关键词:文本欺诈、垃圾邮件、网络钓鱼、敲诈勒索

电子邮件诈骗者通常会采用结合社会工程学和技术技能的方式绕过垃圾邮件过滤器并说服收件人回复。但是在90年代末00年代初的CRT显示器和低速互联网时代,存在着一类特定的攻击:基于文本的欺诈。此类攻击的攻击者不会精细地模仿大公司电子邮件的外观,不会将受害者重定向到虚假网站,也不会混淆链接,他们使收件人回复的主要工具和方法是老式的文本。

1. 约会诈骗

图1:约会诈骗电子邮件示例

这种类型的诈骗信息可能是某些有吸引力的女性(极少部分男性)在寻找一段“认真的关系”。为了使诈骗信息更加合理,诈骗者会添加一些他们的传记细节或者照片作为诱饵,包括一些从开源下载的不正当的诱饵。

欺诈者可以通过多种方式利用受害者内心孤独的性格获利。例如,在沟通的早期,他们可能会索要少量的钱或者礼物,在经过长时间的虚拟交流后,诈骗者可能以探望受害者、进行紧急手术等理由来索要一大笔钱财。最近出现了另一种常见的方案,“合作伙伴”承诺给受害者一份昂贵的礼物或者是国外快递现金,一段时间后,“快递员”联系受害者并要求受害者支付运费、关税等。值得注意的是,诈骗者不仅可以通过电子邮件了解受害者,还可以将这些方案应用于约会网站、社交网络和各种即时通讯工具中。不管诈骗者和受害者最初如何进行联络,社交网络和即时通讯工具通常是诈骗者与受害者交流的主要渠道。但是通过电子邮件发送群发邮件仍然会更方便一些,因为社交网络、信使工具等账户会由于垃圾邮件而很快被封锁。

统计数据:约会诈骗是最不常见的基于文本的欺诈类型。从2022年3月到2022年6月共发现49536条“寻找关系”的消息,在整个6月下降到1998封电子邮件。这可能是因为诈骗者使用了其他沟通渠道来了解受害者并建立信任关系。

图2:2022年3月到6月检测到的信息数量

2. 419诈骗:有钱叔叔和新冠补助

419诈骗其命名来自《尼日利亚刑法》第419条,是最古老的基于文本的欺诈类型之一。在经典的419诈骗邮件中,“律师”或其他“官员”会告知收件人,已故的亲戚或即将死亡的恩人已将巨额的财富遗赠给他们。受害者需要做的就是填写一份简短的问卷,支付管理费和其他手续的费用,然后领取数百万美元。通常,诈骗者不会直接提及费用,而是通过回复电子邮件来邀请受害者进行联系,以了解有关他们“继承”的更多信息。无论如何,一旦支付了费用,诈骗者就会消失。

419 电子邮件经常充满语法和拼写错误。这可能是为了掩盖可能激活垃圾邮件过滤器的单词和表达方式,也可能是攻击者对受害者的语言掌握不佳。

图3:419诈骗电子邮件示例(继承)

419 信件仍然很受攻击者的欢迎,我们每月可以检测到数十万条此类消息。他们通常不会利用已故的富有的亲戚,而是会利用更相关的话题。例如,随着对叙利亚战争的日益关注,网络犯罪分子会声称自己来自国内,并且想要将一大笔资金转移到国外。

图4:419诈骗电子邮件示例(交易)

最近,出现了一些意外的交易方式——新冠病毒、乌克兰危机以及其他的一些具有讽刺意味的欺诈行为。

图5:419诈骗电子邮件示例(补贴)

419 骗局的另一种方法是“中奖者”没有参与的彩票中奖。为了使该计划更加可信,诈骗者通常声称自己受命为特定地区或国家的纳税人、特定电子邮件域名的所有者等提供赠品。与 Covid-19 补偿不同,此类邮件并不新鲜,但他们永远不会失去人气。

图6:419诈骗电子邮件示例(彩票)

从技术角度来看,419 诈骗并没有太大的变化——在大多数情况下,邮件是从免费的网络邮件账户(谷歌邮件、雅虎邮件等)发送的。为了询问详细信息、发送表格等,攻击者通常鼓励受害者通过邮件与他们联系,一旦邮件地址被标记可阻止的垃圾邮件来源地址,他们通常会给出一个不同的回复地址,即一个没有被标记的地址。

统计数据:从 2 月到 6 月,共检测到 180 万封 419 诈骗电子邮件。诈骗人数在 2 月下旬开始上升,在 3 月达到 657014 人次的峰值。相反,在 4 月份,垃圾邮件发送者的活动减少了一半以上。

图7:2022年3月至6月检测到的419诈骗电子邮件数量

3. 敲诈勒索

诈骗者在上述诈骗方法中利用了受害者的贪婪,而敲诈者则会利用受害者的恐惧。通常,网络犯罪分子声称他们已经掌握了目标的个人信息,他们承诺不会将这些信息发送给受害者的家庭成员或公布在网上。通常,他们不提供任何数据被盗的实际证据,因为他们实际上并没有窃取任何东西——这就是诈骗者与敲诈者的不同之处。

