文本欺詐、垃圾郵件、網絡釣魚、敲詐勒索
圖1:約會詐騙電子郵件示例
這種類型的詐騙信息可能是某些有吸引力的女性(極少部分男性)在尋找一段「認真的關係」。為了使詐騙信息更加合理,詐騙者會添加一些他們的傳記細節或者照片作為誘餌,包括一些從開源下載的不正當的誘餌。
欺詐者可以通過多種方式利用受害者內心孤獨的性格獲利。例如,在溝通的早期,他們可能會索要少量的錢或者禮物,在經過長時間的虛擬交流後,詐騙者可能以探望受害者、進行緊急手術等理由來索要一大筆錢財。最近出現了另一種常見的方案,「合作夥伴」承諾給受害者一份昂貴的禮物或者是國外快遞現金,一段時間後,「快遞員」聯繫受害者並要求受害者支付運費、關稅等。值得注意的是,詐騙者不僅可以通過電子郵件了解受害者,還可以將這些方案應用於約會網站、社交網絡和各種即時通訊工具中。不管詐騙者和受害者最初如何進行聯絡,社交網絡和即時通訊工具通常是詐騙者與受害者交流的主要渠道。但是通過電子郵件發送群發郵件仍然會更方便一些,因為社交網絡、信使工具等賬戶會由於垃圾郵件而很快被封鎖。
圖2:2022年3月到6月檢測到的信息數量
419詐騙其命名來自《尼日利亞刑法》第419條,是最古老的基於文本的欺詐類型之一。在經典的419詐騙郵件中,「律師」或其他「官員」會告知收件人,已故的親戚或即將死亡的恩人已將巨額的財富遺贈給他們。受害者需要做的就是填寫一份簡短的問卷,支付管理費和其他手續的費用,然後領取數百萬美元。通常,詐騙者不會直接提及費用,而是通過回復電子郵件來邀請受害者進行聯繫,以了解有關他們「繼承」的更多信息。無論如何,一旦支付了費用,詐騙者就會消失。
419 電子郵件經常充滿語法和拼寫錯誤。這可能是為了掩蓋可能激活垃圾郵件過濾器的單詞和表達方式,也可能是攻擊者對受害者的語言掌握不佳。
圖3:419詐騙電子郵件示例(繼承)
419 信件仍然很受攻擊者的歡迎,我們每月可以檢測到數十萬條此類消息。他們通常不會利用已故的富有的親戚,而是會利用更相關的話題。例如,隨着對敘利亞戰爭的日益關注,網絡犯罪分子會聲稱自己來自國內,並且想要將一大筆資金轉移到國外。
圖4:419詐騙電子郵件示例(交易)
最近,出現了一些意外的交易方式——新冠病毒、烏克蘭危機以及其他的一些具有諷刺意味的欺詐行為。
圖5:419詐騙電子郵件示例(補貼)
419 騙局的另一種方法是「中獎者」沒有參與的彩票中獎。為了使該計劃更加可信,詐騙者通常聲稱自己受命為特定地區或國家的納稅人、特定電子郵件域名的所有者等提供贈品。與 Covid-19 補償不同,此類郵件並不新鮮,但他們永遠不會失去人氣。
圖6:419詐騙電子郵件示例(彩票)
從技術角度來看,419 詐騙並沒有太大的變化——在大多數情況下,郵件是從免費的網絡郵件賬戶(谷歌郵件、雅虎郵件等)發送的。為了詢問詳細信息、發送表格等,攻擊者通常鼓勵受害者通過郵件與他們聯繫,一旦郵件地址被標記可阻止的垃圾郵件來源地址,他們通常會給出一個不同的回覆地址,即一個沒有被標記的地址。
統計數據:從 2 月到 6 月,共檢測到 180 萬封 419 詐騙電子郵件。詐騙人數在 2 月下旬開始上升,在 3 月達到 657014 人次的峰值。相反,在 4 月份,垃圾郵件發送者的活動減少了一半以上。
圖7:2022年3月至6月檢測到的419詐騙電子郵件數量
