聲音釣魚的日常運作揭秘
2025年1月7日
面對電話詐騙的威脅,Apple 和 Google 經常警告用戶,他們不會通過電話主動聯繫。然而,有關一個活躍的聲音釣魚團夥的內部運作的新細節顯示,該團夥經常濫用 Apple 和 Google 的合法服務,對用戶進行多種外部通信,包括電子郵件、自動電話和發送到所有登入設備的系統級信息。
近日,KrebsOnSecurity 講述了一位名叫 Tony 的加密貨幣投資者的故事,他在一次精心策劃的聲音釣魚攻擊中被盜取了超過470萬美元。在 Tony 的事件中,詐騙者似乎最初通過 Google Assistant 聯繫他,這是一種可以進行雙向對話的 AI 服務。詐騙者還濫用了 Google 的合法服務,向 Tony 發送了來自 google.com 的電子郵件,並向他所有登入的設備發送了 Google 帳戶恢復提示。
今天的故事基於 Tony 的搶劫案,並分享了一名詐騙者的新細節,解釋這些聲音釣魚團夥如何濫用 Apple 的合法電話支持線路來生成 Apple 向其客戶發送的 "帳戶確認" 信息提示。
釣魚攻擊的具體操作
在詳細介紹 Apple 詐騙之前,我們需要重新審視 Tony 的案例。用於盜取 Tony 大約470萬美元加密貨幣的釣魚域名是 verify-trezor[.]io。這個域名在2024年2月的安全公司 Lookout 的報告中出現過,該報告發現它是由一個被稱為 “Crypto Chameleon” 的活躍聲音釣魚團夥使用的數十個域名之一。
團夥內部角色分工
Crypto Chameleon 大膽地試圖聲音釣魚美國聯邦通信委員會 (FCC) 的員工,以及 Coinbase 和 Binance 的加密貨幣交易所的員工。Lookout 的研究人員發現,多個聲音釣魚團夥正在使用一個新的釣魚套件,該套件模仿 Okta 和其他身份驗證提供商的單一登錄頁面。
這個釣魚套件由一名被稱為 “Perm” 或 “Annie” 的網絡犯罪分子運營和出租。Perm 是 Telegram 上一個名為 Star Fraud 的主要網絡犯罪社區的現任管理員,該社區已成為聲音釣魚攻擊創新的溫床。
Perm 在 Star Fraud 和其他 Telegram 頻道上發佈的許多消息顯示,他與另一名網絡犯罪分子 “Aristotle” 或 “Stotle” 密切合作。去年某個時候,Stotle 與曾經的合作夥伴 Perm 決裂,分享了極為詳細的視頻、教程和秘密,揭示了這些釣魚面板如何運作。
Stotle 解釋說,每次搶劫的戰利品分配事先由所有參與者決定。一些同謀者會為每次電話支付固定費用,而其他人則承諾獲得任何被盜總額的百分比。負責管理或將釣魚面板租給他人的人通常會從每次盜竊中抽取一定比例的分成,Perm 的情況下為10%。
釣魚攻擊的技術細節
當釣魚團夥確定目標時,詐騙者會創建並加入一個新的 Discord 頻道。這允許每位登錄的成員分享他們當前屏幕上的內容,這些屏幕排列在一系列方框中,以便每個人都能同時看到其他參與者的屏幕。
每位參與者在通話中都有一個具體角色,包括:
- 呼叫者:負責與目標進行社交工程的講話者。
- 操作員:管理釣魚面板的人,默默地將受害者從一個頁面移動到另一個頁面。
- 掏空者:登入受害者的已被入侵帳戶並掏空其資金的人。
- 所有者:釣魚面板的擁有者,經常會聆聽並參加詐騙電話。
騙術層出不窮
在一段現場聲音釣魚的視頻中...