最新研究显示,兜售复杂钓鱼工具包的网络犯罪团伙最近将目标转向了经纪服务客户,这些工具包可以将窃取的信用卡数据转换成移动钱包。这些交易平台的安全控制措施阻止用户直接从账户中划转资金,但钓鱼者却无视这些措施,转而使用多个被盗的经纪账户来操纵外国股票的价格。
图片:Shutterstock、WhataWin。
这种所谓的“拉高抛售”骗局,其名称源于古老的“哄抬股价”骗局。诈骗者会大量购买低价股,然后在社交媒体上疯狂宣传该公司,以吸引其他投资者的兴趣。当低价股价格上涨到一定程度后,诈骗者就会抛售股票,这通常会导致合法投资者持有的股票价值大幅下跌。
通过“拉升抛售”策略,诈骗者无需依赖在社交媒体上煽动人们对目标股票的兴趣。相反,他们会预先持有他们想要抬高的股票,利用被盗账户大量购买,然后在股价达到一定水平后抛售。2025年2月,美国联邦调查局表示正在向此类骗局的受害者寻求信息。
“在这种变种中,价格操纵主要是由骗局背后的不法分子操控交易活动造成的,”金融业监管局(FINRA)的一份咨询报告写道。FINRA 是一家监管会员经纪公司的私营非营利组织。“最终,对毫无戒心的投资者来说,结果是一样的——股价灾难性暴跌,投资者蒙受无法挽回的损失。”
福特·梅里尔 (Ford Merrill)是CSIS 安全集团旗下SecAlliance的安全研究员。梅里尔表示,他追踪到最近的“加速倾销”活动源于一个活跃的中文社区,该社区在 Telegram 上公开销售先进的移动网络钓鱼工具包。
梅里尔表示:“他们通常会与其他参与者协调,并等到某个时间点购买特定的中国 IPO [首次公开募股] 股票或低价股。”他一直在记录过去三年中国网络钓鱼社区的快速成熟和发展。
“他们会利用所有这些受害经纪账户,如果需要,他们会清算账户的现有仓位,并在他们控制的某个账户中预先持有该工具,然后在价格上涨时全部抛售,”他说。“受害者账户里将只剩下毫无价值的股票,经纪公司可能也不会高兴。”
梅里尔表示,这些网络钓鱼团体早期(2022 年至 2024 年之间)的典型特征是使用网络钓鱼工具包,利用短信冒充美国邮政局或某些地方收费公路运营商,警告用户需要支付拖欠的运费或过路费。收件人点击链接,在假冒的 USPS 或收费公路运营商网站上提供付款信息,然后会被要求通过短信分享一次性验证码来验证交易。
实际上,受害者的银行之所以会将该代码发送到其客户存档的手机号码,是因为诈骗分子刚刚试图将受害者的银行卡信息注册到移动钱包中。如果访客提供该一次性代码,他们的支付卡就会被添加到钓鱼者实际控制的苹果或谷歌设备上的一个新移动钱包中。
网络钓鱼团伙通常会将多张被盗的卡装入单个苹果或安卓设备上的数字钱包,然后将这些手机批量出售给诈骗分子,诈骗分子利用这些手机进行欺诈性电子商务和点击支付交易。
一家中国流行移动网络钓鱼工具包供应商的 Telegram 频道上的一张图片显示,有 10 部手机在售,每部手机都装有来自不同金融机构的 4-6 个数字钱包。
这个来自中国的网络钓鱼团伙暴露了许多美国金融机构普遍存在的一个重大弱点:这些机构已经要求采用多因素身份验证:依赖单一且易受网络钓鱼攻击的一次性令牌来配置移动钱包。值得庆幸的是,Merrill 表示,许多两年前在此类骗局中措手不及的金融机构已经加强了新移动钱包的身份验证要求(例如,要求通过银行的移动应用程序注册银行卡)。
但就像挤压气球的一部分只会迫使内部的空气膨胀到另一个区域一样,诈骗分子并不会因为你降低了他们现有业务的利润而消失:他们只是将注意力转移到了防范措施较弱的领域。梅里尔表示,最近,这种目光已经完全锁定在了主要经纪平台的客户身上。
局外人
梅里尔指出,一些经验丰富的钓鱼工具包卖家运营着几个 Telegram 频道,里面充斥着各种视频,演示如何根据攻击者的目标定制其工具包中的每一项功能。下面的视频片段来自“ Outsider”的 Telegram 频道。“Outsider ”是一家颇受欢迎的普通话钓鱼工具包供应商,其最新产品包含一系列现成的模板,可用于通过短信盗取经纪账户凭证和一次性验证码。
