去年你还在删"ETC欠费"短信,今年骗子已经学会伪造法院传票了。Bleeping Computer最新监测数据显示,一种植入二维码的虚假交通违章通知正在美国各州快速蔓延,受害者平均损失从6.99美元的小额"罚款"开始,最终往往被盗刷数千美元。
这种诈骗的狡猾之处在于它完美复制了政府公文的视觉语言。短信发件人显示为"State Court"或具体州名法院,正文以"NOTICE OF DEFAULT(违约通知)"开头,附带一个看似正规的案件编号。用户扫描二维码后,会被引导至一个高度仿真的支付页面,要求输入信用卡信息缴纳6.99美元的"行政处理费"。
网络安全公司Sekoia的研究人员追踪发现,该诈骗团伙的运营基础设施与2024年活跃的"假高速通行费"短信 campaign 高度重合。当时骗子冒充E-ZPass等收费系统发送欠费提醒,诱导用户点击钓鱼链接。升级到二维码版本后,攻击者成功绕过了部分短信安全过滤机制——因为纯文本短信中的恶意链接容易被识别,而二维码将URL隐藏为图像,增加了检测难度。
FBI网络犯罪投诉中心(IC3)在2024年年度报告中将此类攻击归类为"quishing"(二维码钓鱼),并指出其投诉量同比激增51%。更值得警惕的是,6.99美元这个定价经过精心设计:足够低到让人懒得核实真伪,又足够高到覆盖批量购买被盗信用卡信息的成本。
一条短信的完整解剖:骗子如何让你放下戒心
让我们拆解一条真实的诈骗短信样本。发件人ID被伪造成"StateCourt-AL"(阿拉巴马州法院),正文写道:"您因未处理的交通违章已被登记违约。案件编号:AL-2024-78432。请于48小时内扫描下方二维码缴纳6.99美元处理费,以避免驾照吊销和额外法律费用。"
二维码指向的域名通常采用typosquatting技术,例如"statecourt-al.com"或"al-courtservices.net",与官方网站仅差一两个字符。支付页面使用了从美国各州法院网站抓取的徽标、配色和版式,甚至包含虚假的SSL证书锁标。安全研究员MalwareHunterTeam在Twitter上发布的截图显示,部分钓鱼页面的精细程度足以骗过有法律背景的用户。
支付流程的设计同样充满心理操控。页面首先要求输入车牌号和违章日期——这些信息骗子其实没有,但表单会"智能"地接受任何输入。随后跳转至信用卡信息页,这里才是真正的攻击目标。部分变种还会在提交后显示"支付失败,请更换卡片重试",诱导受害者输入第二张、第三张卡的信息。
Bleeping Computer从威胁情报源获取的数据显示,该诈骗活动自2024年11月起进入活跃期,在2025年1月至3月间达到峰值。攻击者采用了高度模块化的运营模式:同一套后端系统可以快速切换前端伪装,今天模仿佛罗里达州法院,明天就可能变成纽约州 DMV。
为什么二维码成了骗子的新宠
二维码的普及为攻击者创造了独特的攻击窗口。疫情期间养成的扫码习惯让公众对黑白方块的警惕性大幅降低——餐厅点餐、停车场缴费、健康码核验,这些日常场景训练出了近乎条件反射的扫码行为。骗子利用的正是这种行为惯性。
技术层面,二维码相比传统钓鱼链接有三大优势。第一,URL不可直视,用户无法像阅读文本链接那样快速识别异常域名。第二,二维码可以嵌入图片短信(MMS),绕过针对纯文本的过滤规则。第三,动态二维码允许攻击者实时更换后端URL,即使某个域名被封禁,已发送的短信仍然有效。
移动安全厂商Lookout的分析报告指出,2024年第四季度检测到的二维码钓鱼攻击中,67%针对金融凭证,23%针对企业登录凭据,交通违章类仅占约7%。但进入2025年后,后者的占比快速攀升至19%,显示出攻击者正在大规模复制这一模式。
美国各州政府的数字化进程也在无意中为骗局提供了素材。越来越多的州法院推出在线违章查询和缴费系统,官方短信通知成为常态,这模糊了真假边界。加利福尼亚州法院行政办公室在2025年2月专门发布声明,强调"本州法院不会通过短信发送二维码要求付款",但这则声明的传播范围远不及诈骗短信本身。
识别与防御:比"不扫码"更现实的策略
完全拒绝扫码在现代社会已不具可行性。更务实的做法是建立分层验证机制。收到任何要求付款的短信后,第一步应直接访问官方网站——不是通过短信中的链接或二维码,而是手动输入已知域名或使用书签。以交通违章为例,各州 DMV 或法院网站通常设有专门的违章查询入口,输入车牌号即可核实是否存在未处理记录。
对于二维码本身,iOS和Android系统都提供了预览功能。长按二维码选择"预览链接"(iOS)或点击"显示链接"(Android),可以在不访问的情况下查看完整URL。检查域名时重点关注顶级域名前的部分:官方站点通常是".gov"结尾,而钓鱼站点多为".com"或".net",且包含多余的连字符或单词。
信用卡层面,启用实时交易通知和单次虚拟卡号可以大幅降低损失。许多银行现在支持为在线交易生成一次性卡号,即使信息泄露也无法用于其他消费。6.99美元的"小额测试"是盗刷团伙的常用手段,发现任何不明小额扣款都应立即冻结卡片并联系发卡行。
企业安全团队需要关注的则是攻击的变种形态。Sekoia的报告提到,同一基础设施已被观察到发送"包裹滞留""税务退款"等主题的二维码钓鱼短信。攻击者正在将交通违章模式复制到其他涉及政府或物流服务的场景,利用相似的紧迫感和权威性诱导点击。
FBI在2025年3月的公众警报中特别强调了"quishing"的上升趋势,并建议收到可疑二维码的用户通过IC3.gov提交投诉。这些投诉数据直接影响执法资源的分配和域名查封的优先级。单个投诉看似微不足道,但聚合后的模式分析是追踪跨国诈骗团伙的关键。
技术对抗也在同步推进。Google Messages和Apple iMessage都已部署基于机器学习的二维码安全检测,对已知恶意域名发出警告。但攻击者的响应速度同样惊人:安全厂商Recorded Future观察到,部分钓鱼 campaign 的域名存活时间已缩短至4小时以内,采用快速轮换策略躲避黑名单。
这场攻防战的最终胜负可能取决于用户行为的微小改变。当6.99美元的"便利"与几秒钟的核实时间形成对比时,选择后者的人数比例,直接决定了这类诈骗的经济可行性。骗子精于计算投入产出比,而用户的集体警惕就是最昂贵的防御成本。
你最近一次扫码前,有没有先看一眼链接指向哪里?
热门跟贴