↑台灣WP網站客戶注意了⋯⋯
記者許永傳台北報導
全球最大網站平台WordPress(簡稱WP)台灣用戶驚傳大規模釣魚詐騙!多名WP付費客戶近日收到偽冒「WordPress官方」名義的電子郵件,內容宣稱「您的年度方案即將於2025年11月21日到期,續約網址年度費用」,並附上看似官方的繳費連結。受害者點擊後輸入信用卡資料,隨即被盜刷多筆以歐元計價的高額款項,最高單筆達數千歐元。
據受害者向本報投訴,往年WordPress續約均採自動扣款機制,從未要求主動提供信用卡號。此次詐騙郵件卻以「系統升級,需重新驗證付款方式」為由,要求填寫完整卡號、有效期限及背面三碼,網址雖刻意模仿為「wordpress-security.com」「wp-payment.org」等極似官方域名,但實為釣魚網站。
↑詐騙釣魚網站,將客戶年約扣款時間,隨後加發網址費用的電子郵件,限兩日內付款。
不願具名的受害者表示,他於11月20日收到郵件後,未多加懷疑便完成「付款」,隔天查詢信用卡帳單才驚覺被連續盜刷7筆歐元交易,總金額超過新台幣12萬元。緊急掛失換卡後,發現其他WP台灣用戶社團也陸續傳出相同受害經驗,目前已知受害人數超過30人,且數字持續增加。
更令人擔憂的是,詐騙信件精準掌握每位受害者的:
- WordPress登入帳號
- 註冊域名
- 實際續約日期
- 以往方案等級
這些資料僅有WordPress官方後台才完整持有。多名受害者質疑:WP台灣區或全球資料庫極有可能已遭駭客入侵並外洩。
受害者已組成Line群組互相通報,並向WP官方客服、台灣刑事警察局165反詐騙專線及金管會檢舉。目前WP官方尚未對外發布正式聲明,僅在後台公告「請勿點擊來路不明的續費郵件」,卻未正面承認資料外洩。
資安專家提醒,使用WordPress的台灣用戶(無論免費或付費版)應立即採取以下動作:
- 登入WP後台確認是否啟用「兩步驟驗證」(2FA)
- 更換高強度密碼
- 檢查信用卡近期交易明細
- 將WP官方域名加入白名單,避免誤收釣魚郵件
刑事局表示,已接獲20餘件報案,將與歐洲執法單位聯手追查詐騙集團金流,同時呼籲民眾「WordPress從未主動要求站長手動輸入完整信用卡資料」,任何類似郵件皆應視為詐騙。(圖客戶提供)
一一以下空白一一