皇家郵政短信詐騙不斷興起!犯罪分子正利用系統(tǒng)歷史漏洞騙取錢財
大數(shù)據(jù)文摘出品
來源:wired
在28歲生日前夕,Emmeline Hartley回家時,她的手機里突然彈出一條短信。
信息寫到,皇家郵政這邊有一個包裹,她必須支付一些費用確保她的包裹送達。Hartley沒有多想,畢竟從消息鏈接的網(wǎng)站上看,似乎是官方發(fā)過來的,于是她填寫了相關(guān)信息。
第二天,Hartley準(zhǔn)備出去慶祝生日時,她接到了一個電話,電話中的人說到他來自巴克萊銀行,整個過程十分自然,不僅電話號碼來自該銀行的官方線路,服務(wù)人員的說話方式也像極了之前巴克萊銀行的員工,更關(guān)鍵的是,電話那頭的人對Hartley的背景信息了如指掌。
電話那頭的男子說,Hartley因為收到皇家郵政短信而被黑了,她現(xiàn)在必須采取行動,把錢轉(zhuǎn)移到“安全賬戶”上,確保安全。
“我一做完就開始有一種沮喪的感覺,”Hartley解釋說,“我哭了好久……我的腦海中一直浮現(xiàn)出“0英鎊”的字樣。從我這里拿走的錢其實不算多,但已經(jīng)是我全部的積蓄了”。
而直到一條關(guān)于她的經(jīng)歷的Twitter帖子在網(wǎng)上開始瘋傳,銀行方面才有所行動,他們表示,希望她能從朋友那里借點錢維持下個月的生活,他們正在試圖歸還Hartley丟失的錢。
但其實,Hartley只是無數(shù)人中的一員,他們被大量聲稱來自快遞公司(通常是皇家郵政)的詐騙短信所困擾。在大流行期間在線購物的欲望推動下,根據(jù)谷歌搜索數(shù)據(jù)顯示,2020年皇家郵政詐騙增加了1,077%。
據(jù)安全公司稱,今年3月,與皇家郵政相關(guān)的網(wǎng)絡(luò)釣魚詐騙就增加了645%。Hartley說,她現(xiàn)在收到了數(shù)百條來自類似騙局受害者的信息。
這些皇家郵政詐騙只是基于短信的騙局的冰山一角,它們不僅比基于電子郵件的騙局危險得多,而且還提出了一些關(guān)于我們?nèi)绾伪O(jiān)管現(xiàn)代互聯(lián)網(wǎng)的重大問題。
對此,我們能做些什么嗎?
“它的規(guī)模很大。如今,通過SMS分發(fā)可能是傳播惡意軟件或騙局的最有效方式。”互聯(lián)網(wǎng)安全公司ESET的網(wǎng)絡(luò)安全專家Jake Moore說。
“我們一次又一次地聽到人們損失成千上萬英鎊的消息,遠遠超過我們在電子郵件尼日利亞彩票中看到的。”大多數(shù)SMS網(wǎng)絡(luò)釣魚詐騙都遵循與Hartley類似的模式:發(fā)短信讓你點擊鏈接,并輸入你的詳細(xì)信息,支付未付費用,然后接收到冒充銀行的電話,告訴你你被騙了,他們說,如今唯一的方法是將所有資金轉(zhuǎn)移到一個新帳戶。
這些騙局并不新鮮,但讓它們?nèi)绱肆钊诵欧牟糠衷蚩赡苄枰獨w結(jié)到,我們使用短信的方式多年來發(fā)生了巨大的變化。
SMS最初設(shè)計為人們聊天的一種方式,現(xiàn)在幾乎專門用于來自公司的通信、雙因素身份驗證或其他正式和官方消息,例如NHS的疫苗文本。所有與朋友和家人的聊天也都轉(zhuǎn)移到了Facebook Messenger、iMessage、Signal和WhatsApp上。
“這是一種不安全的通信方式,”布里斯托爾大學(xué)網(wǎng)絡(luò)安全教授Awais Rashid說,短信現(xiàn)在已被“重新利用”起來試圖欺騙人們。
“我們與SMS的關(guān)系正在發(fā)生變化。我們認(rèn)為它們是來自合法組織的東西,它為我們提供了一些東西。”在這一點上是十分直接的,這也導(dǎo)致它們比電子郵件更私密,也更安全。
更重要的是,我們對這些騙局背后的人幾乎一無所知,很少有人被抓住。“進入門檻很低,你不必加入一些龐大的犯罪組織就能參與其中。如果犯罪分子對技術(shù)有一定的了解,他們還會在網(wǎng)上隱藏所有蹤跡”。
最近被國家犯罪局關(guān)閉的SMS Bandits等網(wǎng)站和無數(shù)其他網(wǎng)站允許詐騙者批量發(fā)送誤導(dǎo)性消息,再加上數(shù)百萬人的電話號碼和個人信息可以相對便宜地在線購買,種種因素導(dǎo)致騙局迅速擴大。例如,NameCheap.com被發(fā)現(xiàn)托管了200多個騙子用來冒充皇家郵政的網(wǎng)站。
