一条短信加上一个突如其来的视频来电,可能就让你的银行账户瞬间清零。这听起来像是过时的电话诈骗变种,但根据苹果公司最新发布的安全公告,一种利用FaceTime实施的“高仿真”社会工程攻击正在蔓延,威胁对象直指每一位iPhone和iPad用户。

苹果提醒,要把陌生的FaceTime请求与钓鱼邮件同等看待。网络安全机构Malwarebytes的研究进一步揭示,这波攻击的狡猾之处在于,它不是靠一封粗劣的短信链接,而是通过实时视频画面,把“我是银行客服”这个谎言演得极富现场感。攻击者武器化的不是代码,而是人性中天然的信任——当你见到一个穿着正装、背景挂着银行标识的人出现在手机屏幕上,心理防线便在一瞬间坍塌。

打开网易新闻 查看精彩图片

整个行骗流程被设计成一个环环相扣的剧本,连台词都是精心计算过的。

首先,你会收到一条措辞紧急的短信,告诉你账户出现可疑交易或存在重大故障,紧接着,一个毫不相干的FaceTime通话就会亮起屏幕。一旦接听,骗子便启动一套高度标准化的操控流程。第一步叫做“紧急情境构建”:对方会反复强调一笔正在发生的未授权转账,或者一个技术故障正在危及你的资金安全,语气急促得让你来不及思考。在那种被制造出来的危机感中,多数人的第一反应不是怀疑,而是配合。

攻击者趁热进入第二步——凭证收割。他们先会要求你“核实”银行卡号、有效期和安全码,还熟练地套出网上银行的用户名密码,甚至关于Apple ID的登录信息。每一句引导都包裹在“为了帮你拦截风险”的善意外壳里,让你几乎意识不到自己正在主动交出钥匙。更极端的情形下,这套剧本还会推进到第三步:系统接管。骗子会一步步指导你安装远程访问工具,或者要求你立即念出刚刚收到的双重认证验证码。

到这里,整个攻击已经不再是传统的“骗你点链接”,而是一次由真人实时出演、持续十几分钟的沉浸式诈骗体验。正因为视频通话天然打破了人们对陌生信息的心理戒备,骗子甚至不需要动用任何零日漏洞,光靠套话就能把账户洗劫一空。

而这还不是事情的全部。Malwarebytes的安全研究员指出,这类社会工程攻击正在被快速整合到多阶段入侵链中,其危害远不止转走账上余额那么简单。

在一次看似无害的视频对话中窃取到的凭证,随时可能被攻击者与受害者设备上正在运行的其他软件缺陷进行联动利用。如果骗子在通话中发来一个“安全验证”网页链接,并且那个页面被埋了已公开的浏览器漏洞,那么仅仅在网页后台,恶意的有效载荷就能悄悄在手机上执行。这一过程完全静默,受害者甚至还没来得及退出通话,攻击者就已经从应用级权限横向移动到了系统层控制。

也就是说,一张银行卡的丢失只是起点。借助这类组合拳,攻击者可以一步步把普通App层面的访问权限扩大到整台设备的管理员权限,实现完全的系统接管。类似DarkSword这样的高级持续性攻击活动,正是利用这套方法论大行其道。它再一次敲响警钟:拖延设备更新、不对系统补丁保持敏感,等于给攻击者留出了一条持续扩张控制权的宽广通道。很多威胁组织专门蹲守那些未及时安装更新的设备,把这段空窗期作为初始入侵后的横向移动窗口,这与近期不断演化的iPhone钓鱼攻击趋势完全一致。

那么,面对这种把真人社交工程做到“沉浸式剧场”级别的攻击,普通用户和企业防护该怎么应对?答案实则朴素得惊人:记住一个铁律就够了——任何银行或苹果官方技术支持,绝对不会通过FaceTime来处理紧急安全事件或进行人工追回款项的操作。

如果你接到一通突如其来的短信加视频通话,对方要求你当场输入密码、展示卡号或者共享屏幕,那无论它的来电显示和制服多么逼真,都不值得信赖。最稳妥的做法是立刻挂断,然后自行通过银行App或官方网站上已知的客服渠道核实账户状态。当对话内容从“提醒”滑向“索要”,安全边界就已经被踩在了脚下。

说到底,这波攻击最聪明的地方,也是它最讽刺的地方:它没有用任何高深的技术,只是利用了一个视频窗口,把人们面对“真人”时本能选择相信的那一点善意,转化成了最锋利的盗取工具。