诈骗者利用新冠疫情期间网络活动的激增,把攻击目标对准了采用网络工作方式的企业和个人。
与一年前相比,如今的用户更可能信任网络技术。自新冠疫情开始以来,网络所用的设备和应用程序已成为教育、工作、购物甚至与亲朋好友保持联系的不可或缺的工具,生活的方方面面都变得更加数字化了。
不幸的是,网络攻击也随着这种趋势也发生了变化。现实世界中的许多骗局已不再可能得手,因为攻击者及其潜在受害者已了解其中的套路。为了与时俱进,诈骗者也将攻击目标放到了网上,把真实骗局变成了网络化骗局。这种攻击思路的演变与普通企业在2020年必须经历的数字化转型类似。根据趋势科技最近的一项调查,88%的企业去年加速了云迁移。为应对疫情,推进数字化转型。
攻击者利用了网络商务和电子支付的激增,也把目标瞄准了正在适应新交易方式的企业和买家。正如本文接下来要分析的,世界各地的受害者在这些重新设计的骗局中损失了数百万美元。
新冠疫情下新出现的四种类型网络诈骗
这些犯罪行为的演变表明,普通攻击者如何利用围绕健康危机的趋势,即由于全球封锁而被迫数字化。研究人员发现这些骗局针对的是在新冠疫情期间已变得流行的技术和活动。
研究人员把它们分为四类:网络购物诈骗、外卖服务诈骗、消息应用诈骗和政府援助诈骗。
与这些类别相关的诈骗在几个国家和大陆都被发现。这些例子的范围说明了攻击者可能是针对不同地区的受害者的。除了介绍这些新骗局的工作原理外,研究人员还提供了一些安全建议,避免用户成为受害者。研究人员还预测,在世界重新步入正常后,这些新形式的犯罪是否还会继续活跃。
网上购物诈骗
你可能对攻击者仿冒的网站很熟悉,这是因为攻击者模仿了真实的网上零售商来骗取你的信用卡信息和其他个人信息。但攻击者并没有仿冒知名品牌,而是利用网上购物的激增建立自己的网店,为诈骗提供便利。这些商店与任何现有的商店无关。同时攻击者的产品也会在社交网络上做广告,价格比实体店低(但不是难以置信的低),通常有流行产品10-20%的折扣。
一个很好的例子是巴西的网络商店,上面有几个危险信号:
- 该商店在巴西的公共门户网站上发布了100多个用户投诉,通常是有关未送达包裹的投诉;
- 产品未显示在站点上。产品只有直接链接,并且这些链接来自社交媒体广告;
在“Contact”表格下的文本中有一个基本的语法错误,葡萄牙语中的“apostos”应该写成"a postos”。 Google对该文本进行搜索后,发现其他伪造的网络商店在其“Contact”页面中具有相同的文本。
"Reclame Aqui" 网站上的商店资料
商店的"Contact us"页面
商店的"Contact us"页面中使用的文本Google搜索结果
参与这些骗局的犯罪团伙显然组织得很好。他们有专人回复受害者的投诉,通常会说:“研究人员正在处理,你应该很快就会收到你的包裹。”有时,这些攻击者实际上还会交付一些订单。这样一来,这家商店就会被认为是服务质量差的商店,但又不会被归为假冒商店,这使得追踪诈骗者非常困难。
根据美国联邦贸易委员会(FTC)的数据,受害者在2020年因为网上商店销售没有发货而被诈骗了4.2亿美元。
如何避免网上购物诈骗
在通过社交媒体上的广告购买商品之前,先在网上搜索一下商店的名称。看看是否有用户抱怨或明显的危险信号,如明显的语法错误。
如果一家小商店能提供比老牌商店更大的折扣,那就值得怀疑了。如果听起来好得令人难以置信,那很可能就是假的。
在商店网站介绍部分选择一些文本,并在互联网上搜索它。如果其他网上商店也有着相同的内容,这可能是诈骗的迹象。
新型外卖诈骗
在疫情期间,成千上万人失去了工作,寻求新的工作。各种各样的送货服务变得非常受欢迎,是帮助餐馆和企业在个人不能亲自去商店的情况下继续营业的支撑。据Statista数据显示,智能手机外卖应用程序用户数量从2019年的3640万用户增加到2020年的4560万用户,增长了25%以上,这样出现一种全新的外卖诈骗行为就不足为奇了。
