现在有很多骗局案例的顺利实施足以给予那些潜在的受害者一些警示,提醒他们避免上当受骗。因此,尽管ESET的大部分业务是主要集中在恶意软件上面,我仍旧花了很多时间在WeLiveSecurity网站以及其他网站上来写这篇有关诈骗的文章,诸如:技术诈骗、钓鱼邮件、419骗局(尼日利亚骗局)等等。(本篇文章是2013年ESET年威胁报告的一个删减简略版本)
毕竟,当我们每天看到恶意软件的样本数以万计,我们会发现大量的(往往很复杂的)的恶意代码距离我们如此之近,尝试欺骗受害者泄露信用卡信息,或访问一个隐蔽网站,或者点击一个恶意程序。当然并不是这里介绍的所有骗局都与恶意软件有关,其中很多人确实尝试说服受害者点击某一链接,这样将导致恶意软件比如木马的下载执行,或者假冒银行等网站形式,用来欺骗你的登陆凭证和用户信息。
域名诈骗
早在2012年,ARYEH Goretsky在博客上讲述的域名注册诈骗(亚洲域名诈骗)依然很流行。虽然women没有再在博客上讨论这个话题,但从整个2013年的评论反馈而言,这种诈骗信息不断出现在我们的ESET邮箱中。
(一封给品牌拥有者的信,谢谢)
尊敬的CEO, 很抱歉如此冒昧的打扰您,我们是一家中国的域名注册商,现在有一件事情需要贵公司确认。 于2013年12月4日,我们接收到一家名为“新华商贸有限公司”的申请表,他们想申请有关“ESET”的一些域名和品牌名称。 为了避免对贵公司造成不利影响,我们需要验证这个企业是否是您的附属公司或您已授权他们登记相关的品牌名称和域名? 目前,我们还没有正式接受该公司的申请,我们需要得到贵公司的确认。请给我们于7个工作日内及时作出回应。 以便我们更好的处理这件事。谢谢。 再次致以问候!
好吧,有的时候很令人费解这种骗局居然如此成功。在这种诈骗中同时蕴含着社会工程学的技术在内。首先,我们不知道一个公司在中国试图篡夺西方公司的品牌的时间周期,但它不太可能像这样每封邮件都是基于这样的尝试。事实上,类似的诈骗我第一次接触是早在2004年,是一次专门针对英国在临床/医疗机构,而且似乎是在远东冒充英国有一定规模的医院和医疗机构。
其次,骗子并不一定真的会问“如果这样我们是否接受这样的申请?”再往下,他可能会建议如果你想要他们不接受没有商标品牌权的人的申请,那么你最好自己购买下这个关于你们商标品牌的域名。
电脑技术支持诈骗
我有时觉得我一直是在写关于技术支持诈骗的文章,但其实我第一次踏进那个特定的泥潭中是在2010年。现在很多骗局仍旧在用这种方法,在一些博客中的议论就证明了这一现象。许多较新的博客中讨论了这一技术,甚至有Mac专用攻击。你通常可能会收到一个电话,打电话人声称自已来自微软或是其他合法公司,他们可能会说检测到你电脑有异常行为,并断定你的电脑被病毒感染了。然后解释说他们正在调查这个问题,并向你提供电脑安全方面的帮助。同时他们可能会用一大堆术语让你一头雾水并最终相信电脑确实被感染,进一步吓唬你,使你最终购买他们的产品。
钱骡和招聘诈骗
chuoo@hotmail.com,一封主题为F.S.A的邮件热情的邀请我们:
与我们合作,开始你的稳定的未来。 这里将带给你独一无二的视野和振奋人心的事物。 如果您正在追求一个具有挑战性的、开放光明的未来,加入我们一起工作吧。 我们希望为您提供一个新的职业生涯。你的简历被招聘机构提供和审查。 收益: 在试用期间你的薪级表将是每月1500镑基本工资外加8%的交易提成。您的总收入可以很容易地达到2500.00磅。试用期结束后,你的基本工资将是每月1800.00磅,加上8%的交易提成。 员工报销(只有经过试用期),包含: -工资加奖金 -包括医疗保险 -带薪休假 申请FSA的职位,请回复hrdepartment.test@ gmail.com。 谢谢, 人力资源经理
一个稳定的未来?多么荒诞….我持有的想法是,我不知道是否有在稳定的骡子(受骗者)?
