我们的手机让我们实现了超连接。你可以使用它们来查看你的电子邮件,接听电话,回复短信,在任何数量的平台上聊天,检查你的约会资料,等等。所有这些交流手段都越来越多地被网络诈骗所取代。
长期从事网络安全分析的独立记者格雷厄姆·克鲁利在一次电子邮件采访中告诉我:“互联网是一件很棒的事情。”“但它也是许多罪犯和欺诈者的家园。”
考虑到这一点,我们在这里向你介绍一些最常见的互联网骗局,这样你就可以避免成为它们的受害者。
诈骗是如何找到你的
在一次视频通话中,BitDefender的威胁研究主管Bogdan Botezatu警告说,尽管诈骗者以多种方式追捕他们的目标,但垃圾邮件仍然是最普遍的。使用来自BitDefender客户的遥测,Botezatu能够让我从高层次上了解人们最有可能遇到的电子邮件诈骗。
Botezatu引用了2020年6月至2021年的统计数据说,我们已经看到全球大约96%的电子邮件流量是垃圾邮件。他向我解释说,其中大部分都是商业垃圾邮件–即使令人恼火的广告也是无害的。在某种程度上恶意的垃圾邮件中,最常见的类型是钓鱼短信,目的是说服目标冒充公司或权威人物,简单地交出重要信息。最不常见的类型是包含恶意软件的垃圾邮件。敲诈勒索垃圾邮件-攻击者通常错误地声称获得了目标的露骨照片或视频-正好处于中间位置。
Botezatu说:“在过去的20年里,我们看到垃圾邮件不断演变,并一直附着在我们身上。”“这类袭击将会持续下去。”
电子邮件是非常流行的诈骗媒介,但短信和电话也经常被诈骗者使用。你可能本能地知道这一点。你上一次收到不在你通讯录中的人打来的电话或短信是什么时候,而且不是骗子或电话推销员?
像BitDefender和Sophos这样的安全公司主要销售驻留在机器上并监视危险文件、链接和电子邮件的产品。这让他们对社交媒体、约会网站或消息平台上发生的骗局有了有限的洞察力。Botezatu与我分享了BitDefender的诈骗警报功能的一些新数据,该功能包含在其移动应用程序中,目前在大约100万台设备上运行。在BitDefender在移动设备上检测到的有害消息中,Botezatu表示,它们是44.9%的垃圾邮件、4.8%的钓鱼链接、6.6%的恶意软件和0.4%的欺诈企图。
其中一些诈骗源于社交媒体,攻击者使用虚假或被劫持的账户与目标联系。联邦贸易委员会在2022年初报告称,这些攻击在2021年从目标那里窃取了至少7亿美元,并警告说,许多骗局没有上报。
在我与Sophos首席研究科学家切斯特·维斯涅夫斯基的视频通话中,他指出了针对骗局的硬数据的局限性。他告诉我:“我不可能让你感受到[这些攻击]有多普遍,除非我们听到许多受害者在被社会诈骗后的消息。”
社交媒体–如Facebook、Twitter、Instagram等–对诈骗者特别有吸引力,因为他们的目标在他们的帖子和个人资料中自愿提供大量个人信息。诈骗者可能知道你的银行,知道你在度假,或者知道你朋友和家人的名字,并利用这些信息制定出更令人信服的方法。
诈骗者将利用任何可用的手段来联系使用WhatsApp、Telegram等即时通讯服务的人。在我使用WhatsApp为PCMag进行评论的短暂时间里,我的收件箱里出现了如此多的诈骗信息,这让我感到惊讶。
打错号码(但不是真的)的诈骗
一种常见的策略是“错误号码”骗局,你可能非常熟悉这种骗局。在这次攻击中,诈骗者向他们的目标发送一条看似无辜或调情的短信,然后宣称,“哎呀,打错了。”Wisniewski告诉我,这种表面上的偶然之举完全是为了让你与骗子互动。
从这个虚假的意外介绍来看,错误的号码骗局可以从多个不同的方向进行。对于密码或投资骗局,威斯涅夫斯基告诉我,诈骗者可能会转而向你提供他们原本打算给别人的“交易”。它也可能转向浪漫骗局,骗子试图与目标建立友谊或浪漫关系。
Wisniewski告诉我,一些错误的号码诈骗者说服他们的目标下载了一个恶意应用程序。这在Android设备上是可行的,但Wisniewski解释说,诈骗者也为iOS开发了一种策略。对于iPhone用户,诈骗者一直在滥用iOS上的TestFlight应用程序。通常,应用程序开发人员会对他们的应用程序进行测试版测试。诈骗者利用它来说服目标在他们的设备上安装恶意应用程序,从而避开苹果的审查过程。
