[[404134]]

大數(shù)據(jù)文摘出品

來源：wired

在28歲生日前夕，Emmeline Hartley回家時(shí)，她的手機(jī)里突然彈出一條短信。

信息寫到，皇家郵政這邊有一個(gè)包裹，她必須支付一些費(fèi)用確保她的包裹送達(dá)。Hartley沒有多想，畢竟從消息鏈接的網(wǎng)站上看，似乎是官方發(fā)過來的，于是她填寫了相關(guān)信息。

第二天，Hartley準(zhǔn)備出去慶祝生日時(shí)，她接到了一個(gè)電話，電話中的人說到他來自巴克萊銀行，整個(gè)過程十分自然，不僅電話號(hào)碼來自該銀行的官方線路，服務(wù)人員的說話方式也像極了之前巴克萊銀行的員工，更關(guān)鍵的是，電話那頭的人對(duì)Hartley的背景信息了如指掌。

電話那頭的男子說，Hartley因?yàn)槭盏交始亦]政短信而被黑了，她現(xiàn)在必須采取行動(dòng)，把錢轉(zhuǎn)移到“安全賬戶”上，確保安全。

“我一做完就開始有一種沮喪的感覺，”Hartley解釋說，“我哭了好久……我的腦海中一直浮現(xiàn)出“0英鎊”的字樣。從我這里拿走的錢其實(shí)不算多，但已經(jīng)是我全部的積蓄了”。

而直到一條關(guān)于她的經(jīng)歷的Twitter帖子在網(wǎng)上開始瘋傳，銀行方面才有所行動(dòng)，他們表示，希望她能從朋友那里借點(diǎn)錢維持下個(gè)月的生活，他們正在試圖歸還Hartley丟失的錢。

但其實(shí)，Hartley只是無數(shù)人中的一員，他們被大量聲稱來自快遞公司(通常是皇家郵政)的詐騙短信所困擾。在大流行期間在線購(gòu)物的欲望推動(dòng)下，根據(jù)谷歌搜索數(shù)據(jù)顯示，2020年皇家郵政詐騙增加了1,077%。

據(jù)安全公司稱，今年3月，與皇家郵政相關(guān)的網(wǎng)絡(luò)釣魚詐騙就增加了645%。Hartley說，她現(xiàn)在收到了數(shù)百條來自類似騙局受害者的信息。

這些皇家郵政詐騙只是基于短信的騙局的冰山一角，它們不僅比基于電子郵件的騙局危險(xiǎn)得多，而且還提出了一些關(guān)于我們?nèi)绾伪O(jiān)管現(xiàn)代互聯(lián)網(wǎng)的重大問題。

對(duì)此，我們能做些什么嗎?

“它的規(guī)模很大。如今，通過SMS分發(fā)可能是傳播惡意軟件或騙局的最有效方式。”互聯(lián)網(wǎng)安全公司ESET的網(wǎng)絡(luò)安全專家Jake Moore說。

“我們一次又一次地聽到人們損失成千上萬英鎊的消息，遠(yuǎn)遠(yuǎn)超過我們?cè)陔娮余]件尼日利亞彩票中看到的。”大多數(shù)SMS網(wǎng)絡(luò)釣魚詐騙都遵循與Hartley類似的模式：發(fā)短信讓你點(diǎn)擊鏈接，并輸入你的詳細(xì)信息，支付未付費(fèi)用，然后接收到冒充銀行的電話，告訴你你被騙了，他們說，如今唯一的方法是將所有資金轉(zhuǎn)移到一個(gè)新帳戶。

這些騙局并不新鮮，但讓它們?nèi)绱肆钊诵欧牟糠衷蚩赡苄枰獨(dú)w結(jié)到，我們使用短信的方式多年來發(fā)生了巨大的變化。

SMS最初設(shè)計(jì)為人們聊天的一種方式，現(xiàn)在幾乎專門用于來自公司的通信、雙因素身份驗(yàn)證或其他正式和官方消息，例如NHS的疫苗文本。所有與朋友和家人的聊天也都轉(zhuǎn)移到了Facebook Messenger、iMessage、Signal和WhatsApp上。

“這是一種不安全的通信方式，”布里斯托爾大學(xué)網(wǎng)絡(luò)安全教授Awais Rashid說，短信現(xiàn)在已被“重新利用”起來試圖欺騙人們。

“我們與SMS的關(guān)系正在發(fā)生變化。我們認(rèn)為它們是來自合法組織的東西，它為我們提供了一些東西。”在這一點(diǎn)上是十分直接的，這也導(dǎo)致它們比電子郵件更私密，也更安全。

更重要的是，我們對(duì)這些騙局背后的人幾乎一無所知，很少有人被抓住。“進(jìn)入門檻很低，你不必加入一些龐大的犯罪組織就能參與其中。如果犯罪分子對(duì)技術(shù)有一定的了解，他們還會(huì)在網(wǎng)上隱藏所有蹤跡”。

最近被國(guó)家犯罪局關(guān)閉的SMS Bandits等網(wǎng)站和無數(shù)其他網(wǎng)站允許詐騙者批量發(fā)送誤導(dǎo)性消息，再加上數(shù)百萬人的電話號(hào)碼和個(gè)人信息可以相對(duì)便宜地在線購(gòu)買，種種因素導(dǎo)致騙局迅速擴(kuò)大。例如，NameCheap.com被發(fā)現(xiàn)托管了200多個(gè)騙子用來冒充皇家郵政的網(wǎng)站。