但FSA是什么?我们需要在这里做一点猜测,因为我们没有告诉哪个组织的缩写是F,S和A,是招聘机构?在哪里?工作内容是什么。想必在英国,因为工资是磅,但其实英镑不是只有英国使用的货币。我有一个奇怪的想法,叙利亚采用的是叙利亚镑,但我怀疑,我们不会是在看叙利亚自由军的招聘吧。或者是食品标准局?看该机构的工作页面,感觉这不太可能。因为一般情况下,政府机关不使用Gmail作为其电子邮件服务提供商。
真正的线索是在职位描述里,比如它是:提到“交易”和“佣金”,而缺乏其他详细的关于这些交易的介绍。强烈的建议,如果只有一个职务名称,它很可能会是钱骡。约十多年前,电子邮件提供一些特定意图和目的进行支付洗钱是非常常见的,而一些反向链接的网站往往颇有新意,精心构思极与真正公司网站极为相似。在Andrew Lee和我几年前写的一篇文章中,我们指出了网络钓鱼和洗钱之间的密切关系。
网络钓鱼团伙如同其他商业模式一样,是一种复杂的“黑色经济”……这种“经济”有其特定的角色和职能……
…….受害者的凭证如何转换为现金?买家使用窃取的凭证,比如在黑市上购买的商品出售,或洽谈贷款和抵押贷款……
……一些网络钓鱼经济是会提供“财务管理”,或归结为收钱,并采取削减佣金后,再通过它的产业链“财务代理公司”工作。
更多的钓鱼欺诈
在后面的文章中我不会在讨论钓鱼欺诈的事情了,那是我在2013年的两篇文章中详尽阐述过的内容。它们的链接是:
http://www.welivesecurity.com/2013/01/02/phishing-keep-smiling-through/
http://www.welivesecurity.com/2013/11/26/phish-to-phry-the-thoughtful-phisher-revisited/
同时在另一篇描述最容易成为被骗对象的特征的文章中也阐述过这方面的问题。但是, 我已经情不自禁再多看一些钓鱼诈骗的消息,这些消息往往包含如果你想重新找回银行账户,你要点击这个有问题的链接:http://chainmailcheck.wordpress.com/2014/01/05/phurther-phish/(不过译者没打开)
抢劫信息和虚假伙伴
我的同事Urban Schrott 今年在东爱尔兰报告中阐述了一个十分流行的诈骗手段,它在近期近期冲击了爱尔兰的电子邮箱。我曾经在这些文章中探讨过“Londoning”这种欺诈手段,在这里我只是简单地总结一下。
有人,比如你的朋友和亲戚与你联络,并告知你他们在国外由于没有钱而陷入了困境,并经常告诉你他们遭到了持枪抢劫。有一阵,美国人经常收到从伦敦发来的亲戚朋友的联络消息,所以这一手段被称作“Londoning”或者伦敦诈骗,尽管在英国的受害者更可能听说被抢劫的人在更加优异国特色的地方,例如拉各斯,当然,他们需要你给他们汇钱。
下面有更多的关于紧急救助邮件的欺诈邮件
我希望你及时收到这封邮件,我去马尼拉(菲律宾)旅游,但是装有我护照和个人重要物品的包被偷了。 大使馆给了我一个暂时的护照但是我需要钱来支付我的票和住酒店的钱。 我已经和我的银行取得了联系, 但是我需要等3-5个工作日才能得到我账户上的汇款, 坏消息是我的 航班很快就要起飞了,但是酒店的经理在我没有付清账单之前是不会让我离开的。我需要你经济上的帮 助,我保证我一到家就会还给你,你是我最后的希望了,如果我能依靠你请让我知道并且我需要你经常 查看你的邮箱,因为这是我能联系到你的唯一方式了。 祝你一切都好
当然,这是十分不可信的。不仅仅是因为故事逻辑上的错误和不连贯的内容,还因为这个邮件被可能同时发送给了通讯里里的每一个人。
419诈骗
