撰稿人:Lia / 責任編輯:Zaphyra
自2024年11月12日起,科技巨擘Google正式對非法網路釣魚套件的開發者提起法律訴訟,此舉標誌著針對大規模跨國金融詐欺犯罪的反擊進入司法程序,然而這僅是長達三年、涉案金額逾十億美元的龐大地下產業鏈冰山一角。聯邦調查人員與網路安全專家的聯合追蹤顯示,一組源自中國的組織化犯罪集團,正利用美國交通基礎設施的收費機制漏洞,對全美民眾發動史無前例的信令竊取攻擊。這些攻擊行動並非零星的個案,而是具備高度工業化特徵的系統性掠奪,其單日發送的詐欺簡訊數量在九月份達到三十三萬則的歷史高峰。犯罪集團利用民眾對公權力罰款的恐懼心理,結合精密的偽造網頁技術,不僅竊取靜態的信用卡資訊,更突破了傳統銀行安全認證的防線,將受害者的支付憑證數位化並轉移至犯罪者的控制設備中,形成了一種難以追查的資金流失管道。
這種犯罪模式的技術核心在於「即時授權碼的中繼攻擊」與「遠端非接觸式支付模擬」,徹底顛覆了過往金融犯罪受限於地理位置的防禦邏輯。當受害者在偽造的收費網站輸入敏感資訊並誤將銀行發送的雙重驗證碼視為繳費確認時,犯罪集團實則在數千公里外將該信用卡綁定至其持有的智慧型手機數位錢包中。為了規避銀行對於異地消費的風險控管機制,這些位於中國的操控者開發出專用軟體,將中國境內的NFC支付訊號,透過網際網路即時傳輸至位於美國境內的「車手」手機上。這意味著,當美國當地的同夥在實體商店進行高價消費時,其支付訊號實際上是由大洋彼岸的犯罪終端所發起。這種訊號橋接技術不僅欺騙了終端銷售設備(POS機),更成功繞過了發卡銀行對於跨國交易的地理圍欄限制,使防禦體系在物理層面上失效。
此類攻擊所獲取的非法收益流向,揭示了一個成熟且分工精細的全球洗錢網絡。犯罪集團利用竊取的數位支付權限,在美國境內大量購置iPhone、奢侈品手袋以及高額禮品卡,隨後透過阿里巴巴、eBay等電子商務平台或跨國物流體系進行折價變現。這不僅造成了美國金融體系的鉅額損失,更對全球電子商務的信任基礎造成嚴重侵蝕。Google的訴訟案指出,相關釣魚工具已導致全球一百二十一個國家、超過一百萬名用戶受害,顯示此類犯罪已非單純的治安事件,而是針對全球數位支付基礎設施的持續性威脅。面對此一嚴峻局勢,除了依賴使用者的警覺性外,金融機構與科技公司必須重新審視現行驗證架構的完整性,填補便利性與安全性之間的巨大鴻溝。
全文
Lia. Independent Media 台北報導
在數位支付全面普及的當代社會,一條僅有二十餘字的簡訊,足以在瞬間瓦解現代金融體系層層堆疊的安全防護網。聯邦調查局與資安專家的最新調查檔案指出,一場規模浩大、技術精密的跨國金融掠奪行動,正透過我們日常生活中最不起眼的手機螢幕滲透進數百萬美國家庭。這並非傳統意義上的暴力搶劫,而是一次針對人性弱點與科技漏洞的精準打擊。
心理防線的崩潰與初始滲透
一切始於一則精心設計的文字訊息:「緊急通知:您有一筆未繳納的過路費。請在十二小時內處理此罰款,否則您的車輛將被扣押。」對於大多數依賴車輛通勤的美國民眾而言,車輛被扣押意味著生活秩序的全面停擺。這種對生活失序的恐懼,成為犯罪集團最強大的武器。根據統計,僅在今年九月的單一日期內,美國民眾便接收到了超過三十三萬則此類詐欺簡訊。這些訊息並非隨機發送的垃圾郵件,而是中國組織化犯罪集團長達三年佈局的核心環節,其累計非法獲利已突破十億美元大關。
當受害者在恐慌驅使下點擊連結,便進入了一個外觀與官方網站幾無二致的釣魚頁面。這裡展示著一筆金額微小但足以取信於人的罰款—例如六點六九美元。正是這區區數美元的金額,降低了受害者的戒心,使他們在毫無防備的狀態下,依序輸入了姓名、住址以及最為關鍵的信用卡資訊。然而,對於犯罪集團而言,獲取靜態的卡號與安全碼僅是第一步,他們的最終目標是徹底接管該帳戶的數位支付權限。
數位憑證的中繼與授權碼劫持
傳統的信用卡盜刷往往受限於實體卡片的複製或線上交易的風險控管,但此次曝光的犯罪手法展現了極高的技術迭代特徵。犯罪集團的目標不再是單次盜刷,而是將受害者的信用卡資訊「代幣化」(Tokenization),並綁定至犯罪者持有的智慧型手機數位錢包(如Apple Pay或Google Pay)中。
在釣魚過程中,當受害者輸入卡號後,銀行系統會依據標準程序發送一組授權驗證碼至受害者手機,旨在確認將卡片綁定至新設備的合法性。然而,釣魚網站此時會彈出提示,謊稱該驗證碼是用於「確認過路費繳納」。受害者在資訊不對稱的誘導下,親手將這道最後的防線交給了犯罪者。一旦驗證碼被輸入,受害者的實體信用卡便在數秒內被複製為犯罪者手機中的數位憑證。至此,受害者的帳戶已實質上淪為犯罪集團的提款機,而受害者本人卻誤以為自己剛剛解決了一樁交通罰款糾紛。
空間距離的消失:跨洋訊號橋接技術
本次調查中最令人震驚的發現,在於犯罪集團如何克服跨國犯罪的物理限制。一般而言,若一張美國信用卡在中國境內的實體店面進行高頻消費,極易觸發銀行的反欺詐系統並導致凍結。為了規避此機制,位於中國的犯罪操盤手開發了一套複雜的訊號中繼軟體。
資安研究人員在阿姆斯特丹重現了這一攻擊場景,揭示了其運作機理:位於中國的操控者雖然持有綁定受害者卡片的數位錢包,但他們並不直接進行支付。相反,他們透過網際網路,將手機的NFC(近場通訊)訊號即時傳輸給位於美國境內的同夥手機。這些在美國當地被招募的「購物者」,手持裝有接收軟體的手機進入實體商店。