据 Merrill 称,Outsider 是一位曾使用“ Chenlun ”用户名的女性。KrebsOnSecurity 在2023 年 10 月的一篇报道中,对 Chenlun 的网络钓鱼帝国进行了剖析。该报道讲述了一个总部位于中国的团伙对全球十多家邮政服务的移动用户进行网络钓鱼。在该案例中,这些网络钓鱼网站使用 Telegram 机器人将窃取的凭证发送到“@chenlun”Telegram 账户。
陈仑的网络钓鱼诱饵通过苹果的iMessage和谷歌的RCS服务发送,并冒充一家大型经纪平台,警告该账户因可疑活动已被暂停,收件人应登录并验证一些信息。这些邮件包含一个钓鱼页面的链接,该页面会收集客户的用户名和密码,然后要求用户输入通过短信发送的一次性验证码。
Outsider Telegram 频道上发布的新钓鱼工具包视频仅展示了针对嘉信理财客户的模板,但 Merrill 表示,该工具包很容易被改编,用于攻击其他经纪平台。他表示,诈骗分子之所以选择经纪公司作为攻击目标,原因之一在于他们处理多因素身份验证的方式。
嘉信理财客户开户时,会获得两种双重身份验证选项。选择仅在非受信任设备上提示输入验证码的用户可以选择通过短信、自动呼入电话或拨打嘉信理财的电话接收验证码。选择“始终登录”选项的用户可以选择通过嘉信理财应用程序、短信或赛门铁克 VIP 移动应用程序接收验证码。
在回答问题时,嘉信理财表示,它会定期向客户通报新兴的欺诈趋势,包括这种特定类型,该公司在今年早些时候发送给客户的通信中已经提到了这一类型。
嘉信理财的 2FA 短信警告收件人不要泄露他们的一次性代码。
嘉信理财在一份书面声明中表示:“该信息重点关注与交易相关的欺诈行为,强调账户入侵以及通过社交媒体或即时通讯应用进行的诈骗,这些诈骗行为诱骗个人自行进行交易。” “我们注意到并正在通过多个渠道以及其他类似渠道跟踪这一趋势,这些渠道试图利用窃取的凭证来利用基于短信的验证。我们积极监控可疑模式,并采取措施阻止这些模式。此类活动是更广泛的、全行业的威胁的一部分,我们采取多层次的方法来应对和缓解它。”
其他热门经纪平台也允许使用类似的多因素身份验证方法。富达 (Fidelity)要求首次登录时输入用户名和密码,并提供通过短信、自动电话或同意富达移动应用程序发送的推送通知来接收一次性令牌的功能。然而,这三种发送一次性令牌的方法都可能被网络钓鱼攻击;即使使用经纪公司的应用程序,网络钓鱼者也可以提示用户同意他们在应用程序中使用钓鱼凭证发起的登录请求。
Vanguard 为客户提供一系列多重身份验证选项,包括每次登录时除了输入凭证外,还要求输入 物理安全密钥的选项。安全密钥实现了一种强大的多重身份验证形式,称为通用第二因素 (U2F) ,用户只需连接已注册的 USB 或蓝牙设备并按下按钮即可完成登录过程。该密钥无需任何特殊的软件驱动程序即可运行,而且它的优点在于您的第二因素不会被网络钓鱼。
完美犯罪?
梅里尔表示,从很多方面来看,这种“偷窃-出货”计划都是完美的犯罪行为,因为它在受害者经纪账户和诈骗分子之间留下了极少的联系。
“这真是天才之举,因为它把很多事情都脱钩了,”他说。“他们可以用个人账户在中国交易所买入(被炒作的股票),然后股价就会上涨。中国或香港的券商不会看到任何异常。”
梅里尔表示,目前尚不清楚这些“囤货”计划的实施者究竟是如何协调行动的,比如这些账户是提前很久就被盗用,还是在被用来抬高中国公司股价之前不久就被盗用。后一种可能性与这些犯罪集团现有的人力基础设施非常吻合。
例如,KrebsOnSecurity 最近发表了一篇关于美林和其他研究人员的研究的文章,该研究表明,这些精巧的移动网络钓鱼工具包背后的网络钓鱼者雇佣人员连续数小时坐在大量手机前,用这些手机发送短信诱饵。这些技术人员需要实时响应受害者,让他们提供金融机构发送的一次性验证码。
烟灰缸说:你整晚都在进行网络钓鱼。
梅里尔说:“您可以使用一次性密码访问受害者的经纪业务,但如果您无法设置新的安全设置,那么您必须立即使用它,以便稍后可以返回该帐户。”
他补充说,这些中国网络钓鱼供应商的创新步伐如此之快,部分原因在于他们使用人工智能和大型语言模型来帮助开发移动网络钓鱼工具包。
“这些人喜欢一起编写代码,并使用法学硕士 (LLM) 来翻译代码或帮助整合用户界面,”梅里尔说道。“他们将法学硕士 (LLM) 融入到开发周期中,以加快开发速度,这只是时间问题。他们正在构建的技术无疑降低了每个人的入门门槛。”