Site icon Sophos News

問卷詐騙揭密 – 如何用無害問題竊取個人資料

作者 Paul Ducklin

最近,我們收到了大量的調查詐騙郵件,可能您也收到了不少。

我們想帶您經歷一場最近發生的騙局,並附上截圖以記錄騙子是如何引誘我們的。

有時,一張圖片的效果比得上千言萬語,因此我們希望這次視覺之旅對您有所幫助,以便您可以向朋友和家人出聲提醒。

畢竟,回答一些假的匿名問題似乎不會造成什麼危害,例如「如果以後新店開幕,您會親自造訪我們的商店嗎?」或是「您多久會瀏覽一次我們網站上的新產品?」

許多品牌業者都會提出這種類型的問題,有時還會提供小額報酬給填寫調查表的受訪者,例如下次購買時可獲得 5 美元的優惠,或是下次訂購時可獲得價值合理的免費產品。

然而,詐騙者的目的遠不只是這樣。

通常,網路犯罪分子會先以看似可信的承諾吸引您,但突然暗示您是少數幸運兒之一。您可獲得遠不只是下次購買時的 5% 折扣。

但是有陷阱等著您…

當心陷阱

這是我們上週末收到的一封郵件。這封郵件寄到了我們舊的澳洲電子郵件地址,騙子假裝成澳洲一個知名品牌來吸引我們。

但是我們最近也收到了一波類似的德文郵件 (假裝是發自某個德國主要的購物品牌),以及來自美國知名品牌的「優惠」。這些優惠寄到了我們的多個網際網路公司電子郵件地址。

因此,無論您身在何處,您或家人所收到的調查詐騙很可能都是以您熟悉的品牌名稱出現。

在這個範例中,騙子竊用身分的品牌是澳洲知名 DIY 連鎖店「Bunnings」:

如您所見,騙子一開始非常斯文有禮。他們提供一定的禮物吸引您,例如「健康、護膚產品等」。

幸運的是,他們在早期就犯了一些明顯的錯誤。

電子郵件中的日期不正確 (晚了幾週),這與郵件中表達「趕快行動」的急迫性相違背,而且 DIY 連鎖店並不是會用護膚產品吸引您,而應該是用建築材料和電動工具。

儘管如此,如果您點進去看,畫面看起來還可以,因為詐騙分子偷用了 Bunnings 的視覺畫面:

接著進行問卷:

我們猜詐騙分子在下一個階段搞砸了。

我們認為看似正常的問題是從一份過去的真實調查中挑出來的,因為它們的拼字和語法要比詐騙中的其他部分要好。但顯然之前進行問卷的業者是雜貨店而非五金行:

(這裡我們只看到 6 個問題中的 3 個,因為我們在問題 2 和問題 5 回答了從不 (Never)和沒有 (None);當我們再次嘗試回答不同的答案時,調查會進一步問到其他可能會是您預期中的問題 – 如果調查的業者是雜貨店的話。)

接著會出現一個虛假的通知,宣稱您的「問卷」正在「處理中」。請注意騙子會加油添醋說「有 38 位受訪者,但僅剩 6 份獎品」,試圖給您一種領先於其他人的感覺:


這是一個常見的把戲 – 除了可以增加急迫感和重要性 – 也是用禮物讓您踏入騙局的有用手法。

畢竟,最初的誘因就是您是被選中參加調查的 250 個人之一,但只要參加就有資格獲得禮物。

如果這是真的話,那麼得讓您先知道有多少人參加調查,以及禮物不會突然就被領光。

但是,現在只剩下 6 份禮品 (而且全世界被選中參加調查的 249 個人中,竟有 38 個在線上)。

請記住,如果您正參加一項問卷,但發現不太合理 (任何地方),那麼您必須立即離開該網站,以免被騙走任何個人資訊。

合法公司進行的真正調查應會先進行清楚的說明,因此如果規則有變,那就是詐騙。

如同許多詐騙網站一樣,該網站列出了其他受訪者留下的評論:

但是,它們甚至不是收錢辦事的註冊使用者留下的謊言。這些評論完全是假的,只是被硬插進網頁中。

詐騙分子連在 Google Play 等網站上都有能力使用「分身帳號」發表假評論來帶風向,在自己控制的網站上發佈假評論有什麼難的!

好戲上場

當您上鉤後,就是騙子開始偷天換日的時候了。

我們在同一個電子郵件連結按了好幾次,每次跳出的畫面都不同,並且地址欄中的 URL 也有所不同。此時我們連線到的所有網頁都是 HTTPS 連結,在地址欄中都會顯示真的掛鎖標誌。

請記住,HTTPS 掛鎖只能告訴您連線已經加密以防監視,但不代表網頁中的資料為真。

在某次連線,我們突然從免費護膚產品升級,贏得了免費的 iPhone 11 Pro:

下一次我們再按下原始電子郵件中的連結,甚至還可以選擇高檔的 Android、iPhone、iPad 或遊戲主機。

請注意,一開始針對 250 名受訪者提供的獎品先剩下 6 個,然後又只剩下 1 個。騙子會這樣說:

您看似是幸運兒,只剩下一支手機 – 並請選擇手機顏色!

請注意,此時騙子甚至會要求您回傳您的電子郵件地址和密碼。

記住,當您只要提供電子郵件地址給別人,他們就可以寄郵件給您。

他們寄信時只需要自己的電子郵件密碼,而不是您的密碼:

騙局的最後一擊則是要求您支付象徵性的寄貨費用。通常費用不高,和手機本身價值 (超過 1000 美元) 相比,仍會讓您覺得禮物是「免費」的:

我們這裡沒有顯示出來,但在輸入信用卡詳細資訊 (網站會驗證卡號是否具有有效位數,但僅此而已) 之後,您便會被導向到 Google 的主搜尋頁面。

藉此,騙子連顯示假錯誤訊息來解釋為何交易沒有進行都免了。可以確保的是,他們很快就會使用您輸入的詳細資訊,因為您填寫在表格中的資料直接進了他們的口袋。

該怎麼辦?

P.S. 不要忘記,只在 Web 表單中輸入資料就會騙子得手,即使您不按 [提交] 按鈕,他們也可以「記錄」您在網頁中輸入的內容。

英文原文: https://nakedsecurity.sophos.com/2020/06/22/anatomy-of-a-survey-scam-how-innocent-questions-can-rip-you-off/?cmp=41723

 

Exit mobile version