當美國店員要求感應支付時,美國同夥將手機靠近POS機,此時發生的數據交換路徑令人驚嘆,這是一段橫跨太平洋的數位旅程—POS機的請求訊號經由網際網路傳輸至中國,中國端的數位錢包進行加密回應,再將授權訊號回傳至美國的POS機—整個過程在毫秒級的時間內完成,且完全模擬了本地交易的特徵。對於銀行系統而言,這筆交易發生在受害者居住的城市或鄰近區域,地理位置驗證完全吻合,因此不會觸發任何警報。
地下經濟的物流與洗錢循環
這條犯罪鏈條的終端,是一個龐大且高效的銷贓網絡。透過上述技術,犯罪集團在美國境內大肆採購高變現價值的商品,包括最新款的iPhone、名牌手袋以及大額禮品卡。這些商品隨後被迅速轉手。部分商品直接在當地的黑市流通,更多則透過跨國物流運往海外,最終出現在阿里巴巴、eBay等全球電子商務平台上,以低於市價的折扣出售。
這種「盜刷—購物—轉售」的模式,不僅完成了資金的清洗,更將非法所得轉化為合法的商業營收。每一筆在電商平台上的特價交易背後,都可能對應著一名美國受害者被盜用的信用額度。這個地下產業鏈的運作效率之高,使得追查資金流向變得異常困難。商品一旦進入物流體系,便如同水滴入海,難以溯源。
法律反制與信任體系的危機
針對此一猖獗的犯罪態勢,Google於2024年11月12日採取了具有指標意義的法律行動,起訴了一家涉嫌開發並販售釣魚套件的供應商。訴狀中指出,該供應商提供的工具已協助詐騙集團在全球一百二十一個國家、欺騙了超過一百萬名用戶。然而,法律訴訟僅能打擊工具的提供者,對於分散於中國境內、隱匿於加密通訊背後的實際操作者,跨國執法的難度極高。
這一系列案件所暴露的,不僅是技術漏洞,更是現代社會信任機制的脆弱性。我們依賴簡訊接收政府通知,依賴數位錢包進行便捷支付,依賴銀行系統保護資產安全。然而,犯罪集團正是利用了這些依賴關係,將便利性轉化為攻擊面。當官方的執法威嚇(如扣押車輛)被用作詐欺的素材,民眾對於公共通訊的信任感將逐漸剝離。
此外,該案也凸顯了金融驗證架構在面對「中間人攻擊」(Man-in-the-Middle Attack)時的無力。現行的雙重驗證機制(2FA)在防範憑證竊取上雖有一定成效,但當用戶本身被社會工程學(Social Engineering)手法誤導時,技術防線便形同虛設。
防禦的最後一哩路
面對如此精密且產業化的攻擊,單純依賴技術修補已不足以應對。這需要金融機構、電信運營商與科技平台之間的深度情報共享與聯防。對於終端使用者而言,認知的重構至關重要。任何涉及「即時行動」或「嚴重後果」的未預期訊息,都應被視為潛在的威脅。在按下確認鍵或輸入驗證碼之前,冷靜的查證與思考,或許是這場數位攻防戰中,個人所能掌握的最有效防禦武器。當數位世界的便利性不斷擴張,我們維護自身安全的成本,也隨之變得更加高昂且複雜。
資料來源
WSJ - How Chinese Criminals Steal Your Credit Card With Just One Text
https://www.google.com/search?q=https://www.wsj.com/video/series/wsj-investigates/how-chinese-criminals-steal-your-credit-card-with-just-one-text/F2013892-C029-4595-A200-F72382D4F074
Google Security Blog - Disrupting the cybercrime ecosystem
https://www.google.com/search?q=https://blog.google/technology/safety-security/disrupting-cybercrime-ecosystem-lawsuit/
FBI Internet Crime Complaint Center (IC3) - Public Service Announcement on Smishing
https://www.google.com/search?q=https://www.ic3.gov/Media/Y2024/PSA240912
Krebs on Security - The Rise of SMS Phishing and Relay Attacks
https://www.google.com/search?q=https://krebsonsecurity.com/2024/11/sms-phishing-relay-attacks/
Federal Trade Commission - Consumer Alert: Fake Toll Road Texts
https://www.google.com/search?q=https://consumer.ftc.gov/consumer-alerts/2024/04/got-text-about-unpaid-toll-it-could-be-scam
The Record - Google sues developers of 'Creepy' phishing kits
https://www.google.com/search?q=https://therecord.media/google-sues-phishing-kit-developers
Recorded Future - Ghost-Tapping and the Chinese Cybercriminal Retail Fraud Ecosystem
https://www.recordedfuture.com/research/ghost-tapping-chinese-criminal-ecosystem