轉載自2021-09-24 iThome [詳細內容]

國內中小電商遭新型網釣攻擊鎖定，佯稱商品瑕疵，內容本土化且量身客製，客服員工開啟附件就被竊取帳密

近半年以來，國內出現鎖定電商客服人員盜取帳密的釣魚郵件，假冒消費者客訴來信，並清楚提及收件者公司的品牌與產品名稱，國內已有電商營運長公布遇害經歷，所幸當下能及時反應，不只相關電商同業要注意，隨著這類釣魚範本的發展，針對企業且高度量身打造的偽裝內容可能更普遍。

今年以來，國內出現多起鎖定客服人員的釣魚郵件，並具有在地化且自製程度很高的內容，以引誘不知情的企業員工開啟附件，目的就是要讓木馬程式側錄受害電腦的帳號密碼，或是入侵電腦。而近期這樣的事件之所以受到注目，是有人在社群網站分享接獲這類客訴釣魚郵件的經驗。

值得關注的是，從網友們公布的釣魚信內容可以看出，網路攻擊者假冒消費者以Gmail個人信箱來信，郵件內容都是正體中文，沒有簡體與亂碼，相當符合本地用戶信件撰寫方式；同時，信中內容提及收件者所屬公司的名稱與產品，謊稱之前已買過該組產品，因發現產品有瑕疵，要業者盡快回覆處理。顯然這樣的詐騙內容，已經過量身打造而讓人很難起疑心。

而出現這樣的釣魚郵件案例，不僅讓外界更清楚網路攻擊者的社交工程手法變化，也突顯了本土化，以及高度量身打造的釣魚郵件，其實都已更為普遍，此次鎖定客服人員的攻擊，就是一例。

國內中小電商頻接獲假客訴信，有營運長分享員工遇害經驗

以近期案例而言，在9月6日，有網友表示，公司的同事收到一封假借消費者名義的客訴信，信中指責該公司保養品出貨後就不顧售後服務，並提及電商的品牌與產品名稱，對方還附上了壓縮檔與密碼，說明附件內容是包裹與瑕疵照片。所幸她之前就看過相關提醒，有其他電商老闆在臉書分享遇害經過，因此，很早就將這樣的情資轉發到公司群組提醒，因此同事並未上當。