卡巴斯基实验室4月11日发布的监测数据显示,至少10个伪造的BTS巡演售票域名在72小时内集中上线,覆盖阿根廷、巴西、智利、哥伦比亚、法国、墨西哥、秘鲁、葡萄牙、西班牙9个国家。这是近年来地理跨度最大的演唱会门票诈骗案之一。
诈骗者盯上的是BTS时隔近四年的首次世界巡演"ARIRANG"。这个K-pop历史上最具影响力的组合之一,因成员服完韩国义务兵役后重组回归,门票需求在官宣当天就冲垮了多个国家的官方售票系统。
情绪被拉满的粉丝,成了最理想的猎物。
假网站比真网站更像"官方"
卡巴斯基分析师发现,这批 fraudulent domains(欺诈域名)完整复刻了正版售票页面的布局、配色和购票流程。从选座到支付,用户体验流畅得不像骗局。
「普通用户几乎无法分辨差异,」卡巴斯基安全研究员在报告中写道。诈骗团队甚至模拟了真实的库存紧张提示——"仅剩12张""3人正在浏览此座位"——这些细节精准击中了粉丝的FOMO心理(fear of missing out,错失恐惧症)。
传播渠道选得也很准:Instagram。BTS的全球粉丝社群高度活跃于此,信息在私人账号和粉丝群之间链式传播,官方根本来不及辟谣。
一个粉丝在帖子下留言"终于抢到葡萄牙场的票了",三小时内收获200多条"求链接"私信。那条链接指向的域名,比官方售票网站早注册了8个月——这是诈骗者常用的障眼法,用老域名伪装可信度。
巴西成了"支付陷阱"的试验场
巴西市场的遭遇最能说明诈骗者的狡猾。
BTS巴西巡演采用了全新的预预订制(pre-booking):粉丝先在线锁定座位,再到线下票房付款取票。这个设计本意是打击黄牛,却让流程变得复杂陌生。
诈骗者趁机填补了信息真空。假网站告诉用户:预预订需要立即支付定金,且必须通过PIX完成——这是巴西央行运营的即时支付系统,转账实时到账、几乎无法撤回。
更精细的设计在于"错误引导"。部分假网站先展示信用卡支付选项,等用户填写完卡号、有效期、CVV后,弹出提示:"系统繁忙,建议切换PIX支付以确保座位"。
卡巴斯基追踪到,这些PIX收款账户属于"钱骡"(money mules)——被雇佣或欺骗开设账户的普通人。资金到账后几分钟内就被分散转出,受害者追偿无门。
一位圣保罗的受害者在Reddit描述经历:从点击链接到完成PIX转账,全程不到3分钟。"页面加载速度比官方快多了,"她写道,"我以为是自己网速好。"
urgency(紧迫感)是核心武器
诈骗团队对粉丝心理的拿捏,体现在每一个交互细节。
假网站的倒计时器从15分钟开始跳动,提示"预订即将释放"。选座页面显示"47人正在查看此区域"。支付环节弹出红色警告:"您的座位保留即将过期"。
这些全是假的。但BTS正版门票确实会在公开售票后数分钟内售罄——诈骗者只是把真实的市场焦虑,做成了可交互的恐吓工具。
卡巴斯基注意到一个反常现象:部分假网站的流量高峰出现在凌晨2-4点。这对应的是巴西、阿根廷等国的夜间时段,也是粉丝刷社交媒体最容易冲动消费的时间。
「攻击者显然研究过目标群体的行为模式,」报告提到。他们甚至为不同国家定制了本地化的支付选项:墨西哥显示Oxxo便利店付款码,葡萄牙嵌入MB Way转账入口。
为什么偏偏是BTS?
大型演唱会诈骗并不新鲜。但BTS案例的特殊性在于,它同时集齐了三个风险因子:超长空窗期、全球同步回归、以及一个被训练成"即时反应"的粉丝群体。
军事服役中断的三年半里,BTS成员个人活动分散了注意力,但团体回归的消息像开关一样重新激活了集体狂热。官方售票信息尚未完全公布,粉丝已经形成了"任何渠道都不能放过"的抢购心态。
这种心态被诈骗者精准利用。卡巴斯基发现,部分假域名在官方售票日期公布前就已完成搭建,说明攻击者提前获取了巡演城市信息——可能来自内部泄露,也可能只是对行业规律的熟练预判。
更隐蔽的风险在于二次传播。即使某个粉丝识破了骗局,他在社交媒体上警告"这是假网站"时,反而可能帮诈骗者触达更多潜在受害者。信息在对抗中扩散,这是社交媒体时代的独特困境。
卡巴斯基建议的识别方法包括:检查域名注册时间(新注册域名风险高)、核实SSL证书详情、以及直接通过艺人官方渠道跳转购票。但这些技术细节,在"座位即将售罄"的倒计时面前,很少有人能冷静执行。
截至报告发布,尚无官方统计的受害人数和损失金额。巴西消费者保护机构已收到零星投诉,但多数受害者可能尚未意识到自己被骗——毕竟距离演唱会日期还有数月,"门票"的真伪暂时无法验证。
BTS所属经纪公司HYBE尚未就此事公开回应。其官方售票平台Weverse的客服渠道,近一周涌入大量"确认链接真伪"的咨询。
一位粉丝在Twitter写道:"我检查了那个网站三遍,最后因为'支付失败'才没转钱。现在我不知道该庆幸还是后怕——如果当时PIX通道畅通,我现在会是什么状态?"
热门跟贴