对于粉丝：仅从官方推广和验证的供应商处购买门票。对通过社交媒体广告或非官方搜索结果找到的网站持怀疑态度。使用信用卡而不是借记卡进行额外的欺诈保护，并在任何在线购买后密切监控声明。
• 对于金融机构：实施和调整欺诈检测规则，标记来自新注册或声誉低的电子商务域名的交易，特别是那些与高需求事件相关的域名。
• 对于品牌所有者（例如，BTS管理）：主动注册与巡演和乐队名称相关的防御性域名。通过官方渠道发布公共通告，列出授权的票务合作伙伴和常见的诈骗指标。与域名注册商和托管提供商合作，加快取缔欺诈网站。
• 一般安全卫生：使用标记已知网络钓鱼网站的基于浏览器的安全工具。保持更新的广告拦截器和脚本拦截器，有时可以干扰支付窃取器。