所谓的“Londoning”和“伦敦劫持”诈骗手段常常被认为是419(预付金诈骗)的一种分支,这种419诈骗经常发生在西非特别是尼日利亚。419系列诈骗方式包括在我为ESET写的专题中很多年了,但我准备在未来的另一篇博客中继续讨论这个话题,现在我不会用很大的篇幅来阐述他,但是有几篇ESET的论文你可能会有兴趣或者能用的到:
http://go.eset.com/us/resources/white-papers/Harley-Abrams-VB2009.pdf
http://go.eset.com/us/resources/white-papers/CommonHoaxes+ChainLetters%28May2008%29.pdf
http://go.eset.com/us/resources/white-papers/Spamish_Inquisition.pdf
其他骗局
即便花上一年时间写关于诈骗的博客,我还是很可能仍然遗漏很多有趣的例子。因为我的工作以及兴趣远远超过欺骗这个话题(尽管我觉得这个话题在犯罪心理以及受害者心理方面吸引人),我认为我还是仅仅做了肤浅的研究。还是这样,一些有趣的关于其他骗局的例子吸引了我的注意。
•一个神秘顾客骗局的变种http://www.welivesecurity.com/2013/01/16/mystery-shopper-scams/
•一个被证实为骗局的加利福尼亚会议的邀请和一个非常相似的垃圾邮件,在邮件中声称3月在纽约有几乎一样的会议
•一个“更仔细看工作”的招聘骗局http://www.welivesecurity.com/2013/03/21/job-scams-nice-work-if-you-can-get-it/
•我们的一个想法关于建立一个链接来教育那些不能抵制点击可疑链接诱惑的人们。
http://www.welivesecurity.com/2013/05/29/phishing-the-click-of-death/
•一篇关于学术出版诈骗的文章(从一篇发表于Anti-PhishingWorking Group’s eCrime 的博客延伸而来)
http://www.welivesecurity.com/2013/07/04/the-fresh-prince-of-bel-where-academic-publishing-scams/
接下来我要介绍我喜欢的一个年终骗局,第一个是来自g3jbxyo8zk{at}myway.com.
很明显,这是一个来自我的朋友的一个愉快的钓鱼消息,这种消息我们习惯叫之为国内税收(包括真正的前瞻性的标志)。
退税确认书 你有资格获得退税868.50英镑。 请提交退税申请,并点击这里,通过在适当的时候将您的退税发送到您的信用卡帐户。 请继续来使你的退税发送到您的信用卡帐户, 注:退款可能因为各种原因,例如提交无效的记录或截止日期后申请。 顺祝商祺 英国税务海关总署
我认为大多数在英国的人会发现这有很多可疑。
不只是因为它来自不是非常正宗的冠冕堂皇的官方电子邮件地址info@hm.mobi ,也不是更有说服力hmrc.gov.uk地址。(当然,这样的消息可能是邮件头欺骗看起来好像它来自真正的税务及海关总署,所以这样的地址不能证明邮件是真实的:见下文)
不仅仅是因为该文英语稍微偏离。尽管相当正宗的前瞻性税务及海关总署标识在邮件的顶部。但是,女王陛下一贯的专业吝啬和官方剥削者提供了一个自发退税的想法本身就是不可能的,我想很多人应该已经在嘲笑这个“退税安全确认”的主题邮件了。
最后,我不认为这将是我在新的一年里提笔写有关诈骗的文章。不过,我仍然祝愿在这新的一年里人们幸福,社会和谐和天下无骗!
原文地址:http://www.welivesecurity.com/2014/01/06/2013-a-view-to-a-scam/