令人不安的是,有时诈骗者并不是真的想要诈骗他们的目标–至少现在还没有。PCMag的钱德拉·斯蒂尔在她对错误号码骗局的研究中写道:“有时,误导短信的对话无疾而终,但这并不意味着接收者逍遥法外。如果他们做出回应,他们很可能出现在活跃号码名单上,诈骗者将持有这些号码,以便将来进行尝试或出售给其他同类人。”
像大多数骗局一样,错误号码骗局可能在很大程度上依赖于社会工程。诈骗者不会依赖外来的软件漏洞,甚至不会依赖精心制作的钓鱼页面,而是利用社交工程简单地说服目标提供一些信息或采取一些行动。在错误号码骗局中,诈骗者依赖于与目标的融洽关系,但其他社会工程骗局会让诈骗者伪装成权威人物–比如首席执行官或政府官员。
战争是一种骗局
无论你是希望获得最热门的黄金日交易,找出最新的新冠肺炎信息,还是只是按时纳税,骗子们都想出了各种方法来利用互联网在我们生活中无处不在的地位。诈骗者也很精明,他们会很快改变策略。“我们看到了很多实验,”威斯涅夫斯基说。“他们几乎是A/B测试,”他说,他指的是测试不同网站布局以查看哪种网站表现更好的网络开发实践。一个这样的例子是与俄罗斯入侵乌克兰有关的骗局。Wisniewski和Botezatu都表示,这些骗局很少见,但意义重大。
利用同理心对诈骗者来说并不是什么新鲜事。2021年,联邦贸易委员会报告称,它已经阻止了一起针对6700万人的机器人电话慈善骗局。经过十年和超过10亿次的机器人通话,据报道,这些坏人获得了1.1亿美元的虚假捐款。
博特萨图说:“这并不普遍,但在地缘政治背景下很重要。”BitDefender的研究显示,这些大多是垃圾电子邮件,要求目标将比特币捐款直接发送到诈骗者的数字钱包。Botezatu说,诈骗者使用熟悉的组织的名称,如CNN或BBC,以使他们的努力具有合法性。
Botezatu能够通过检查骗局中使用的一些钱包地址来检查窃取了多少密码。在一周内,他看到价值2万美元的密码在他可以监控的钱包中流动。Botezatu说:“这是一项非常有利可图的生意,这就是为什么即使在战争七个月后,犯罪分子仍在使用它们。”
“这就是为什么我们如此讨厌这种生意,”博特萨图说。“为了一场真实的战争和苦难,让人们填满你的账号,这是我不太接受的。”
或许有利可图,但并不普遍。根据Wisniewski的说法,与乌克兰有关的骗局在2022年2月达到顶峰,然后迅速下降。Wisniewski说:“当我谈到诈骗时,公众会接触到很多东西。”目睹过骗局或成为骗局受害者的人认出了他们,并说了些什么。“当(索福斯)确实发布了几条推特帖子时,外界几乎没有回应。”
尽管如此,这些骗局还是产生了一些影响。“我不再收到俄罗斯新娘诈骗邮件了,”维斯涅夫斯基说。“我现在会收到乌克兰新娘诈骗邮件。”
乌克兰的战争已经在网上产生了大量的虚假信息,所以博特萨图说,对于任何希望支持他们关心的事业的人来说,不要理会主动提出的请求。“找一个与你合作过或在你所在地区有很大影响力的合法组织。”否则,Botezatu警告说,你善意的钱可能会花在你不喜欢的地方,因为“在骗局的背后,可能会有任何人”。
假发票骗局
诈骗者不仅会迅速改变他们伪装诈骗的方式,他们还会改变策略。威斯涅夫斯基说:“现在的趋势是,让你去找回坏东西,而不是让他们把坏东西送进来。”他描述了一种“假发票”骗局,攻击者伪装成账单或某种发票向目标发送电子邮件。这些电子邮件没有恶意附件,甚至没有钓鱼链接。取而代之的是,它们只包括一个免费电话号码。“你必须打电话给犯罪分子,他们让你去一个[恶意的]URL。”
巧合的是,在我与维斯涅夫斯基交谈前不久,我就收到了这样一条诈骗消息。这封电子邮件的标题是“附加的会员续签收据”,后面似乎是一个帐号。这封电子邮件附上了一张诺顿生活锁的官方发票,上面写着当天的日期和349.99美元的费用。留言用粗体大字写着,我可以通过拨打一个号码联系客户支持。
这是一次聪明的攻击,部分原因是我确实与NortonLifeLock有工作关系,并管理其产品的订阅以供评论,但主要是因为它要求我拨打一个号码才能发动攻击。它还利用了紧迫性和金钱–目标可能希望尽快摆脱这一大笔费用。
