全美不少民眾今年初收到大量以美國郵政(USPS)名義發出的簡訊,聲稱要送他們包裹,但需要他們登上指定網站輸入信用卡號碼等資料,從而竊取個人資料。一名保安研究員的妻子不慎誤墮騙局,他銳意駭入不法分子網絡破解對方,直接以牙還牙。
保安研究員史密斯(Grant
Smith)的親朋好友都收到類似簡訊。某一天,他的妻子通知他,她不慎輸入信用卡資料。當時正在休假沒事做的史密斯,於是展開一場任務,就是打擊騙子。
花了數周時間,史密斯追蹤到這場大規模網絡詐騙活動背後的一個中國駭客組織Smishing
Triad,他於是侵入對方的係統,收集了對方活動的證據,並開始一個長達數個月的行動,收集受害人的資料,將資料交給美國郵政調查人員和美國一家銀行,保護人們的信用卡免受詐欺活動。
創辦保安公司Phantom Security的史密斯日前在Defcon保安會議發布他的研究結果。他表示,人們在不法分子所用1,133個域名中輸入43萬8669張獨特的信用卡,他又指不少人向每個網站輸入多張信用卡。5萬多個電郵信箱被紀錄,包括數百個大學電郵和20個軍事或政府電郵域名。
根據統計,受害人遍布全國,加州有14萬1000筆輸入最多,超過120項資料被輸入。
史密斯表示,他的結果反映問題的規模,但這場騙局的規模可能更多比想像中更大。不過他找不到所有以美國郵政名義的詐欺網站,而背後組織都與最少六個國家有關聯。
追擊這群人並不用花很長時間。史密斯開始調查他透過可疑域名收到的簡訊,還有攔截該網站的流量。史密斯說︰“我以為他們在使用一個標準網站。”
當深入研究那個初始網站的數據時,史密斯發現一個中文的Telegram賬號和頻道,且對方還在銷售詐騙工具包,讓不法分子使用這些工具包輕鬆建立虛假網站。
近年來,詐騙行為呈現上升趨勢。如果大家收到來自不認識的號碼或電郵的訊息,還有其中包含可以點擊的連接,或要求進行緊急操作,就應該保持警惕。