大數據文摘出品

來源：wired

在28歲生日前夕，Emmeline Hartley回家時，她的手機里突然彈出一條短信。

信息寫到，皇家郵政這邊有一個包裹，她必須支付一些費用確保她的包裹送達。Hartley沒有多想，畢竟從消息鏈接的網站上看，似乎是官方發過來的，于是她填寫了相關信息。

第二天，Hartley準備出去慶祝生日時，她接到了一個電話，電話中的人說到他來自巴克萊銀行，整個過程十分自然，不僅電話號碼來自該銀行的官方線路，服務人員的說話方式也像極了之前巴克萊銀行的員工，更關鍵的是，電話那頭的人對Hartley的背景信息了如指掌。

電話那頭的男子說，Hartley因為收到皇家郵政短信而被黑了，她現在必須采取行動，把錢轉移到“安全賬戶”上，確保安全。

“我一做完就開始有一種沮喪的感覺，”Hartley解釋說，“我哭了好久……我的腦海中一直浮現出“0英鎊”的字樣。從我這里拿走的錢其實不算多，但已經是我全部的積蓄了”。

而直到一條關于她的經歷的Twitter帖子在網上開始瘋傳，銀行方面才有所行動，他們表示，希望她能從朋友那里借點錢維持下個月的生活，他們正在試圖歸還Hartley丟失的錢。

但其實，Hartley只是無數人中的一員，他們被大量聲稱來自快遞公司（通常是皇家郵政）的詐騙短信所困擾。在大流行期間在線購物的欲望推動下，根據谷歌搜索數據顯示，2020年皇家郵政詐騙增加了1,077%。

據安全公司稱，今年3月，與皇家郵政相關的網絡釣魚詐騙就增加了645%。Hartley說，她現在收到了數百條來自類似騙局受害者的信息。

這些皇家郵政詐騙只是基于短信的騙局的冰山一角，它們不僅比基于電子郵件的騙局危險得多，而且還提出了一些關于我們如何監管現代互聯網的重大問題。

對此，我們能做些什么嗎？

“它的規模很大。如今，通過SMS分發可能是傳播惡意軟件或騙局的最有效方式?！被ヂ摼W安全公司ESET的網絡安全專家Jake Moore說。

“我們一次又一次地聽到人們損失成千上萬英鎊的消息，遠遠超過我們在電子郵件尼日利亞彩票中看到的?！贝蠖鄶礢MS網絡釣魚詐騙都遵循與Hartley類似的模式：發短信讓你點擊鏈接，并輸入你的詳細信息，支付未付費用，然后接收到冒充銀行的電話，告訴你你被騙了，他們說，如今唯一的方法是將所有資金轉移到一個新帳戶。

這些騙局并不新鮮，但讓它們如此令人信服的部分原因可能需要歸結到，我們使用短信的方式多年來發生了巨大的變化。

SMS最初設計為人們聊天的一種方式，現在幾乎專門用于來自公司的通信、雙因素身份驗證或其他正式和官方消息，例如NHS的疫苗文本。所有與朋友和家人的聊天也都轉移到了Facebook Messenger、iMessage、Signal和WhatsApp上。

“這是一種不安全的通信方式，”布里斯托爾大學網絡安全教授Awais Rashid說，短信現在已被“重新利用”起來試圖欺騙人們。

“我們與SMS的關系正在發生變化。我們認為它們是來自合法組織的東西，它為我們提供了一些東西?！痹谶@一點上是十分直接的，這也導致它們比電子郵件更私密，也更安全。

更重要的是，我們對這些騙局背后的人幾乎一無所知，很少有人被抓住?！斑M入門檻很低，你不必加入一些龐大的犯罪組織就能參與其中。如果犯罪分子對技術有一定的了解，他們還會在網上隱藏所有蹤跡”。

最近被國家犯罪局關閉的SMS Bandits等網站和無數其他網站允許詐騙者批量發送誤導性消息，再加上數百萬人的電話號碼和個人信息可以相對便宜地在線購買，種種因素導致騙局迅速擴大。例如，NameCheap.com被發現托管了200多個騙子用來冒充皇家郵政的網站。

