网络诈骗,全员沦陷
2021-06-23freelee
freelee
《西蒙妮》剧照
“我们炮制骗局的能力,已经超越了识别骗局的能力。”在电影《西蒙妮》中,阿尔·帕西诺饰演的男主角如此感叹。本片的英文名将“Simone”单词中的两个字母替换成数字,写作“S1m0ne”。只要略懂计算机基础知识,就能看出这暗示了计算机的二进制计数法。这部片子讲述的,正是虚拟演员“S1m0ne”,如何经过包装后让全世界观众以为这是一个真实存在的人类“Simone”。
作为虚拟演员骗局的始作俑者,帕西诺饰演的男主角最终为这场欺骗付出代价。而现实中,网络诈骗制造损害的形式五花八门。从普罗大众到跨国企业到政府机构,都曾成为网络诈骗的瓮中之鳖。
尼日利亚骗局:针对“笨蛋”
“瓮中之鳖”意味着受害者没有反抗之力、束手就擒。确实有一些骗局,几乎可以确保沾染上的人无法摆脱损失之厄运。
譬如 “尼日利亚骗局”。骗子群发邮件,声称自己在尼日利亚(或其他非洲国家)拥有一笔巨大的资产,但因为各种身份验证或交通问题无法提取。诈骗者请求收到邮件的人支付一定数额的款项,或者提供银行账号接收一笔资金,以帮助其解决当前的麻烦。骗子承诺会将资产的可观比例分给收件人。
绝大多数人显然不会相信这种来路荒唐的天上馅饼,但骗子本身也无意跟绝大多数人玩智力游戏。背景故事看上去越无稽,越能精准定位骗子的“目标客户”—因为“笨蛋”才会上当。那些无法从一开始就看出骗局端倪的人,往往也难以在涉及敏感交易或信息的最后关头提高警惕,骗子希望收割的正是这一类对象。
而对于一开始存在疑心的人,骗子需要多费唇舌令其放下警惕,沟通成本偏高、得手成功率偏低,效益并不喜人。所以,瞄准“笨蛋”才是“增效”的法门。
虽然目标是“笨蛋”,但诈骗者有时也智商不高。英国计算机专家迈克·贝里,以“反戏弄”尼日利亚类诈骗者而著称。贝里挂着神父、企业家、艺术家等身份,与诈骗者打交道,最后反而能骗得诈骗者自拍一张举着“蠢货”牌子的照片,或者抄写一遍魔幻小说《指环王》。
英国计算机专家迈克·贝里,能骗得诈骗者自拍一张举着“蠢货”牌子的照片。
作弄骗子大快人心,但实际上,尼日利亚骗局依然活跃。2019年,美国安全系统公司“安达泰”发布报告指,2018年该骗局造成的损失为70.3万美元,2016—2018年平均每名受害者损失2133美元。
“419吞噬者”网站收集到骗子被反骗的素材
贝里在2003年建立了网站“419吞噬者”(419eater.com,“419骗局”是尼日利亚骗局的另一种称谓,来源于尼日利亚的诈骗类犯罪代码为“419”),原意是收集骗子反被骗的素材嘲笑他们,但最终变成受骗者交流的平台。网站现在仍在运行,讨论的骗局从经典尼日利亚骗局,延伸到爱情骗局、彩票骗局、钓鱼骗局等14种骗局,可见十多年后网络骗局依然猖獗。
信用卡网络诈骗:始于电子商务年代
尼日利亚骗局的雏形,可以追溯到18世纪的“西班牙囚犯”骗局。骗子声称自己是或认识一名财大气粗的要人。要人受诬告被关在监狱中,需要秘密募集钱财搭救。受骗者在丰厚回报的诱惑下交钱,最终损失惨重。
太阳底下无新事,西班牙囚犯骗局在300年后依然以换汤不换药的形式兴风作浪。不过,今天尼日利亚骗局伤害范围主要限于个人,而另一种历史悠久的“信用卡诈骗”,则令个人和企业都深受其害。
1994年,电子商务日渐流行,相关网络诈骗手段也逐渐浮出水面。骗子将盗取的信用卡挂上名人名字,然后用其购物。这同样是一种今天来看堪称“弱智”的诈骗手段。店家收到来自比尔·克林顿、史蒂文·斯皮尔伯格、布鲁斯·韦恩、米奇老鼠的下单,竟然还是乐呵呵地发货—他们还在为通过虚拟世界获得生意而感到兴奋,失去了应有的戒备心。
到商家们开始了解骗子伎俩时,骗术也不断升级。有人编写了可以生成真实信用卡号的程序,骗子轮流尝试不同卡号,总有能用上的机会;有人发现网络商城的漏洞,从中盗取已有的老用户信用卡信息;有人伪造商城,让顾客主动把个人资料交到骗子手上……
目前主流的信用卡诈骗,以“不展示实体卡”(Card-not-present,简称“CNP”)形式进行。在线上信用卡消费过程中,消费者不必展示实体卡片,一般提供卡号、卡有效期和三位安全码(CVV)即可完成交易。骗子需要的正是这些信息,然后登陆各大商城大肆消费。
信用卡诈骗属于双向诈骗。商家的损失尤其明显。因为按照惯例,如果因为卡号流出而出现盗刷,信用卡持有人无需担责,相关损失由发卡机构或商家赔偿。
据反欺诈安全顾问公司“清晰销售”(ClearSale)的估算,2016年每发生1美元的信用卡线上盗刷,商家要承担2.4美元的损失。损失主要来自退款、手续费和货物补充。另一家网络安全公司瞻博(Juniper)则发表报告称,估算2018—2023年的信用卡网上盗刷行为,将为零售商带来高达1300亿美元的损失。