Wisniewski告诉我,诈骗者很可能正在采用这种策略,因为商业电子邮件服务的安全功能。“(电子邮件提供商都有)相当好的过滤,当有一个非常危险的附件时,可以将这些东西排除在你的邮箱之外,”Wisniewski告诉我。但如果他们能说服你出去取回危险的东西,他们就可以绕过电子邮件过滤器。
2022年早些时候,我们看到了这种骗局最精心设计的版本,当时一名英国居民在邮件中收到了一个似乎来自微软的U盘。当他们把它插入电脑时,会出现一条虚假的防病毒消息,告诉收件人拨打技术支持电话。电话的另一端是一个骗子,他随后试图让打电话的人在电脑上安装远程控制软件。
代价高昂的加密货币骗局
加密货币的兴起对网络诈骗产生了巨大的影响。起初,这只是坏人直接从目标那里筹集资金的一种手段,而不必依赖可能会切断他们努力的中介机构。或许是因为加密货币现在更广为人知,诈骗者的密码骗局越来越有创意。
例如,Botezatu告诉我,BitDefender发现骗局大幅上升,坏人可能试图说服他们的目标购买虚假的加密货币,或者让他们参加竞争,目标支付.1 BTC以获得1 BTC作为回报。
“这取决于你对加密货币的看法,但我认为所有这些都是骗局,”威斯涅夫斯基打趣道。“然而,如果我们假装它们是合法的,那么就会出现拉布骗局和其他方式,试图让人们对它们进行投资。”但他指出,有些实际上并不涉及加密支付。
他举了一些来自密码交易所或NFT公司的假发票的例子,这些发票导致了钓鱼表格,引诱人们填写他们的个人信息。在这些情况下,加密只是一个诱饵。
爱情和金钱骗局
诈骗者经常用强烈的情感来欺骗他们的目标,对人类动物来说,没有什么比对爱和金钱的渴望更能激发他们的动力了。
在爱情方面,一种常见的策略是浪漫骗局,一种钓鱼的形式
。这依赖于人类对爱和性的渴望,再次引导目标做出糟糕的决定。这里讨论的许多其他骗局可能都有浪漫骗局的成分。有趣的是,我可以说,我注意到许多在WhatsApp上使用“错误号码”策略的诈骗者会让一位年轻、有魅力的女性作为用户图标。
爱情骗局特别隐秘的地方在于,它们可能是高度个人化的,而且可能会持续很长时间。Living Security的首席执行官阿什利·罗斯告诉PCMag的Kim Key:“了解你,感同身受,在进来申请贷款、资金或投资之前,真的会花时间建立联系。这真的会导致聪明、精明、高度技术型的人放松警惕,不幸地成为受害者。”
Cluely告诉我:“一些最令人心碎的骗局是,人们被骗相信自己与某人在网上恋爱,这种关系可能会持续数月,最终将大笔资金转给诈骗者。”
“有很多女性跟我联系,她们真心认为自己和好莱坞硬汉杰森·斯塔瑟姆在网上有一段恋情,这令人担忧。”斯塔瑟姆骗局非常普遍,克鲁利已经写过两次了
两年后在他的网站上。
当骗局不提供爱情时,他们有时会提供金钱,甚至只是花钱的机会。Wisniewski告诉我,犯罪分子突然出现在购物节日,比如黑色星期五和更新的亚马逊黄金日。他解释说,诈骗者知道,人们被这些购物活动周围的广告淹没,并假冒品牌,将毫无戒心的人引导到钓鱼网站。这些网站是由骗子建立的,设计成与可信品牌一模一样,如银行、购物网站、贝宝等。目标将他们的个人信息-甚至登录-输入到钓鱼网站,认为它是安全的。事实上,他们的数据正在被发送给诈骗者。
虽然像这样的购物骗局利用的是他们假冒的品牌的熟悉度,但他们也利用了围绕着这些购物假期的紧迫性–就像零售商所做的那样。限量!限时优惠!现在就购买,赶在圣诞节前!当事情变得紧急时,人们可能会忽视他们更好的判断。
一个好的骗局并不难找到。
不久前,我会建议人们注意不寻常的语法、拼写错误或奇怪的标点符号,以此作为诈骗信息的迹象。在我收到的假发票骗局中,没有任何拼写错误,但对于一家希望保留我业务的公司传递的信息来说,措辞太尴尬了。
然而,这正成为一个不那么可靠的指标。Wisniewski告诉我,诈骗者正在专业化,并建立更复杂的操作,以提供更有说服力的骗局。他说,诈骗者正在雇佣专业的洗钱者、呼叫中心员工和英语翻译。其结果是诈骗信息近乎完美。
