近來，一場網路釣魚攻擊正針對遊戲玩家，利用虛假的新遊戲測試邀約作為誘餌，試圖竊取個資與登入憑證。根據 Malwarebytes 研究人員的分析，這些詐騙訊息主要透過 Discord、電子郵件或簡訊發送，假冒遊戲開發商，並附上下載遊戲安裝檔的連結。

詐騙手法分析

該攻擊手法中，攻擊者透過已遭入侵的 Discord 帳號或其他可信平台，分享惡意連結，聲稱該連結能讓玩家下載遊戲測試版。這些檔案通常被托管在 Dropbox、Catbox，或 Discord 的內容傳遞網路（CDN）上，使其更具可信度。

然而，受害者實際下載和安裝的並非遊戲，而是一種竊取資訊的木馬程式。

惡意軟體變種與影響

這場攻擊散布多種不同的惡意軟體，主要目標是竊取使用者的帳號憑證與財務資訊。

研究人員指出，目前觀察到的變種包括：

• Nova Stealer
• Ageo Stealer
• Hexon Stealer

其中，Nova Stealer 和 Ageo Stealer 屬於「惡意軟體即服務（MaaS）」類型，攻擊者可以租賃這些軟體來進行詐騙。這些惡意軟體專門竊取瀏覽器儲存的帳號密碼、Discord 與 Steam 的登入憑證，以及與加密貨幣錢包相關的資訊。

擴散方式：利用 Discord 進一步攻擊

一旦帳戶被入侵，攻擊者便能利用受害者的 Discord 帳戶對朋友與聯絡人發動更多的釣魚攻擊。

研究報告中指出，攻擊者特別關注 Discord 憑證，因為透過被盜帳號，能夠取得受害者的朋友列表，並進一步欺騙這些朋友，使他們信以為真並下載惡意軟體。這種社交工程手法讓詐騙更具欺騙性。

如何防範此類詐騙攻擊？

為了避免成為這類詐騙的受害者，玩家應採取以下防範措施：

1. 謹慎對待不明邀請：不要輕信來自不明來源的測試邀請，尤其是未曾註冊或申請參與的測試計畫。
2. 檢查下載來源：確保所有下載內容來自官方網站或可信賴的遊戲平台，避免點擊來自 Discord、電子郵件或簡訊中的可疑連結。
3. 啟用雙重驗證（2FA）：為遊戲帳戶、電子郵件及 Discord 帳戶啟用雙重驗證，以增加額外的安全防護。
4. 監測帳戶活動：定期檢查帳戶登入紀錄，如發現異常登入活動，應立即更改密碼並啟用安全功能。
5. 提高資安意識：參與資安意識訓練，了解最新的釣魚手法，減少上當受騙的機率。

結語

隨著釣魚詐騙手法的日益精細化，玩家與企業必須加強資安意識，以應對新興的攻擊方式。透過提升自身的安全防護能力，可以有效降低被入侵的風險，確保個人與組織的數位資產安全。

本文由易璽科技提供，致力於提升企業與個人對於網路安全的意識與防護能力。