近年来,短信钓鱼(smishing)诈骗日益猖獗,其背后是一个被称为“smishing三合会”的中国犯罪集团。该组织并不直接诈骗,而是通过销售名为“Lighthouse”的诈骗软件包,将诈骗行为“服务化”,让没有技术背景的犯罪分子也能轻松发起攻击。这些攻击模仿银行或政府机构,诱骗全球用户泄露个人信息,造成了数十亿美元的损失。尽管这些诈骗工具日益自动化和复杂,但犯罪分子的操作安全却漏洞百出。谷歌等公司已采取法律行动,但由于该集团资源充足且跨国运作,彻底根除这一威胁仍面临巨大挑战。
短信钓鱼的兴起
短信钓鱼,即 smishing,是一种通过短信(SMS)进行的网络攻击。您可能收到过伪装成邮政服务或银行的短信,要求您点击链接并支付一笔小额费用或核实账户信息。这些诈骗信息通常包含拼写错误或可疑的发件人地址,但依然非常有效。
- 个人经历: 一名网络安全专家的妻子就曾收到一条关于包裹延迟的诈骗短信,点击链接并输入了信用卡信息,所幸及时取消了卡片。
- 有效性: 仅伪装成美国邮政服务(USPS)的骗局,在16个月内就可能造成了30亿至280亿美元的损失。
- 原因: 随着电子邮件垃圾邮件过滤器的改进,犯罪分子转向了监管更弱的短信渠道。iMessage等服务的端到端加密也使得追踪变得更加困难。
揭秘“Smishing三合会”
网络安全专家发现,这些诈骗活动大多源于一个被称为“smishing三合会”的中国犯罪集团。该组织的核心业务并非直接诈骗,而是向全球的犯罪分子销售诈骗软件套餐。
这种模式类似于为诈骗行为提供一个“建站平台”(Squarespace for scams),让任何人每月只需支付约200美元,就能发起自己的诈骗活动,无论其技术水平如何。
谷歌公司已对25个据信是该组织成员的个人或实体提起诉讼,指控他们利用YouTube等平台推广其诈骗工具。
一场自动化诈骗的运作流程
最流行的一款诈骗程序是 “Lighthouse”,它也是谷歌诉讼的主要目标。该软件将复杂的诈骗流程简化为几个步骤:
- 创建虚假网站: 用户在Lighthouse的操作界面中选择想要模仿的公司(如花旗银行、PayPal),或创建全新的欺诈性电子商务网站。
- 获取目标信息: 犯罪分子从数据经纪人处购买待发送垃圾短信的电话号码列表。
- 发送诈骗短信: 专业的“垃圾短信发送者”(spammer)利用设备发送信息。他们可能使用:
- 手机农场: 在一个房间里摆放数十台被盗手机,自动向成千上万的目标发送信息。
- SMS Blaster: 一种伪装成手机信号塔的设备,驾车在社区内行驶时,可向其覆盖范围内的所有手机发送短信。
- 窃取数据: 当受害者在虚假网站上输入信息时,Lighthouse软件甚至无需用户点击“提交”按钮,就能抓取其信用卡号或密码。它还能绕过多重身份验证。
- 洗钱: 软件会自动将窃取的信用卡信息加载到数字钱包中。然后,洗钱专家通过设立虚假商户并购买不存在的商品或服务,将赃款转移给诈骗者。
先进与疏忽并存
尽管整个诈骗链条高度自动化和工业化,甚至开始利用生成式AI来编写更具欺骗性的个性化短信,但这些犯罪分子的操作安全却出奇地糟糕。
- 安全漏洞: 一位安全研究员在调查一个诈骗链接时,发现其后台管理员用户名和密码竟然是“admin0”、“admin1”和“admin2”。
- 信息泄露: 谷歌通过一个已被封禁的YouTube诈骗教程视频,发现了其中屏幕共享时泄露的多个Gmail地址,并顺藤摸瓜锁定了部分犯罪嫌疑人。
- 公开宣传: 大量的操作指南和照片在公共Telegram群组中流传,暴露了他们的运作方式。
一场艰难的持久战
尽管谷歌、苹果等公司正在加强反钓鱼保护,并且谷歌的诉讼是重要的一步,但要彻底解决这个问题极其困难。
“没有什么灵丹妙药,”一位网络安全公司的首席运营官表示。
打击行动面临诸多挑战:
- 资源充足: 犯罪集团拥有大量资源和时间来改进他们的工具,使其更难被研究和渗透。
- 国际合作困难: 由于该集团主要在中国境外运作,实施物理逮捕需要中国政府的合作,这在当前环境下很难实现。
- 不断演变: 新的诈骗工具包层出不穷,学徒们也在开发和销售自己的服务。
专家们认为,这场对抗诈骗的战斗不仅是上坡路,而且前方的地形甚至还未被完全探明。普通用户可能将永远无法摆脱那些警告“立即支付以避免不可逆转的后果”的骚扰短信。