HackerNews 编译,转载请注明出处:
美国多个城市正在警告一场正在进行的移动网络钓鱼活动,该活动通过伪装成城市停车违规部门的短信,通知用户未付停车发票,并声称如果未支付,将每天收取35美元的额外罚款。
尽管停车诈骗已经存在多年,但最近一波大规模的网络钓鱼短信已导致美国多个城市发布警告,包括安纳波利斯、波士顿、格林尼治、丹佛、底特律、休斯顿、密尔沃基、盐湖城、夏洛特、圣地亚哥、旧金山等。
此次短信浪潮始于去年12月,并一直持续至今。BleepingComputer 本周早些时候也收到了针对纽约居民的钓鱼短信。
这些短信声称来自城市停车违规部门,通知用户有未付的停车发票,如果未支付,将每天收取35美元的逾期费用。短信随后提示用户点击链接以支付罚款。
“这是纽约市关于未付停车发票的最后提醒。如果今天不付款,将每天收取35美元的逾期费用,”钓鱼短信写道。
同样的钓鱼模板也被用于其他城市的未付停车发票短信中。
为了规避检测,诈骗者利用Google.com的开放重定向,将用户引导至伪装成目标城市的钓鱼网站。例如,纽约市的钓鱼网站是nycparkclient[.]com。
过去一年中,苹果引入了一项安全功能,禁用了来自未知发件人或可疑域名的短信中的链接。由于Google.com是一个受信任的域名,苹果iMessage不会禁用该链接,因此使用公司开放重定向更容易诱使用户不慎点击链接。
在纽约市的钓鱼活动中,点击链接会进入一个伪装成“纽约市财政局:停车和摄像头违规”的网站,提示用户输入姓名和邮政编码。
此时,用户可以输入任意姓名和邮政编码,随后将被引导至一个页面,声称“您的车辆在纽约市有未付的停车发票。为了避免每天35美元的滞纳金,请立即结算您的余额。”
所欠金额因活动而异,BleepingComputer收到的短信显示我们欠4.60美元。
从下面的图片可以看出,这是一个骗局的明显迹象,因为美元符号显示在金额之后,而不是之前,这在美国是不寻常的。这进一步表明钓鱼诈骗是由美国以外的人创建的。
点击“现在处理”按钮会将用户引导至一个屏幕,诈骗者在此试图窃取用户的数据,包括姓名、地址、电话号码、电子邮件地址,最终还有信用卡信息。
这些信息随后可能被用于各种恶意活动,包括进一步的网络钓鱼攻击、身份盗窃、金融诈骗以及将数据出售给其他威胁行为者。
一般来说,如果您收到未知电话号码或电子邮件地址发来的短信,要求您点击链接、付款或以某种方式回应,您应该报告并封锁该号码,而不是轻信。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
