大数据文摘出品
来源:wired
在28岁生日前夕,Emmeline Hartley回家时,她的手机里突然弹出一条短信。
信息写到,皇家邮政这边有一个包裹,她必须支付一些费用确保她的包裹送达。Hartley没有多想,毕竟从消息链接的网站上看,似乎是官方发过来的,于是她填写了相关信息。
第二天,Hartley准备出去庆祝生日时,她接到了一个电话,电话中的人说到他来自巴克莱银行,整个过程十分自然,不仅电话号码来自该银行的官方线路,服务人员的说话方式也像极了之前巴克莱银行的员工,更关键的是,电话那头的人对Hartley的背景信息了如指掌。
电话那头的男子说,Hartley因为收到皇家邮政短信而被黑了,她现在必须采取行动,把钱转移到“安全账户”上,确保安全。
“我一做完就开始有一种沮丧的感觉,”Hartley解释说,“我哭了好久……我的脑海中一直浮现出“0英镑”的字样。从我这里拿走的钱其实不算多,但已经是我全部的积蓄了”。
而直到一条关于她的经历的Twitter帖子在网上开始疯传,银行方面才有所行动,他们表示,希望她能从朋友那里借点钱维持下个月的生活,他们正在试图归还Hartley丢失的钱。
但其实,Hartley只是无数人中的一员,他们被大量声称来自快递公司(通常是皇家邮政)的诈骗短信所困扰。在大流行期间在线购物的欲望推动下,根据谷歌搜索数据显示,2020年皇家邮政诈骗增加了1,077%。
据安全公司称,今年3月,与皇家邮政相关的网络钓鱼诈骗就增加了645%。Hartley说,她现在收到了数百条来自类似骗局受害者的信息。
这些皇家邮政诈骗只是基于短信的骗局的冰山一角,它们不仅比基于电子邮件的骗局危险得多,而且还提出了一些关于我们如何监管现代互联网的重大问题。
对此,我们能做些什么吗?
“它的规模很大。如今,通过SMS分发可能是传播恶意软件或骗局的最有效方式。”互联网安全公司ESET的网络安全专家Jake Moore说。
“我们一次又一次地听到人们损失成千上万英镑的消息,远远超过我们在电子邮件尼日利亚彩票中看到的。”大多数SMS网络钓鱼诈骗都遵循与Hartley类似的模式:发短信让你点击链接,并输入你的详细信息,支付未付费用,然后接收到冒充银行的电话,告诉你你被骗了,他们说,如今唯一的方法是将所有资金转移到一个新帐户。
这些骗局并不新鲜,但让它们如此令人信服的部分原因可能需要归结到,我们使用短信的方式多年来发生了巨大的变化。
SMS最初设计为人们聊天的一种方式,现在几乎专门用于来自公司的通信、双因素身份验证或其他正式和官方消息,例如NHS的疫苗文本。所有与朋友和家人的聊天也都转移到了Facebook Messenger、iMessage、Signal和WhatsApp上。
“这是一种不安全的通信方式,”布里斯托尔大学网络安全教授Awais Rashid说,短信现在已被“重新利用”起来试图欺骗人们。
“我们与SMS的关系正在发生变化。我们认为它们是来自合法组织的东西,它为我们提供了一些东西。”在这一点上是十分直接的,这也导致它们比电子邮件更私密,也更安全。
更重要的是,我们对这些骗局背后的人几乎一无所知,很少有人被抓住。“进入门槛很低,你不必加入一些庞大的犯罪组织就能参与其中。如果犯罪分子对技术有一定的了解,他们还会在网上隐藏所有踪迹”。
最近被国家犯罪局关闭的SMS Bandits等网站和无数其他网站允许诈骗者批量发送误导性消息,再加上数百万人的电话号码和个人信息可以相对便宜地在线购买,种种因素导致骗局迅速扩大。例如,NameCheap.com被发现托管了200多个骗子用来冒充皇家邮政的网站。
然后是“号码欺骗”。与Hartley的案例一样,凭借足够的技术知识,模仿官方帮助热线的手机号码使骗局看起来可信,这也不是什么难事。“欺诈即服务”在诈骗诈骗中很常见,犯罪者从第三方购买技术来实施这些犯罪,并向他们支付一部分利润。所有这些都有助于使这些骗局具有说服力,并使犯罪分子更难以识别和抓获。
在发生相关骗局后,大多数当局只是警告消费者要“小心”。自大流行开始以来,皇家邮政也已发出无数此类警告,但仍未公布其即将实施的任何技术更新。
Rashid说:“目前,用户负担过重,无法确定哪些是骗局,哪些不是。”当这些被伪装得与真实无法区分时,个人发现骗局的压力就尤其成问题。“短信应该被接收,链接应该被点击”。
只是告诉消费者“保持警惕”,从根本上就误解了成为这些缺点之一的目标。对此我们可以采取更多措施。
首先,治安方面存在问题。在2020年向Action Fraud报告的350,000条诈骗信息(估计耗资21亿英镑)中,只有约1.4%被起诉。尽管欺诈占所有犯罪的30%以上,但只有不到1%的警务资源用于打击欺诈。
“我曾经与决策者交谈,以决定将多少资源投入到数字犯罪中,尽管这只是很小一部分。”曾领导警方网络犯罪的Moore解释说。
除了缺乏资源之外,问题还在于治安方式。根据Moore的说法,警务过于“被动”——只有在犯罪者可能早已不在的情况下才会在犯罪发生后采取行动。
他表示,更主动的监管将是抓人的唯一方法。例如,冒充受害者哄骗攻击者,然后向犯罪者发送包含恶意软件的电子邮件和消息,以跟踪他们的IP地址或入侵他们的网络摄像头。
除此之外,首先就需要让诈骗者更难进行诈骗。一种方法是针对SMS诈骗的特定部分,例如号码欺骗,以降低其有效性。SenderID通常通过接听电话的电话工作,根据列表验证号码。但是缺乏一个中央ID数据库意味着该系统很容易被欺骗。作为回应,该行业启动了SMS SenderID保护注册表,以尝试创建一个集中的消息和号码数据库,这将使某些官方号码更难模仿,同时也阻止诈骗者使用的号码。
关于如何应对技术进步的意外后果,还有更大、更棘手的问题。
SMS概念是在1980年代初期开发的。到2021年,它却沦为骗子的工具。“我们需要思考:犯罪分子可以用它做什么?,”Rashid说,“我们在设计时没有做足够的威胁建模。”
对于Rashid来说,现在的核心问题是我们如何让系统适应未来出现的骗局。对于SMS而言,这可能意味着在一个几乎无法识别、保护或有效筛选用户及其消息的平台上提高安全性。
“目前还没有自我监管,”工党议员兼工作和养老金特别委员会主席Stephen Timms说。
“我们不能再采取这种不干涉的方法了。”Timms与其他议员一道,正在推动政府在欺诈方面发挥更积极的作用,作为其新的在线安全法案的一部分。政府表示可能会支持这一变化,这意味着那些在没有足够安全措施的情况下携带虚假皇家邮政网站或银行的域名主机可能被迫保护其用户免受此类诈骗或面临罚款的风险。
但是,与任何互联网监管一样,所有这些都是有代价的。使这些骗局如此成功且难以关闭的相同系统也是安全、可靠和开放互联网的基石。“我们需要明白,这不是一场零和游戏,”Rashid说。
“当我们谈论监管时,我们必须记住,减轻对一个特定群体的伤害可能会对另一个群体造成伤害。”
相关报道:
https://www.wired.co.uk/article/royal-mail-text-message-scams