釣魚攻擊如何繞過傳統系統
2025年2月18日
卡片資料竊取和販售的地下經濟,長期由俄羅斯駭客主導。然而,隨著美國廣泛採用更安全的晶片卡技術,這一市場受到削弱。但來自中國的網絡犯罪集團正在通過將釣魚獲得的卡片資料轉換為可用於線上和實體店的手機錢包,為這一行業注入新的活力。
如果您擁有手機,過去兩年內,您很可能收到過偽裝成美國郵政服務的釣魚訊息,聲稱需要支付未結的運費,或是冒充當地高速公路運營商的短信,警告有未支付的通行費。
這些訊息通過中國大陸的數個網絡犯罪集團銷售的高級釣魚套件發送。這些訊息不是傳統的 SMS 釣魚或“smishing”訊息,因為它們完全繞過了移動網絡。相反,這些訊息是通過 Apple 的 iMessage 服務和 Google 手機上的 RCS 技術發送的。
卡片資料如何被轉換為手機錢包
受害者在這些釣魚網站上輸入支付卡資料後,會被告知需要收到一次性密碼來驗證小額交易。實際上,這個密碼是受害者的金融機構發送的,用來驗證用戶確實希望將卡片資料綁定至手機錢包。
如果受害者提供了這個一次性密碼,釣魚者就會將卡片資料綁定到一個新的 Apple 或 Google 手機錢包中,並將錢包載入他們控制的手機上。
卡片資料轉賣新方式
Ford Merrill 是 SecAlliance 公司的一位安全研究員,他一直在研究數個中國的 smishing 團隊的演變,發現其中大多數團隊在其 Telegram 銷售帳號中提供有用的視頻教程。這些視頻展示了盜賊如何在單一設備上載入多個被盜的數字錢包,並以每台數百美元的價格批量出售這些手機。
Merrill 說,中國的犯罪集團通常會設立虛假的電子商務公司,如使用 Stripe 或 Zelle,通過這些公司進行交易,金額通常在 100 到 500 美元之間。
這些釣魚集團剛開始認真運作時,通常會等 60 到 90 天才出售或使用這些手機進行欺詐。但如今,這一等待期縮短到僅 7 至 10 天。
鬼影拍擊
犯罪分子還可以通過獲得真實的銷售終端,並在不同手機上使用“拍擊支付”來兌現手機錢包。但他們也提供了一種更先進的手機欺詐技術:...