然后是“號碼欺騙”。與Hartley的案例一樣，憑借足夠的技術知識，模仿官方幫助熱線的手機號碼使騙局看起來可信，這也不是什么難事?！捌墼p即服務”在詐騙詐騙中很常見，犯罪者從第三方購買技術來實施這些犯罪，并向他們支付一部分利潤。所有這些都有助于使這些騙局具有說服力，并使犯罪分子更難以識別和抓獲。

在發生相關騙局后，大多數當局只是警告消費者要“小心”。自大流行開始以來，皇家郵政也已發出無數此類警告，但仍未公布其即將實施的任何技術更新。

Rashid說：“目前，用戶負擔過重，無法確定哪些是騙局，哪些不是?！碑斶@些被偽裝得與真實無法區分時，個人發現騙局的壓力就尤其成問題。“短信應該被接收，鏈接應該被點擊”。

只是告訴消費者“保持警惕”，從根本上就誤解了成為這些缺點之一的目標。對此我們可以采取更多措施。

首先，治安方面存在問題。在2020年向Action Fraud報告的350,000條詐騙信息（估計耗資21億英鎊）中，只有約1.4%被起訴。盡管欺詐占所有犯罪的30%以上，但只有不到1%的警務資源用于打擊欺詐。

“我曾經與決策者交談，以決定將多少資源投入到數字犯罪中，盡管這只是很小一部分。”曾領導警方網絡犯罪的Moore解釋說。

除了缺乏資源之外，問題還在于治安方式。根據Moore的說法，警務過于“被動”——只有在犯罪者可能早已不在的情況下才會在犯罪發生后采取行動。

他表示，更主動的監管將是抓人的唯一方法。例如，冒充受害者哄騙攻擊者，然后向犯罪者發送包含惡意軟件的電子郵件和消息，以跟蹤他們的IP地址或入侵他們的網絡攝像頭。

除此之外，首先就需要讓詐騙者更難進行詐騙。一種方法是針對SMS詐騙的特定部分，例如號碼欺騙，以降低其有效性。SenderID通常通過接聽電話的電話工作，根據列表驗證號碼。但是缺乏一個中央ID數據庫意味著該系統很容易被欺騙。作為回應，該行業啟動了SMS SenderID保護注冊表，以嘗試創建一個集中的消息和號碼數據庫，這將使某些官方號碼更難模仿，同時也阻止詐騙者使用的號碼。

關于如何應對技術進步的意外后果，還有更大、更棘手的問題。

SMS概念是在1980年代初期開發的。到2021年，它卻淪為騙子的工具。“我們需要思考：犯罪分子可以用它做什么？，”Rashid說，“我們在設計時沒有做足夠的威脅建模?！?/p>

對于Rashid來說，現在的核心問題是我們如何讓系統適應未來出現的騙局。對于SMS而言，這可能意味著在一個幾乎無法識別、保護或有效篩選用戶及其消息的平臺上提高安全性。

“目前還沒有自我監管，”工黨議員兼工作和養老金特別委員會主席Stephen Timms說。

“我們不能再采取這種不干涉的方法了。”Timms與其他議員一道，正在推動政府在欺詐方面發揮更積極的作用，作為其新的在線安全法案的一部分。政府表示可能會支持這一變化，這意味著那些在沒有足夠安全措施的情況下攜帶虛假皇家郵政網站或銀行的域名主機可能被迫保護其用戶免受此類詐騙或面臨罰款的風險。

但是，與任何互聯網監管一樣，所有這些都是有代價的。使這些騙局如此成功且難以關閉的相同系統也是安全、可靠和開放互聯網的基石?！拔覀冃枰靼?，這不是一場零和游戲，”Rashid說。

“當我們談論監管時，我們必須記住，減輕對一個特定群體的傷害可能會對另一個群體造成傷害。”

相關報道：

https://www.wired.co.uk/article/royal-mail-text-message-scams

原標題：《皇家郵政短信詐騙不斷興起！犯罪分子正利用系統歷史漏洞騙取錢財》

閱讀原文