然后是“號碼欺騙”。與Hartley的案例一樣,憑借足夠的技術(shù)知識,模仿官方幫助熱線的手機號碼使騙局看起來可信,這也不是什么難事。“欺詐即服務(wù)”在詐騙詐騙中很常見,犯罪者從第三方購買技術(shù)來實施這些犯罪,并向他們支付一部分利潤。所有這些都有助于使這些騙局具有說服力,并使犯罪分子更難以識別和抓獲。
在發(fā)生相關(guān)騙局后,大多數(shù)當(dāng)局只是警告消費者要“小心”。自大流行開始以來,皇家郵政也已發(fā)出無數(shù)此類警告,但仍未公布其即將實施的任何技術(shù)更新。
Rashid說:“目前,用戶負(fù)擔(dān)過重,無法確定哪些是騙局,哪些不是。”當(dāng)這些被偽裝得與真實無法區(qū)分時,個人發(fā)現(xiàn)騙局的壓力就尤其成問題。“短信應(yīng)該被接收,鏈接應(yīng)該被點擊”。
只是告訴消費者“保持警惕”,從根本上就誤解了成為這些缺點之一的目標(biāo)。對此我們可以采取更多措施。
首先,治安方面存在問題。在2020年向Action Fraud報告的350,000條詐騙信息(估計耗資21億英鎊)中,只有約1.4%被起訴。盡管欺詐占所有犯罪的30%以上,但只有不到1%的警務(wù)資源用于打擊欺詐。
“我曾經(jīng)與決策者交談,以決定將多少資源投入到數(shù)字犯罪中,盡管這只是很小一部分。”曾領(lǐng)導(dǎo)警方網(wǎng)絡(luò)犯罪的Moore解釋說。
除了缺乏資源之外,問題還在于治安方式。根據(jù)Moore的說法,警務(wù)過于“被動”——只有在犯罪者可能早已不在的情況下才會在犯罪發(fā)生后采取行動。
他表示,更主動的監(jiān)管將是抓人的唯一方法。例如,冒充受害者哄騙攻擊者,然后向犯罪者發(fā)送包含惡意軟件的電子郵件和消息,以跟蹤他們的IP地址或入侵他們的網(wǎng)絡(luò)攝像頭。
除此之外,首先就需要讓詐騙者更難進行詐騙。一種方法是針對SMS詐騙的特定部分,例如號碼欺騙,以降低其有效性。SenderID通常通過接聽電話的電話工作,根據(jù)列表驗證號碼。但是缺乏一個中央ID數(shù)據(jù)庫意味著該系統(tǒng)很容易被欺騙。作為回應(yīng),該行業(yè)啟動了SMS SenderID保護注冊表,以嘗試創(chuàng)建一個集中的消息和號碼數(shù)據(jù)庫,這將使某些官方號碼更難模仿,同時也阻止詐騙者使用的號碼。
關(guān)于如何應(yīng)對技術(shù)進步的意外后果,還有更大、更棘手的問題。
SMS概念是在1980年代初期開發(fā)的。到2021年,它卻淪為騙子的工具。“我們需要思考:犯罪分子可以用它做什么?,”Rashid說,“我們在設(shè)計時沒有做足夠的威脅建模。”
對于Rashid來說,現(xiàn)在的核心問題是我們?nèi)绾巫屜到y(tǒng)適應(yīng)未來出現(xiàn)的騙局。對于SMS而言,這可能意味著在一個幾乎無法識別、保護或有效篩選用戶及其消息的平臺上提高安全性。
“目前還沒有自我監(jiān)管,”工黨議員兼工作和養(yǎng)老金特別委員會主席Stephen Timms說。
“我們不能再采取這種不干涉的方法了。”Timms與其他議員一道,正在推動政府在欺詐方面發(fā)揮更積極的作用,作為其新的在線安全法案的一部分。政府表示可能會支持這一變化,這意味著那些在沒有足夠安全措施的情況下攜帶虛假皇家郵政網(wǎng)站或銀行的域名主機可能被迫保護其用戶免受此類詐騙或面臨罰款的風(fēng)險。
但是,與任何互聯(lián)網(wǎng)監(jiān)管一樣,所有這些都是有代價的。使這些騙局如此成功且難以關(guān)閉的相同系統(tǒng)也是安全、可靠和開放互聯(lián)網(wǎng)的基石。“我們需要明白,這不是一場零和游戲,”Rashid說。
“當(dāng)我們談?wù)摫O(jiān)管時,我們必須記住,減輕對一個特定群體的傷害可能會對另一個群體造成傷害。”
相關(guān)報道:https://www.wired.co.uk/article/royal-mail-text-message-scams
【本文是51CTO專欄機構(gòu)大數(shù)據(jù)文摘的原創(chuàng)譯文,微信公眾號“大數(shù)據(jù)文摘( id: BigDataDigest)”】
