「電話費未繳」簡訊是假的!新詐騙 Magic Mouse 每月盜走 65 萬張信用卡
你也曾經收到「電話費未繳」或「包裹沒有投遞成功」的簡訊通知嗎?這些訊息看似來自電信公司或物流業者,實際卻是一場騙局。一旦點擊簡訊中的連結,頁面就會導向偽造成電信或物流公司官網的釣魚網站,只要輸入信用卡資料,卡號、安全碼與持卡人資訊就會被迅速竊取。
這種以簡訊為載體的詐騙手段,因為流程簡短、欺騙性高、轉換率驚人,所以逐漸成為橫跨多國的常見網路犯罪手法。至於這場大規模攻擊的源頭,是從去年開始。
「Magic Cat」引爆大規模釣魚簡訊攻擊
2024 年間,一項名為「Magic Cat」的詐騙行動在全球多地活躍。資安研究人員估算,僅在去年七個月內,Magic Cat 至少竊取 88.4 萬筆信用卡資料,部分受害者因此承受數千美元的實質損失。
Magic Cat 的攻擊方式並非由單一團隊進行,而是開發者將釣魚頁面模板、後台管理、導流與部署教學等詐騙軟體打包後,販售給數百名「客戶」,這些下游買家不需技術背景,就能大量發送簡訊,形成去中心化、難以一次瓦解的犯罪網絡。
在調查後,Magic Cat 的核心人物指向一名代號「Darcula」的 24 歲中國公民 Yucheng C.,當他的真實身分被揭露後,Magic Cat 隨即停止更新,整體行動也快速降溫。
迅速崛起的 Magic Mouse 攻擊行動,每月竊取 65 萬張信用卡
隨著 Magic Cat 消失,一個新的、規模更大的詐騙行動「Magic Mouse」卻迅速崛起。Magic Mouse 不僅延續 Magic Cat 的攻擊模式,速度與規模甚至全面超越。
挪威資安公司 Mnemonic 的資安顧問 Harrison Sand 指出,Magic Mouse 目前每月至少竊取 65 萬張信用卡。雖然技術細節顯示這是一套由新開發者重寫、運作上與 Magic Cat 無直接關聯的系統,但其得以在短時間內壯大,關鍵在於「繼承」了 Magic Cat 過去使用的釣魚套件與模板資產。這些外流的套件涵蓋數百個模仿大型科技公司、熱門消費者服務與物流品牌的頁面,從視覺到流程幾可亂真,大幅降低受害者的警覺。
科技平台與金融機構應承擔更多防詐的責任
Magic Mouse 的攻擊可能在短時間內導致數百萬美元損失,但多國的執法現況仍面臨結構性困境。一方面,受害者報案往往分散於各地警局,難以在第一時間匯聚成系統性線索;另一方面,詐騙網絡本身分工精細、跨境協作與快速替換的特性,讓執法機關即使查獲個別節點,也難以長期壓制整個詐騙產業鏈。
因此,許多調查人員主張科技平台與金融機構需要承擔更多「前置性」責任:例如更嚴格的簡訊發送與連結掃描風險控管、更有效的行動錢包異常交易偵測,以及針對已知釣魚模板的快速封鎖和聯防通報機制。因為當電信、瀏覽器、雲端主機、電子支付平台與銀行等關鍵節點都能夠協同應對,詐騙者即使取得信用卡資料,也很難完成後續行動。
資安專家也提醒,對一般使用者而言,只要是要求「立即繳款」、「點擊查詢」或在陌生頁面填寫個資或卡號的簡訊與連結,都應該直接刪除。另外如果擔心真有未繳費的帳單或包裹延誤,應改用官方 App 或官網自行登入查詢,切勿透過簡訊中的連結進入。
從 Magic Cat 到 Magic Mouse,犯罪者不斷用更大規模的攻擊,讓詐騙鏈條變得更像「量產化的生意」。要真正扭轉這個現象,除了個人必須提高警覺,更需要平台與金融體系聯防協作,才能將詐騙的「轉換率」降到最低。
*本文開放合作夥伴轉載,資料來源:《TechCrunch》、《moneycontrol》,首圖來源:Pixabay。
留言 0