随着加密货币的普及,敲诈骗局开始真正地出现:区块链的匿名性消除了对复杂洗钱链的需求。

图8:勒索电子邮件:诈骗者声称已侵入收件人的邮箱

勒索者在攻击个人和公司时会采用不同的方法。个人最常受到的是公布个人数据的威胁,据称这些数据是通过侵入他们的计算机或邮箱而被盗的。诈骗者还可能提到他们通过设备的网络摄像头录制的私密照片或视频,而这些很有可能他们是从《黑镜》那里捏造出来的。

图9:勒索电子邮件威胁要发布据称从用户那里窃取的“私密”内容,并在“发件人”标头中包含他们的电子邮件地址

从技术角度来看,这种类型的欺诈通常以电子邮件地址欺骗为特征。攻击者在 From 标头中替换了收件人的地址,似乎证实了邮箱被黑客入侵。针对个人的电子邮件也可能是关于行政或刑事处罚的威胁,尽管此类信息远不如关于黑客攻击的信息常见。

与此同时,公司可能会受到炸弹恐吓信息的威胁。2020 年和2021 年,勒索者以知名 APT 和勒索软件组织的名义发送电子邮件,承诺除非立即付款,否则将对其进行攻击。

统计数据:与其他形式的基于文本的诈骗相比,邮件流量中的勒索电子邮件要多很多。例如,从 3 月到 6 月,共检测到超过 1200 万条勒索信息。

图10:2022年3月至6月检测到的勒索电子邮件数量

4. Vishing:诈骗者热线

Vishing 是语音网络钓鱼的缩写,攻击者会通过语音通信与潜在受害者进行联系。这与基于文本的诈骗有何关系?在过去的几年里,vishers一直在发送大量的电子邮件,要求收件人回拨他们的电话号码,也就是说,垃圾邮件是语音网络钓鱼操作的第一步。

Vishing 可以针对个人和公司进行诈骗。对于个人,诈骗者试图从受害者中提取机密数据,说服他们安装远程访问软件,或将资金转入诈骗者的账户。而对于目标公司员工,攻击者可以说服他们将资金转移到特定的银行账户或授予对公司账户的访问权限。

图11:大额购买的虚假PayPal通知

大多数情况下,网络钓鱼电子邮件会伪装成来自某些服务的通知:可以是大型在线商店、支付系统,或者是需要订阅的软件。

图12:假极客小队通知

为了准确了解攻击者如何实现他们的目标,即捞出(或钓鱼)数据或金钱,作者拨打了此类电子邮件中提供的几个号码。在这两种情况下,经过简短的介绍性对话后,另一端一个自信的声音要求作者打开一个浏览器窗口并让作者下载 Anydesk 远程访问程序。在回答作者关于退订过程的问题时,第一个骗子完全不为所动,回答说他们需要登录我的银行账户确认然后取消交易。当作者回答说没有使用网上银行时,骗子挂断了电话。第二个结果是不那么健谈,并没有提供任何有趣的细节。

一方面,这种方案似乎过于笨重,无法广泛使用。另一方面,通过各种渠道的通信和攻击者对专业知识的模仿可以激发用户对用户的更多信任,而不仅仅是带有网络钓鱼链接的电子邮件。

统计数据:从 2022 年 3 月到 2022 年 6 月,共发现了 347141 封电子邮件提示收件人通过电话回电诈骗者。在4月份,这种类型的骗局数量略有下降,之后又开始增长。

图13:2022年3月至6月检测到的网络钓鱼电子邮件数量

5. 结论

尽管存在即时通讯、社交网络和视频聊天,但网络犯罪分子仍然可以使用电子邮件作为与受害者的联系方式,即使他们在之后的诈骗过程中可能会切换到其他的联系方式。当前,此类骗局的最大变化主要是电子邮件的主题发生了变化:攻击者积极利用时事来吸引潜在受害者的注意力。这表明,尽管用户普遍了解网络犯罪分子诈骗的基本方法,但诈骗者的恐吓和“免费午餐承诺”等技术,加上其愿意花时间建立信任,使诈骗者得以继续获得回报。这些电子邮件的目的是让用户失去平衡,让他们不假思索地采取行动。因此,重要的是不仅要了解入侵者的技巧,而且要养成以平静的心态回复电子邮件的习惯,或者是不回复。

在 ISP 方面,采用机器学习和启发式方法来识别欺诈性电子邮件的解决方案可以过滤掉此类垃圾邮件。

参考链接:https://securelist.com/mail-text-scam/106926/

编辑|逄思渊

审校|何双泽、金矢

本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。

声明:本文来自国家网络威胁情报共享开放平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。