然后是“號(hào)碼欺騙”。與Hartley的案例一樣，憑借足夠的技術(shù)知識(shí)，模仿官方幫助熱線的手機(jī)號(hào)碼使騙局看起來可信，這也不是什么難事。“欺詐即服務(wù)”在詐騙詐騙中很常見，犯罪者從第三方購(gòu)買技術(shù)來實(shí)施這些犯罪，并向他們支付一部分利潤(rùn)。所有這些都有助于使這些騙局具有說服力，并使犯罪分子更難以識(shí)別和抓獲。

在發(fā)生相關(guān)騙局后，大多數(shù)當(dāng)局只是警告消費(fèi)者要“小心”。自大流行開始以來，皇家郵政也已發(fā)出無數(shù)此類警告，但仍未公布其即將實(shí)施的任何技術(shù)更新。

Rashid說：“目前，用戶負(fù)擔(dān)過重，無法確定哪些是騙局，哪些不是。”當(dāng)這些被偽裝得與真實(shí)無法區(qū)分時(shí)，個(gè)人發(fā)現(xiàn)騙局的壓力就尤其成問題。“短信應(yīng)該被接收，鏈接應(yīng)該被點(diǎn)擊”。

只是告訴消費(fèi)者“保持警惕”，從根本上就誤解了成為這些缺點(diǎn)之一的目標(biāo)。對(duì)此我們可以采取更多措施。

首先，治安方面存在問題。在2020年向Action Fraud報(bào)告的350,000條詐騙信息(估計(jì)耗資21億英鎊)中，只有約1.4%被起訴。盡管欺詐占所有犯罪的30%以上，但只有不到1%的警務(wù)資源用于打擊欺詐。

“我曾經(jīng)與決策者交談，以決定將多少資源投入到數(shù)字犯罪中，盡管這只是很小一部分。”曾領(lǐng)導(dǎo)警方網(wǎng)絡(luò)犯罪的Moore解釋說。

除了缺乏資源之外，問題還在于治安方式。根據(jù)Moore的說法，警務(wù)過于“被動(dòng)”——只有在犯罪者可能早已不在的情況下才會(huì)在犯罪發(fā)生后采取行動(dòng)。

他表示，更主動(dòng)的監(jiān)管將是抓人的唯一方法。例如，冒充受害者哄騙攻擊者，然后向犯罪者發(fā)送包含惡意軟件的電子郵件和消息，以跟蹤他們的IP地址或入侵他們的網(wǎng)絡(luò)攝像頭。

除此之外，首先就需要讓詐騙者更難進(jìn)行詐騙。一種方法是針對(duì)SMS詐騙的特定部分，例如號(hào)碼欺騙，以降低其有效性。SenderID通常通過接聽電話的電話工作，根據(jù)列表驗(yàn)證號(hào)碼。但是缺乏一個(gè)中央ID數(shù)據(jù)庫(kù)意味著該系統(tǒng)很容易被欺騙。作為回應(yīng)，該行業(yè)啟動(dòng)了SMS SenderID保護(hù)注冊(cè)表，以嘗試創(chuàng)建一個(gè)集中的消息和號(hào)碼數(shù)據(jù)庫(kù)，這將使某些官方號(hào)碼更難模仿，同時(shí)也阻止詐騙者使用的號(hào)碼。

關(guān)于如何應(yīng)對(duì)技術(shù)進(jìn)步的意外后果，還有更大、更棘手的問題。

SMS概念是在1980年代初期開發(fā)的。到2021年，它卻淪為騙子的工具。“我們需要思考：犯罪分子可以用它做什么?，”Rashid說，“我們?cè)谠O(shè)計(jì)時(shí)沒有做足夠的威脅建模。”

對(duì)于Rashid來說，現(xiàn)在的核心問題是我們?nèi)绾巫屜到y(tǒng)適應(yīng)未來出現(xiàn)的騙局。對(duì)于SMS而言，這可能意味著在一個(gè)幾乎無法識(shí)別、保護(hù)或有效篩選用戶及其消息的平臺(tái)上提高安全性。

“目前還沒有自我監(jiān)管，”工黨議員兼工作和養(yǎng)老金特別委員會(huì)主席Stephen Timms說。

“我們不能再采取這種不干涉的方法了。”Timms與其他議員一道，正在推動(dòng)政府在欺詐方面發(fā)揮更積極的作用，作為其新的在線安全法案的一部分。政府表示可能會(huì)支持這一變化，這意味著那些在沒有足夠安全措施的情況下攜帶虛假皇家郵政網(wǎng)站或銀行的域名主機(jī)可能被迫保護(hù)其用戶免受此類詐騙或面臨罰款的風(fēng)險(xiǎn)。

但是，與任何互聯(lián)網(wǎng)監(jiān)管一樣，所有這些都是有代價(jià)的。使這些騙局如此成功且難以關(guān)閉的相同系統(tǒng)也是安全、可靠和開放互聯(lián)網(wǎng)的基石。“我們需要明白，這不是一場(chǎng)零和游戲，”Rashid說。

“當(dāng)我們談?wù)摫O(jiān)管時(shí)，我們必須記住，減輕對(duì)一個(gè)特定群體的傷害可能會(huì)對(duì)另一個(gè)群體造成傷害。”

相關(guān)報(bào)道：https://www.wired.co.uk/article/royal-mail-text-message-scams

【本文是51CTO專欄機(jī)構(gòu)大數(shù)據(jù)文摘的原創(chuàng)譯文，微信公眾號(hào)“大數(shù)據(jù)文摘（ id: BigDataDigest）”】

戳這里，看該作者更多好文