可能偶尔会出现一些不寻常的习语,或者是诈骗者冒充美国公司时出现的英式拼写,比如“颜色”,但这些信息比近乎胡说八道的信息更难被发现。
识别网络诈骗的大部分重点都集中在老年人身上。其中的逻辑通常是,年长的人对互联网的了解不够,无法发现实际存在的骗局。《2021年联邦贸易委员会报告》
然而,在诈骗和老年人方面,报告并不完全正确。根据这份报告,“与老年人相比,年轻消费者更有可能报告因欺诈而蒙受损失,但报告赔钱的老年人报告的个人损失要高得多。”
克鲁利向我强调,每个人都是潜在的受害者。“我相信,如果任何人相信他们不可能被愚弄或欺骗,那么这是一个明确的迹象,他们可以,”他说。“事实是,在人生的某些阶段,我们都很容易做出糟糕的决定。”
如何避免网络诈骗
幸运的是,人们仍然可以做一些事情来保护自己免受网络诈骗的伤害。我采访的专家提供了以下九条建议来挫败诈骗者:
不要仅仅因为你不富有或不重要,就认为你永远不会遇到网络诈骗。与我交谈的专家强调,诈骗者正在向尽可能多的人发送尽可能多的信息。
Botezatu告诉我:“网络犯罪分子在诈骗方面很少以人为目标,”他将诈骗者的战术描述为一种“猎枪方法”。他补充说,“他们的成功率很小,所以他们接触的越远,他们可能说服的人就越多。”
诈骗者利用紧迫感、兴奋感,甚至同理心,试图让他们的目标失去更好的判断力。Botezatu在谈到WhatsApp上的虚假工作时说:“没有人会给你那么多钱做兼职。”“如果一份报价看起来好得不像是真的,那它很可能就是真的。”
克鲁利说得更直白:“没有免费午餐这回事,你不会有一个远房亲戚在西非发生灾难后给你留下了6800万美元。”
随着诈骗的质量和复杂性越来越高,人们应该小心处理他们在任何平台上收到的所有消息。Wisniewski说:“线索是,这是意想不到的。”他的意思是,来自令人惊讶的消息来源–比如杰森·斯塔瑟姆–的信息应该被视为可疑。这可能很困难,特别是当诈骗者利用紧迫感和情绪向他们的目标施压时。
随着越来越多的诈骗转向依赖目标通过电话或其他方式联系诈骗者的模式,人们不应该相信提供的联系信息。
在我的假发票的情况下,对我来说,安全的做法是从诺顿生命锁的官方网站上查找一个号码来询问费用,而不是在假发票上使用这个号码。当你收到声称来自国税局、政府机构或执法部门的紧急消息时,情况尤其如此。
威斯涅夫斯基说:“当犯罪分子能够利用这种信任时,他们就成功了。”“怀疑和质疑并不是一件坏事。”
克鲁利建议读者不要在网上向陌生人透露金钱或个人信息,但即使你认识这个人,也要保持警惕。
Wisniewski和Botezatu都为销售保护客户免受恶意软件和诈骗影响的服务的公司工作。不出所料,两人都建议人们购买某种安全产品(比如杀毒软件或安全套件)来确保自己的安全,但也承认了自己的偏见。
Botezatu告诉我:“最好的方法仍然是自动化工具。”它们旨在过滤和阻止恶意URL和垃圾邮件,并将至少防御部分攻击。
Botezatu还建议消费者使用多种工具和策略来保护自己。例如,使用多因素身份验证备份杀毒软件可以极大地降低坏人成功接管目标攻击的可能性,即使目标已经交出了他们的登录信息。
虽然消费技术让我们面临许多新的攻击,但维斯涅夫斯基说,我们的技术也可以保护我们。他说,人们应该确保他们的设备更新了最新的安全补丁和更新。“让所有的东西保持更新,这样即使你被绊倒了,你也不会跌倒,”他说。
诈骗者会利用他们能接触到的每一个平台,无论是电子邮件、短信、电话、聊天应用程序还是约会网站等等。保持警惕,即使你正在浏览TikTok视频或寻找约会对象。
不要试图独自对抗整个诈骗业。“如果有疑问,可以和你的朋友谈谈,”Cluley说。“告诉他们发生了什么。让他们如实地告诉你他们的想法。听他们的。”
尽管有这么多好的建议,但与我交谈的三位专家都很清楚:这些骗局不会消失,我们需要适应这一事实。
当我问维斯涅夫斯基,他希望人们对网络诈骗有什么了解时,他沉默了下来,向远处望了一会儿。“你没有疑神疑鬼,”他最后说,“他们在追捕你。”
– – END – –
– – 转载请声明来源:www.lanpanpan.com – –
编译:盼盼云笔记