注册成为外卖送餐员的人数大幅增加,而快递公司也面临着审查这些新员工的艰巨任务。研究人员观察到一种新的诈骗行为,在南美洲国家,特别是巴西,在新冠疫情期间变得极为普遍。
这个骗局的原理如下:一个新注册的送餐骑手等到他们的第一份订单后,然后接受订单,最后去餐厅取货。然后送餐骑手冒充餐厅服务人员打电话给拥护,反映外卖程序有问题,表示餐厅可以自己派送餐员。此事假冒的餐厅服务人员要求顾客在外卖应用程序中取消订单,这样用户就可以得到退款。如果用户同意,送餐骑手就继续把餐配送到用户指定的地址。
攻击者使用的PoS工具的例子
到达目的地后,送餐骑手会拿着点餐明细和一个坏了的PoS终端,使得送餐骑手可以在PoS终端输入高得多的支付价格,大约是订单价值的一百倍。由于设备坏了而受害者无法阅读显示屏看不出有多少钱。得手后送餐骑手就会迅速离开,把顾客、餐厅和外卖应用程序都骗了。
2020年8月,巴西的一个镇约有10万美元就是这样被骗取的。
如何避免外卖诈骗
如果你通过外卖程序点餐后接到电话,请注意了。这些应用程序通常有一个聊天功能,餐厅和送餐骑手都可以看到并且程序中也存储了其中的所有内容。为什么餐厅或送餐骑手会打电话而不是使用这个聊天程序呢?对此你要保持警惕。
付款应该始终通过应用程序发生,且始终都应该这样。如果送餐骑手或其他人要求你支付不同的费用,最好取消订单,再重新下单。
如果你打算在到达时用信用卡付款,如果你不能在屏幕上看到金额,千万不要在pos终端机上输入密码,且一定要收到机器打印的收据。
其他影响外卖行业的诈骗行为
在新冠疫情期间影响外卖行业的一种特殊诈骗是利用窃取的付款信息,攻击者接受网络订单(食物或商品)并接受顾客的付款,通过订单攻击者使用了窃取的账户信息。其商业模式如下:
诈骗者利用窃取的信用信息为客户下单的货物付款
美国和加拿大曾报道过这类骗局,这些案例的受害者中,既不是餐厅也不是顾客,而是信用卡的所有者。Sift专门通过Telegram撰写了一份有关此事的分析报告。
根据信用分析公司Fair Isaac Corporation (FICO)的数据,从2020年1月到2020年7月,快递诈骗金额增加了49%。
针对通讯应用的威胁
很多人在疫情爆发前就已经通过网络与朋友和家人保持联系,但在危机期间和危机之后,网络交流已成为一种必要。2016年出现了一种利用这种连接的诈骗行为,然后在去年这些攻击活动就显著增加了。
这类骗局的第一个要求是一个已被攻破的WhatsApp帐户,攻击者可以通过使用窃取的联系信息来冒充受害者,然后说服运营商在新的SIM卡中激活受害者的号码(有时也称为SIM交换)来获得这一信息。或者,他们可以说服手机运营商的员工在另一部手机上激活受害者的号码。
第一步完成后,攻击者会在新手机上激活WhatsApp,并开始向受害者的联系人寻求帮助。这通常包括一个虚假的紧急情况和向朋友的银行账户转账的信息。此事,受害者的手机在诈骗过程中会一直没有信号。
攻击者和受害者的朋友之间的葡萄牙语对话,攻击者索要2500巴西雷亚尔(约450美元)
在新冠疫情期间,攻击者利用网上二手物品网站(类似于eBay)提供的更多交易的机会,开始实施以下计划:
诈骗者找到带有电话号码的广告,并要求受害者“确认” SMS发送的代码,当受害者向他们发送代码时,他们会说“广告已确认”
通过短信发送的代码实际上是从WhatsApp后端发送的,攻击者会触发此代码,以尝试在另一部电话(使用具有不同号码的SIM卡)上激活受害者的WhatsApp帐户。如果用户向他们发送了密码,则攻击者可以访问受害者的WhatsApp帐户并开始欺骗他们的联系人。
