随着科技的发展,网络诈骗的手段也日益翻新和复杂。近年来,特别是在加密货币市场火爆的背景下,针对苹果(Apple)和谷歌(Google)用户的钓鱼攻击不断升级,尤其突出的是一种冒充官方客户支持团队开展的语音钓鱼(voice phishing)攻击。这种攻击不仅技术手段高超,更具备极强的社会工程学特征,给用户的资金安全和个人隐私带来了极大威胁。 所谓语音钓鱼,是一种通过电话等语音通讯方式骗取目标受害者信任,以获取账号密码、个人身份信息、甚至金融资产的欺诈行为。不同于传统的钓鱼邮件,这类攻击利用了电话假冒技术(号码伪装)和精准的信息战术,让受害者误以为自己正在与苹果或谷歌等知名企业的官方支持团队通话,使其放松警惕。 其中,名为"Crypto Chameleon"的恶意组织被安全研究机构Lookout曝出,专门通过模拟苹果和谷歌等公司的正规单点登录页面和系统通知,结合电话假冒,诱使用户重置账户密码并输入敏感信息。
该团伙不仅针对普通加密货币投资者,也将联邦通讯委员会(FCC)员工及大型加密货币交易所如Coinbase和Binance的员工作为攻击目标,成功盗取了大量加密货币和相关数据。 攻击流程通常始于黑客利用钓鱼套件,设计极其逼真的假登录页面,这些页面与Okta等认证服务极为相似,让用户难以辨别真假。随后,诈骗团队中的"话务员"会拨打受害人的电话,冒充苹果或谷歌客服人员,比如使用伪造的苹果客服电话号码(800-275-2273)并自称"Michael Keen"等虚假身份。话务员告诉受害者其账户存在异常,如未经授权的密码重置尝试,并声称会帮忙调查和发送设备提醒。 当受害者收到所谓官方发出的设备通知时,便认为当前通话可信度极高。随后,诈骗人员指导受害者按照假页面的提示操作,要求他们输入当前账户密码及手机验证码,甚至绑定新的账号信息。
伪造的登录页面会钓取这些信息,立即将其反馈给诈骗团伙的成员,以便登录受害者账户实施后续盗取活动。 本质上,这类攻击充分利用了两方面的弱点。首先是用户对苹果或谷歌官方通知及电话的信任度较高,往往不怀疑来电方身份。其次是当今多账户管理方式繁琐,用户一旦接收到密码重置提醒,往往手忙脚乱,难以判断信息真伪。另外,诈骗团伙利用过去泄露的用户数据对受害者进行精准定位,增加攻击成功率。 在受害者资料库中,黑客使用的信息源包括之前加密硬件钱包厂商如Trezor在2022年及2024年发生的数据泄露,使得诈骗手段更为精准有效。
攻击团队还会使用监测工具筛选具备活跃加密交易账户的目标,进一步缩小"猎物"范围,提高收益。 值得注意的是,"Crypto Chameleon"团队拥有明确分工,成员角色清晰,涵盖电话"话务员"、后台"操作员"、盗取资金的"转账者"和钓鱼工具的"拥有者"。这种专业化分工极大提高了诈骗效率,诈骗所得的资金按照事先设定的比例在成员间分配,其中工具提供方可能获得高达10%的提成。例如,名为"Perm"的大型网络犯罪集团,就是提供钓鱼工具并租赁给"Crypto Chameleon"团队的幕后黑手。 此外,内部矛盾使得部分成员爆料了整个作案过程,详细描述了如何伪造设备提醒、如何伪装电话来源、如何一步步诱导受害者输入信息、并展示了真实欺诈录音及视频,进一步证实了该组织的高超手法。例如诈骗团队曾通过类似手段成功骗取名人如商人Mark Cuban数万美元的加密货币资产。
针对这类语音钓鱼攻击,苹果公司在官方支持页面明确警示用户,从未要求客户在电话中提供或输入账户密码、设备解锁码、两步验证验证码等敏感信息,也不会通过邮件或电话通知用户点击未知链接。遇到疑似诈骗电话或短信时,用户应立即终止联系,避免交出任何个人信息。 面对日益猖獗的冒充客服的语音钓鱼威胁,用户提升安全意识至关重要。建议牢记以下几个应对原则:不轻信来电显示号码,特别是涉及账户安全的提醒;不通过电话或短信向陌生人员提供任何认证信息;针对账户安全通知,直接登录官方应用或官网核实;启用多因素认证(MFA),并使用独立安全设备生成验证码;关注官方安全公告,了解最新诈骗手段和防范建议;定期检查账户异常登录活动,及时修改密码。 企业也需加强防护,部署先进的身份验证手段,结合行为分析技术检测异常登录,提醒用户核实身份验证请求,设立专门渠道指导客户正确处理账户安全问题。安全厂商应持续追踪钓鱼工具源码、诈骗命令控制服务器及欺诈网络,配合执法机构开展联合打击,切断骗子资金链和技术支撑。
随着网络诈骗技术的不断演进,用户保护自身数字资产安全的挑战日益严峻。尤其是涉及品牌信誉极高的苹果和谷歌账户,一旦失陷将带来巨大的财产和信息损失。只有保持高度警觉,掌握科学的识别方法,勇于报警举报,才能有效遏制此类高级语音钓鱼攻击。 总体来看,冒充苹果和谷歌官方客户支持的语音钓鱼攻击,是基于精心设计的社会工程学策略,结合了电话伪装和仿真钓鱼工具,成功骗取了大量加密货币投资者及关键岗位员工的信任和账户控制权。对抗这种威胁除了依赖技术防护,更需要公众加强安全意识,企业完善多层次认证体系,以构建更加安全可靠的数字生态环境。 。
