Fortinet發布《2025節假日網路威脅報告》,由FortiGuard Labs解析節假日期間的網路威脅重要趨勢,並幫助企業組織及消費者提高資安意、採取防禦策略。報告顯示,新建惡意基礎設施的數量、帳號入侵活動,以及針對電商系統的精準攻擊都顯著增加。攻擊者藉由販售自動化攻擊,以規模化方式瞄準了節假日購物高峰期準備出手。對於資安、防詐團隊與電商而言,這並非僅限於節假日期間的暫時性挑戰,而是反映了攻擊工具與獲利模式的長期趨勢。
!此為分頁標誌前台不顯示!
攻擊者正積極利用電商平台的已知重大漏洞,在各平台中,外掛、模板與API身分驗證等相關漏洞,正被利用來進行支付資料竊取、XSS利用、權限提升,以及未經授權的檔案上傳,並在目標電商環境中,維持長期控制。Magecart類型的JavaScript注入攻擊,仍是最持久且破壞性極高的威脅之一,攻擊者可以直接從結帳頁面竊取支付資料。
其中,已知漏洞CVE-2025-54236,目前已有超過250個Magento商店出現遭入侵的跡象,攻擊者透過不當的輸入驗證,進行工作階段接管及遠端程式碼執行。而CL0P勒索軟體組織,則利用CVE-2025-61882執行未經驗證的遠端程式碼、竊取ERP資料,並破壞訂單與庫存系統。此外,CVE-2025-47569則是對以WooCommerce為基礎的線上商店造成重大安全風險,可能導致攻擊者竄改或竊取敏感資料庫的資訊。透過利用此漏洞,威脅者正在暗網上販售資料庫的存取權限。
自動化網路威脅結合成熟的地下市場服務生態系,使攻擊者無需自行打造工具或基礎設施。AI驅動的暴力破解框架,能以近似人類的行為模式,大量登入嘗試,使憑證攻擊更難被偵測。針對WooCommerce、WordPress、FTP、SMTP等系統的憑證驗證工具,讓攻擊者能快速在大量網站中,測試並確認遭竊憑證資料。而批量代理與VPN服務,則提供輪替IP位址與地理位置多樣性,有助於防止自動化活動觸發速率限制或地理圍欄控制。
網路釣魚頁面或惡意軟體傳送的即時架站服務,已成為標準化商品,提供攻擊者幾乎不需設定的現成伺服器。新型網站複製服務、自動化SIP平台、及簡訊垃圾郵件面板,皆迅速擴展了簡訊釣魚與詐騙活動的規模。透過在內容管理系統(CMS)平台上,安裝支付竊取工具或後門,攻擊者能長期進行資料竊取。甚至,連變現環節也日趨標準化,發展出指導如何轉售資產的詳細教學。由於節假日期間交易量大增、購物節奏更加頻繁,被盜帳戶在地下市場中的流通速度也極快。具有活躍購物紀錄的被盜帳戶更尤其高價值,因為其活動與一般合法用戶非常相似,在即時偵測上更具挑戰性。