由于许多买卖交易已在网络上进行,因此该2016年骗局的更新版本特别适合新冠疫情情况。根据当地报道,该计划在2020年已经使巴西500万人受害。
如何避免针对消息应用程序的骗局
- 不要在互联网上公开你的电话号码(广告,社交资料等);
- 为所有消息应用程序启用双因素身份验证;
- 如果你的朋友找你要钱,试着用电话号码(语音电话)给他/她打电话确认;
这种新冠疫情还严重影响了买卖商品的个人,由于全球封锁和隔离,那些在家里有商品出售的人不得不转向网上渠道,新冠疫情的经济影响也意味着拥有可支配收入的买家减少。
俄罗斯攻击者也在这种环境中变得异常疯狂,2020年10月,在俄罗斯发现了一个具有独特功能的Telegram 木马。根据合法的销售信息,它将生成一张向俄罗斯联邦储蓄银行网络(Sberbank Online)转账的截图。联邦储蓄银行是俄罗斯银行和金融服务公司。
诈骗者创建伪造的存款单屏幕截图以提取正在出售的货物
伪造的付款单上有卖家的个人信息(通过正常的售前对话收集),所以看起来完全合法。“买家”(攻击者)分享截图作为付款证明,并提取正在出售的货物。
对于卖方来说,这似乎是完全正常的,直到他们意识到自己没有收到该笔交易的付款。精明的卖家可能会以屏幕截图为参考,与Sberbank联系以了解缺少的付款,但是该银行没有汇款的记录。到那时,“买方”则已经删除了他的汇款帐户。
据研究人员分析,这种情况只在俄罗斯使用Telegram时出现过,类似的方案可能在其他地方奏效。如果Telegram木马被复制,或者为Facebook Marketplace创建了类似的东西,则可能会重复发生这种情况,以影响世界各地的用户。
为避免这种特殊类型的骗局,建议用户当面付款,或在取货或交付给买方之前充分核实已收到付款。
针对政府援助的诈骗
在德国,当疫情首次达到高峰时,政府向企业提供了无限量的贷款,以帮助填补收入缺口。这激起了当地诈骗者的兴趣,导致逾2.5万宗诈骗案件。其中一名男子因诈骗索赔超过300万美元而受审。这些索赔是通过电子表格提交的,使用的是虚假的公司信息。
德国并不是唯一遭受此类攻击的国家,失业诈骗在2020年也显著增加。诈骗者提出虚假的失业要求,盗窃金额超过360亿美元。最近的一份报告解释了攻击者如何利用窃取的个人身份信息(PII)冒充美国人接受失业援助。在这些案件中,被盗的PII会在网络犯罪论坛中被发现,并被用来以数字方式提交表单。虽然任何攻击者都能做到这一点,但这起案件的攻击者就在尼日利亚。
虽然欺骗政府资金的行为并不新鲜,但这两个具体例子在很大程度上是由新冠疫情而引起的,攻击者利用这种情况从目标接收者那里窃取了可用资金。
上述网络诈骗是否会在新冠疫情后继续?
从上面概述的诈骗行为中,研究人员可以看到犯罪集团是如何快速改进和调整他们的诈骗方式的。这些攻击表明了公民和企业都应该为不确定因素做好准备,并学会保护自己免受数字威胁。
这种犯罪的数字化转变也引发了一个问题:在世界从新冠疫情中恢复后,罪犯会继续进行这些诈骗吗?研究人员预测他们会的。数字诈骗让攻击者可以像研究人员一样在家工作。在更多的人意识到其风险之前,这些攻击很有可能会继续起作用,这意味着即使更多的实体犯罪再次发生,攻击者也没有必要放弃这些新方法。
在当今世界中,几乎所有类型的犯罪都有可能与网络有关,这意味着消费者需要保持警惕。比如要经常思考这个信息会是假的吗?这个网站会是假的吗?跟我说话的这个人会撒谎吗?我该如何验证这些呢?在提供任何类型的个人资料或付款资料前,应先自己问一下这些问题。
本文翻译自:https://www.trendmicro.com/en_us/research/21/e/mutated-scams-how-to-protect-yourself-from-pandemic-fueled-cyberfraud.html