詐騙者在上述詐騙方法中利用了受害者的貪婪,而敲詐者則會利用受害者的恐懼。通常,網絡犯罪分子聲稱他們已經掌握了目標的個人信息,他們承諾不會將這些信息發送給受害者的家庭成員或公布在網上。通常,他們不提供任何數據被盜的實際證據,因為他們實際上並沒有竊取任何東西——這就是詐騙者與敲詐者的不同之處。
隨着加密貨幣的普及,敲詐騙局開始真正地出現:區塊鏈的匿名性消除了對複雜洗錢鏈的需求。
圖8:勒索電子郵件:詐騙者聲稱已侵入收件人的郵箱
勒索者在攻擊個人和公司時會採用不同的方法。個人最常受到的是公布個人數據的威脅,據稱這些數據是通過侵入他們的計算機或郵箱而被盜的。詐騙者還可能提到他們通過設備的網絡攝像頭錄製的私密照片或視頻,而這些很有可能他們是從《黑鏡》那裡捏造出來的。
圖9:勒索電子郵件威脅要發布據稱從用戶那裡竊取的「私密」內容,並在「發件人」標頭中包含他們的電子郵件地址
從技術角度來看,這種類型的欺詐通常以電子郵件地址欺騙為特徵。攻擊者在 From 標頭中替換了收件人的地址,似乎證實了郵箱被黑客入侵。針對個人的電子郵件也可能是關於行政或刑事處罰的威脅,儘管此類信息遠不如關於黑客攻擊的信息常見。
與此同時,公司可能會受到炸彈恐嚇信息的威脅。2020 年和2021 年,勒索者以知名 APT 和勒索軟件組織的名義發送電子郵件,承諾除非立即付款,否則將對其進行攻擊。
統計數據:與其他形式的基於文本的詐騙相比,郵件流量中的勒索電子郵件要多很多。例如,從 3 月到 6 月,共檢測到超過 1200 萬條勒索信息。
圖10:2022年3月至6月檢測到的勒索電子郵件數量
圖11:大額購買的虛假PayPal通知
圖12:假極客小隊通知
為了準確了解攻擊者如何實現他們的目標,即撈出(或釣魚)數據或金錢,作者撥打了此類電子郵件中提供的幾個號碼。在這兩種情況下,經過簡短的介紹性對話後,另一端一個自信的聲音要求作者打開一個瀏覽器窗口並讓作者下載 Anydesk 遠程訪問程序。在回答作者關於退訂過程的問題時,第一個騙子完全不為所動,回答說他們需要登錄我的銀行賬戶確認然後取消交易。當作者回答說沒有使用網上銀行時,騙子掛斷了電話。第二個結果是不那麼健談,並沒有提供任何有趣的細節。
一方面,這種方案似乎過於笨重,無法廣泛使用。另一方面,通過各種渠道的通信和攻擊者對專業知識的模仿可以激發用戶對用戶的更多信任,而不僅僅是帶有網絡釣魚鏈接的電子郵件。
圖13:2022年3月至6月檢測到的網絡釣魚電子郵件數量
儘管存在即時通訊、社交網絡和視頻聊天,但網絡犯罪分子仍然可以使用電子郵件作為與受害者的聯繫方式,即使他們在之後的詐騙過程中可能會切換到其他的聯繫方式。當前,此類騙局的最大變化主要是電子郵件的主題發生了變化:攻擊者積極利用時事來吸引潛在受害者的注意力。這表明,儘管用戶普遍了解網絡犯罪分子詐騙的基本方法,但詐騙者的恐嚇和「免費午餐承諾」等技術,加上其願意花時間建立信任,使詐騙者得以繼續獲得回報。這些電子郵件的目的是讓用戶失去平衡,讓他們不假思索地採取行動。因此,重要的是不僅要了解入侵者的技巧,而且要養成以平靜的心態回復電子郵件的習慣,或者是不回復。
在 ISP 方面,採用機器學習和啟發式方法來識別欺詐性電子郵件的解決方案可以過濾掉此類垃圾郵件。
參考鏈接:https://securelist.com/mail-text-scam/106926/
編輯|逄思淵
審校|何雙澤、金矢
本文為CNTIC編譯整理,不代表本公眾號觀點,轉載請保留出處與鏈接。聯繫信息進入公眾號後點擊「關於我們」可見。
留言列表