商家损失惨重,消费者同样会成为信用卡诈骗的受害者。典型案例是“黑卡交易”。骗子利用盗取的信用卡资料(黑卡),购买线上商城礼品卡、数字游戏、数字音乐等,再低价卖给消费者。一旦商家认为虚拟商品是通过黑卡购买,轻则取消虚拟商品擁有者使用相应产品的资格,重则封禁其账号。无论是哪种惩罚程度,贪小便宜的消费者最终都会财物两失。
钓鱼:锋利鱼钩命中人性弱点
盗窃信用卡资料一般通过三种方式:
侵入数据库—由于发卡机构、银行、线上商户等均存储大量用户信用卡信息,一旦数据库被侵入,信息就会流出;
物理盗窃,利用客户拿出实体卡刷卡的机会,用做了手脚的刷卡机,通过信用卡磁条复制信用卡信息,这种方式如今可行性已大大降低,因为发卡机构通常都在信用卡上加入了可反复更新加密信息的芯片;
钓鱼,利用伪造信息、故事、说辞,引诱卡主主动提供信用卡信息。
三种手段中,钓鱼是最具“心机”的手段,因为需要受害者“主动就范”。尼日利亚骗局是经典钓鱼模式,主要瞄准存在贪念的人。美国大兵骗局则走“感情欺骗”路线,令期待一场浪漫爱情的人遗憾失足。骗子假扮在海外服役的美军士兵,通过社交网络群发好友邀请、物色下手对象。无论骗子对网友的情话有多甜蜜,话题最终只会走向唯一一个方向:向网友要钱。
店家收到来自比尔·克林顿、史蒂文·斯皮尔伯格、布鲁斯·韦恩、米奇老鼠的下单,竟然还是乐呵呵地发货。
虽然骗局并不高明—例如有骗子谎称自己在伊拉克,可说早安打招呼时忘记考虑时差—但骗子瞄准的是网友对浪漫交往的向往心态,以嘘寒问暖、深情款款甚至求婚等招式发动攻势。部分跨国网恋类的案例中,骗子更承诺前往网友所在的国家与其共度余生。虚假的缠绵依然有打动人心的力量,尤其是情场如战场,谁能保证自己在美好的爱情承诺中保持理智呢?
无论是因求财还是求偶而受骗,有人认为这都是贪心者咎由自取。天降横财和神仙姻缘,哪有这么容易出现?但钓鱼对人性弱点的拿捏不仅在于“贪”,还在于“惧”、在于“懒”、在于其他情绪。收到银行账户涉嫌洗钱的邮件,收件人难免一时慌张、走进骗子设定的连环套;想留学、提升学历或学习技能,却错误登录了骗子制造的山寨官网,这些有志于学的朋友如果多点心眼,留意网站的网址结构或者页面设计,或许就能避免上当。
在骗子精心炮制的心理游戏中,政府部门都未必能躲过陷阱。2019年4月,芝加哥航空局收到一封似乎由供应商天际线管理公司(Skyline Management)发来的邮件,邮件声称银行账户有变。该局向此账户打入了115万美元,却在不久之后被天际线管理公司申诉欠款。这时大家才知道遇到骗子。幸好,骗子账户所在的富国银行及时作出冻结处理,芝加哥纳税人的钱没有流入骗子腰包。
相比之下,波多黎各政府出资建立的“工业发展公司”就未能力挽狂澜。同样是收到账户变更邮件,工业发展公司在发现可疑情况之前,已经向骗子转账了250万美元。
网络诈骗:无法拦阻的进化脚步
这类以供应商更换账号为名义展开的骗局,有专门的称谓—商务邮件协定骗局(Business Email Compromise,简称“BEC”)。美国联邦调查局将BEC和钓鱼,定义为两种不同类型的网络犯罪模式。在其2021年发布的《2020年网络犯罪报告》中,钓鱼类案件高居各类网络犯罪案件的数量榜首,多达24万宗,是排名第二的“不发货/不付款”类案件数量的两倍。而BEC造成的金额损失最大,高达18.6亿美元,是排名第二的“信用骗局/爱情骗局”的三倍多。
此前,联邦调查局还在一份声明中披露,从2018年11月到2020年9月,每宗BEC诈骗的损失金额小至1万、大至400万美元,从州政府到地方政府、保留地政府,都是攻击的主要目标。
BEC、爱情骗局都属于钓鱼,足见钓鱼已经成为网络诈骗的“显学”。
从诈骗思路来看,BEC、爱情骗局都属于钓鱼,足见钓鱼已经成为网络诈骗的“显学”。骗局原始,上当的人不断增多、损失不断累积,相比起利用人性弱点,钓鱼手法更多是利用“信息差”得逞:受害者要么疏于留意各类骗局信息,要么对骗子所谈及的领域没有基础认知,要么有太多其他信息需要处理而忽略了识别骗局的关键细节,最终看不出别人眼中的明显破绽。
然而,这是一个信息爆炸的世界,这是一个“信息茧房”不断将人们关心的话题锁死在局部限定领域的世界。了解骗局、识别骗局,难度可能越来越大—这并非骗局水平升级,而是人们认知骗局的渠道在收窄。
从“电子商务原始时代”的名人骗局,到如今层出不穷、十多种分类的骗局,网络骗局的进化水平始终走在反诈骗者的认知水平之前。隨着网络环境的变化,“道高一尺、魔高一丈”的网络诈骗斗争形势,只会日益严峻。
