節慶期間大家都在辦活動,詐騙網站也不例外,去年研究的那個line卡通明星歡喜來拜年的活動連結已經失效了,沒有繼續出來騙(但實測發現主網站還是可以連,是到白爛貓的領取貼圖詐騙),今年詐騙手法再次翻新,不再領發免費貼圖了,而是…送紅包!

「線上送紅包給朋友」這件事其實很複雜,對使用者來說都叫從 APP 裡面付錢,但是對於 LINE 來說,使用者的錢是怎麼放進去的,是要去使用者的信用卡扣,還是要請使用者先儲值?允許的付款對象為何?店家用的官方帳號可以收紅包嗎?種種的操作情境,這是一個已經長達4年以上,到目前仍然有改善之處,艱辛的發展過程。

LINE APP 內最早的付款功能 LINE Pay,只能讓自然人買東西消費時付錢給店家,消費者當下看到付款成功,但錢是先付給 LINE,LINE 過幾天再撥款給店家,在台灣法律的定義上叫「第三方支付服務業」。後來跟一卡通合作,2018/9 搞了個「電子支付機構」執照的 LINE Pay 一卡通帳戶,LINE APP 才開始有儲值、朋友間轉帳、發紅包之類的功能,這個部份叫 LINE PAY MONEY,跟剛剛付錢給營業人、第三方支付的 LINE Pay 不一樣。

2021年對 LINE 更是個特別的一年:
2021/4,LINE 的純網銀 LINE Bank 正式開業,於是 LINE APP 的錢包裡面又更複雜了…要付錢時說餘額不足,使用者要先要先搞懂收款人是誰,再判斷是用 LINE PAY MONEY 還是 LINE PAY 付錢? 還有 LINE BANK 的餘額有多少錢,跟 LINE POINT 剩多少點,完全是兩回事。
2021/7,政府上路新的《電子支付機構管理條例》,整合電子支付、電子票證,不同電支平台之間也能相互轉帳。
2021/11,LINE Pay台灣出清所有一卡通持股, LINE Pay Money 也改名字了,但是 LINE App 發紅包、朋友之間打錢的功能不能亡啊!勢必要有電子支付執照才能提供這服務,所以雙方仍是業務合作關係,功能也沒有消失。
其餘還有像抖音一樣搞個 LINE VOOM,還有發限量咖波 NFT發到當機,還沒開賣就有人完成交易之類的(這其實是2022/1的事)…這些不是本文重點就不提了

總之有這麼多波折,現階段 LINE APP 仍然可以在對話視窗或群組對話視窗,點擊左下角加號選擇傳送「紅包」,由於這種付款方式是電子支付法規管轄的東西,系統會檢查群組或聊天視窗的其他使用者,如果其他人都沒有 LINE Pay Money 帳戶,紅包也是發不出去的。

今年詐騙主題的網址、文字與分享摘要大致長這樣:

首先可以查詢到域名是 2021/9 註冊的,而且網站用 HTTPS 也是可以連的,有裝 SSL (90天過期的那種)。

不過點進去後發現會轉到另一網址 https://www.line-store-free.com/ ,經過一個搖紅包的動畫圖片之後,會顯示「恭喜獲得紅包XXX元」的畫面。

XXX 元的部分是 iframe 嵌入一個頁面,每次載入時都會顯示一個數字
https://www-line-store-free-com.filesusr.com/html/aa5ca0_3c82f15810c2d4d254c049c083338f85.html

看這個寫法,詐騙集團的紅包保底應該至少有 888 元,還不錯。

點擊CTA按鈕「將紅包轉入錢包」,會顯示
「紅包獎項僅可使用一次
邀請5位好友參與LINE Pay 紅包抽獎
紅包立即入帳」
又是經典套路,這樣設計才能一傳十十傳百釣更多肥羊,

不過要騙應該要騙大的,這紅包怎麼抽也才幾千塊,也許再來個上萬塊甚至更高額的獎,這樣才可以名正言順用高額獎金要扣稅之類的理由,索取韭菜的個資,或是叫韭菜先匯錢,但這樣聽起來好像就太容易被識破了。

(擷取部分程式碼片段)
看起來有針對點擊滑鼠右鍵時會跳出粗暴的言論厚,不過我是用鍵盤叫出瀏覽器的 devtools,所以沒觸發這段警告。
使用者點擊分享之後,進度條會逐步增加(不管選0個朋友還是選100個朋友,成長幅度都一樣),等進度條滿了之後,再繼續點分享按鈕,就會轉到另一個 LINE 官方帳號的加入好友連結:

蛤?好友人數5508?看起來已經至少有 5500 多人玩到這一步,還成功加來路不明的 LINE 官方帳號當好友了,到這邊我就撤退了,加了之後不知道會發生什麼事。

如何判斷這是詐騙呢?
1.記得開頭那段電子支付、第三方支付甚麼的嗎?如果沒有註冊 LINE Pay Money 帳號,LINE 是沒辦法發錢給我的。
2.就算我有 LINE Pay Money 帳號,也拿不到紅包,從程式碼和流程上來看,基本上是沒有付款機制的,紅包金額數字也是在前端(使用者的瀏覽器端)胡亂產生的,LINE 或是詐騙廠商基本上完全不知道剛剛我抽到的紅包金額是多少。
3.這2個域名都是 2021 年中就註冊了,不是 2022 過年前才臨時要做的,也都會被趨勢科技防詐達人判定為不安全的網址,也許可以再買個新的域名,趁這些詐騙資料庫還沒資料時先多騙個幾天。
4.雖然從 UI 畫面判斷很不可靠,但是正牌的 LINE 紅包畫面長得像下圖這樣子,是用 LINE app 的某個 message type template 來呈現,而不是貼網址顯示分享摘要的模式。

當然本文進行的行為非常不建議自己嘗試,身為網頁相關從業人員,知道網頁能做的事不多,但也不少,光是點進網頁就有可能為人家的挖礦貢獻算力,為廣告追蹤碼貢獻受眾資料,操作過程可以為詐騙流程做A/B Test,甚至觸發手機/電腦作業系統、手機APP/網頁瀏覽器,的各種已知或未知的安全性漏洞。
甚至更不小心加了那個詐騙集團的 LINE 官方帳號,還隨意聽信話術,依照指示「開始領獎程序」「註冊紅包帳戶」,進行 LINE 帳號授權、留下訊息讓人家用你的 LINE 大頭照跟名字做比對,甚至依照指示下載檔案、安裝APP、輸入個資、電話、地址、提供銀行帳戶資料、上傳證件影本…之類的,這些都是非常危險的,為生活增添不少刺激感。

經過長久的訓練,不少人應該已經能分辨哪些免費貼圖是詐騙、哪些是真的送貼圖。這次送紅包可能是一個相對比較冷門的功能,應該可以帶來一波韭菜詐騙新熱潮?
至於明年新年詐騙會用什麼梗,會發 NFT 還是虛擬貨幣嗎?還是詐騙集團就絕跡江湖了?明年繼續拭目以待。