大数据文摘来源:连线28岁生日前夕,艾米琳·哈特利(EmmelineHartley)回家时,手机上突然弹出一条短信。消息说皇家邮政那边有一个包裹,她必须支付一定的费用才能确保包裹送达。哈特利并没有多想。毕竟从消息链接的网址来看,似乎是官方发来的,所以她才填写了相关信息。第二天,当哈特莉要出去庆祝她的生日时,她接到了一个电话。电话里的人说他来自巴克莱银行。他看起来很像巴克莱银行的前员工,更重要的是,电话那头的人对哈特利的背景信息了如指掌。接电话的人说,哈特利被黑客入侵是因为她收到了皇家邮政的短信,她现在必须采取行动,将钱转到一个“安全账户”以确保资金安全。“我一完成我就开始有一种沮丧的感觉,”哈特利解释道。“我哭了很长时间……我脑子里一直在想‘0英镑’。从我这里拿走的钱不是很多,而是我所有的积蓄。”直到有关她经历的推特帖子走红后,银行才表示希望她能从朋友那里借一些钱来维持下个月的生活,他们正试图归还哈特利丢失的钱。。但哈特利是无数人被声称来自快递公司(通常是皇家邮政)的诈骗短信所困扰,这只是无数人中的一员。在大流行期间网上购物的愿望的推动下,皇家邮政诈骗在2020年增加了1,077%,根据谷歌搜索数据。根据这家安全公司的数据,仅在3月份,与皇家邮政相关的网络钓鱼诈骗就增加了645%。哈特利说,她现在已经收到了数百封来自类似诈骗受害者的邮件。这些皇家邮政诈骗只是一个小窍门基于SMS的诈骗的冰山一角,不仅比基于电子邮件的诈骗危险得多,而且还提出了一些关于我们如何监管现代互联网的重大问题。我们能做些什么吗?“这是巨大的。今天,通过SMS进行分发可能是传播恶意软件或诈骗的最有效方式,”互联网安全公司ESET的网络安全专家JakeMoore说。“我们一次又一次地听到人们损失了数千英镑,远远超过我们在电子邮件中看到的尼日利亚彩票。”大多数SMS网络钓鱼诈骗都遵循与Hartley类似的模式:发短信给您,点击链接,输入您的详细信息,支付未付费用,然后接到流氓银行的电话,告诉您您被骗了,他们说的是这些的唯一方式days是将您所有的资金转移到一个新帐户。这些骗局并不是什么新鲜事,但使它们如此令人信服的部分原因可能归结于我们使用短信的方式多年来发生了巨大变化。SMS最初设计为人们聊天的一种方式,现在几乎专门用于公司通信、双因素身份验证或其他正式和官方消息,例如NHS疫苗文本。所有与朋友和家人的聊天也都转移到了FacebookMessenger、iMessage、Signal和WhatsApp。“这是一种不安全的通信方式,”布里斯托大学网络安全教授AwaisRashid说,他说短信现在已被“重新利用”以试图欺骗人们。“我们与SMS的关系正在发生变化。我们将它们视为来自为我们提供某些东西的合法组织。”在这一点上非常简单,这也使它们比电子邮件更私密、更个性化。安全。更重要的是,我们对这些骗局背后的人几乎一无所知,很少有人被抓到。“进入门槛很低,你不必成为某个庞大犯罪组织的一部分就可以参与其中。如果犯罪分子精通技术,他们也会在网上隐藏他们的所有踪迹。”最近被国家犯罪局关闭的SMSBandits等网站和无数其他网站允许诈骗者批量发送误导性信息,再加上数百万人的电话号码和个人信息可以在网上以相对便宜的价格购买,这些因素助长了骗局的迅速扩大。.例如,NameCheap.com被发现托管了200多个网站,骗子利用这些网站冒充皇家邮政。然后是“号码欺骗”。与哈特利的案例一样,只要具备足够的技术诀窍,就可以很容易地模仿官方求助热线的手机号码,让骗局看起来可信。“欺诈即服务”在欺诈性诈骗中很常见,犯罪者从第三方购买技术来实施这些犯罪,并向他们支付一部分利润。所有这些都有助于使这些骗局具有说服力,并使犯罪分子更难识别和抓住它们。相关骗局发生后,多数主管部门只是简单提醒消费者“小心”。自大流行开始以来,皇家邮政已发出多次此类警告,但尚未宣布即将实施的任何技术更新。“目前,用户不堪重负,无法确定什么是骗局,什么不是,”拉希德说。当这些伪装得与真实事物无法区分时,个人发现骗局的压力尤其成问题。“应该收到短信,应该点击链接”。只是告诉消费者“保持警惕”从根本上忽略了成为这些缺点之一的意义。我们可以为此做更多的事情。首先,治安存在问题。在2020年向ActionFraud报告的350,000条诈骗消息(估计耗资21亿英镑)中,只有约1.4%被起诉。尽管欺诈占所有犯罪的30%以上,但只有不到1%的警务资源用于打击欺诈。“我过去常常与政策制定者交谈,以决定投入多少资源用于数字犯罪,即使这只是一小部分,”曾领导警方网络犯罪的摩尔解释道。除了缺乏资源之外,问题还在于执行警务的方式。根据摩尔的说法,警务过于“被动”——只有在犯罪者可能早已不在时才采取行动。他说,更积极主动的警务将是抓人的唯一方法。例如,冒充受害者欺骗攻击者,然后向攻击者发送包含恶意软件的电子邮件和消息,以跟踪他们的IP地址或入侵他们的网络摄像头。除此之外,首先需要让骗子更难实施欺诈。一种方法是针对SMS诈骗的特定部分,例如号码欺骗,以降低其有效性。SenderID通常通过接听电话、根据列表验证号码来工作。但缺少中央ID数据库意味着该系统容易受到欺骗。作为回应,该行业推出了SMSSenderIDProtectionRegistry,试图创建一个集中的消息和号码数据库,使某些官方号码更难被模仿,同时也阻止诈骗者使用的号码。关于如何处理技术进步的意外后果,存在更大、更棘手的问题。SMS概念是在20世纪80年代初开发的。2021年沦为骗子的工具。“我们需要思考:犯罪分子可以用它做什么?”拉希德说。“我们在设计它时没有做足够的威胁建模。”骗局。对于SMS,这可能意味着在几乎没有能力识别、保护或有效筛选用户及其消息的平台上提高安全性。“目前没有自我监管,”工党议员兼工作和养老金特别委员会主席斯蒂芬蒂姆斯说。“我们不能再采取这种不干涉的做法。”作为新在线安全法案的一部分,蒂姆斯和其他国会议员正在推动政府在欺诈方面发挥更积极的作用。政府表示它可能会支持这一变化,这意味着没有足够安全措施的假冒皇家邮政网站或银行的域名托管服务商可能被迫保护其用户免受此类诈骗或面临罚款风险。但是,与任何互联网监管一样,所有这一切都是有代价的。使这些骗局如此成功且难以关闭的系统也是安全、可靠和开放的互联网的基石。“我们需要明白,这不是一场零和游戏,”拉希德说。“当我们谈论监管时,我们必须记住,减轻对一个特定群体的伤害可能会对另一个群体造成伤害。”相关报道:https://www.wired.co.uk/article/royal-mail-text-message-scams【本文为专栏组织大数据文摘原文翻译,微信公众号《大数据文摘》(id:BigDataDigest)"]点此查看该作者更多好文
