总部位于中国的网络钓鱼团伙因不断发送诈骗短信(例如声称包裹丢失或未缴通行费)而备受诟病,如今他们又推出了一项新服务,恰逢假日购物季:他们出售用于批量创建虚假但极具迷惑性的电商网站的钓鱼工具包,这些网站会将客户的支付卡数据转移到苹果和谷歌的移动钱包中。专家表示,这些钓鱼团伙现在还利用短信诱骗受害者领取未领取的退税款和移动奖励积分。
过去一周,数千个域名被注册用于诈骗网站,这些网站声称可以为T-Mobile客户提供领取大量奖励积分的机会。这些钓鱼网站通过苹果iMessage服务或谷歌手机内置的RCS信息服务发送的诈骗信息进行推广。
一条伪造的T-Mobile即时消息称,收件人有资格领取数千奖励积分。
网站扫描服务urlscan.io 的数据显示,仅在过去几天内,就有数千个此类钓鱼域名被部署。这些钓鱼网站只有在用户使用移动设备访问时才会加载,并会要求用户提供姓名、地址、电话号码和支付卡信息以领取积分。
本周注册了一个冒充 T-Mobile 的钓鱼网站。
如果提交了银行卡信息,网站会提示用户提供其金融机构通过短信发送的一次性验证码。实际上,银行发送此验证码是因为诈骗分子试图将受害者被骗取的银行卡信息注册到苹果或谷歌的移动钱包中。如果受害者也提供了该一次性验证码,诈骗分子就可以将受害者的银行卡与他们实际控制的移动设备关联起来。
利用 urlscan.io 对这些 T-Mobile 网络钓鱼域名进行分析,发现针对AT&T客户的类似骗局:
针对 AT&T 用户的短信钓鱼或“短信诈骗”网站。
福特·梅里尔在CSIS安全集团旗下的SecAlliance公司从事安全研究工作。梅里尔表示,多个总部位于中国的网络犯罪团伙一直在利用移动积分诱饵进行诈骗,但这种骗局直到最近才开始针对美国消费者。
“这些积分兑换计划在美国并不十分受欢迎,但在欧盟和亚洲等其他地区已经流行了一段时间了,”梅里尔说。
对urlscan.io标记的与该中国短信钓鱼团伙相关的其他域名进行审查后发现,这些域名也在冒充美国州税务机关,告知收件人他们有一笔未领取的退税款项。其目的同样是为了骗取用户的支付卡信息和一次性验证码。
一条伪造哥伦比亚特区税务局短信的短信。
买者自负
许多短信钓鱼或“短信诈骗”域名会被浏览器厂商迅速标记为恶意域名。但梅里尔表示,这些钓鱼工具包的一个新兴增长领域——虚假电商网站——更难被发现,因为它们不会像垃圾邮件那样向全世界发送,从而引起人们的注意。
梅里尔表示,用于发送包裹重新投递诈骗信息的中国钓鱼工具包配备了相应的模块,可以轻松快速地部署大量虚假但极具迷惑性的电商网站。这些虚假商店通常会在谷歌和脸书上投放广告,消费者往往是在网上搜索特定产品的优惠信息时误入这些网站。
这是一张机器翻译的截图,内容是来自中国的一个钓鱼团伙的广告,该团伙在广告中推广他们的虚假电子商务商店模板。
在这些虚假电商网站上,顾客在正常的结账过程中会提供支付卡和个人信息,随后网站会要求顾客提供由其金融机构发送的一次性验证码。虚假购物网站声称该验证码是银行用来验证交易的,但实际上,诈骗分子发送该验证码的目的是为了立即将顾客提供的银行卡信息添加到移动钱包中。
据梅里尔称,这些假冒商店只有在结账过程中才会获取恶意代码,从而暴露其欺诈本质,这使得仅通过网络批量扫描很难找到这些商店。此外,大多数通过这些网站付款的顾客直到几周后购买的商品仍未送达时才意识到自己被骗了。
“假冒电商网站很难打击,因为它们很多都能逃避监管,”梅里尔说。“它们可能几个月都不被关闭,很难被发现,而且通常不会被安全浏览工具标记出来。”
令人欣慰的是,举报这些短信钓鱼诱饵和网站是快速识别并关闭它们的有效途径之一。Raymond Dijkxhoorn是SURBL的首席执行官兼创始成员,SURBL 是一个广泛使用的黑名单,用于标记已知用于发送垃圾邮件、钓鱼和传播恶意软件的域名和 IP 地址。SURBL 创建了一个名为smishreport.com的网站,该网站要求用户转发收到的任何短信钓鱼信息的屏幕截图。
“如果某个域名未列入黑名单,我们可以找到并添加新的匹配模式,然后删除其余匹配的域名,”迪克霍恩说。“只需截屏并上传,剩下的工作就交给工具来完成。”
短信钓鱼举报网站 smishreport.com。
梅里尔表示,每年的最后几周通常会出现大量诈骗邮件,尤其是欺骗美国邮政服务或商业运输公司的包裹重新投递骗局。
他说:“每逢节假日,短信钓鱼活动都会激增。每个人都更加匆忙,疯狂地在网上购物,注意力不如以前集中,更容易上当受骗。”
像安全专家一样在线购物
由此可见,仅仅选择在网上商家广告价格最低的店铺购物,无异于拿自己的钱包玩俄罗斯轮盘赌。即使是那些主要在知名网店购物的人,如果不警惕那些好得令人难以置信的优惠(比如这些平台上的第三方卖家),也可能被骗。
如果您对销售心仪商品的在线商家不太了解,请花几分钟时间调查一下他们的信誉。如果您从一家全新的网店购买商品,被骗的风险会显著增加。如何判断一家以最低价格销售热门商品的网站的运营时间呢?一个简单的快速方法是对网站域名进行WHOIS查询。网站的“创建”日期越近,它就越有可能是一家空壳公司。
如果您收到有关订单或发货问题的警告信息,请直接访问电商或物流网站,切勿点击任何链接或附件——尤其是那些警告您若不迅速采取行动将面临严重后果的信息。网络钓鱼者和恶意软件传播者通常会利用某种紧急情况制造虚假警报,导致收件人暂时放松警惕。
但不仅仅是彻头彻尾的骗子会让你的假日购物之旅泡汤:很多时候,一些在线商店会以比其他网站更大的折扣来宣传商品,但同时也会收取远高于正常水平的运费和手续费来弥补折扣。
所以,在同意任何条款之前务必谨慎:确认商品需要多长时间才能送达,并了解商店的退货政策。此外,还要注意是否存在隐藏的附加费用,并且在结账过程中切勿随意点击“确定”。
最重要的是,密切关注你的每月账单。如果我是个诈骗犯,我肯定会等到节假日,用偷来的信用卡进行大量未经授权的消费,这样这些虚假消费就会被淹没在其他合法交易的浪潮中。所以,仔细核对信用卡账单,并及时对任何未经授权的消费提出异议至关重要。
原文: https://krebsonsecurity.com/2025/12/sms-phishers-pivot-to-points-taxes-fake-retailers/