全美不少民众今年初收到大量以美国邮政(USPS)名义发出的简讯,声称要送他们包裹,但需要他们登上指定网站输入信用卡号码等资料,从而窃取个人资料。一名保安研究员的妻子不慎误堕骗局,他锐意骇入不法分子网络破解对方,直接以牙还牙。
保安研究员史密斯(Grant
Smith)的亲朋好友都收到类似简讯。某一天,他的妻子通知他,她不慎输入信用卡资料。当时正在休假没事做的史密斯,于是展开一场任务,就是打击骗子。
花了数周时间,史密斯追踪到这场大规模网络诈骗活动背后的一个中国骇客组织Smishing
Triad,他于是侵入对方的系统,收集了对方活动的证据,并开始一个长达数个月的行动,收集受害人的资料,将资料交给美国邮政调查人员和美国一家银行,保护人们的信用卡免受诈欺活动。
创办保安公司Phantom Security的史密斯日前在Defcon保安会议发布他的研究结果。他表示,人们在不法分子所用1,133个域名中输入43万8669张独特的信用卡,他又指不少人向每个网站输入多张信用卡。5万多个电邮信箱被纪录,包括数百个大学电邮和20个军事或政府电邮域名。
根据统计,受害人遍布全国,加州有14万1000笔输入最多,超过120项资料被输入。
史密斯表示,他的结果反映问题的规模,但这场骗局的规模可能更多比想像中更大。不过他找不到所有以美国邮政名义的诈欺网站,而背后组织都与最少六个国家有关联。
追击这群人并不用花很长时间。史密斯开始调查他透过可疑域名收到的简讯,还有拦截该网站的流量。史密斯说︰“我以为他们在使用一个标准网站。”
当深入研究那个初始网站的数据时,史密斯发现一个中文的Telegram账号和频道,且对方还在销售诈骗工具包,让不法分子使用这些工具包轻松建立虚假网站。
近年来,诈骗行为呈现上升趋势。如果大家收到来自不认识的号码或电邮的讯息,还有其中包含可以点击的连接,或要求进行紧急操作,就应该保持警惕。