(网经社讯)随着一年一度的“双十一”购物节临近,电商平台交易量激增,快递物流信息频繁流转,消费者沉浸在“加购”与“秒杀”的喜悦中。在这繁荣背后也悄然滋生了一类高度伪装、技术性强的新型网络钓鱼骗局——以“快递异常”或“误开通服务”为诱饵,诱导用户下载恶意软件,进而实施远程操控与资金盗取。近期,广州警方披露的多起真实案例揭示了此类诈骗的技术路径与社会危害,值得我们高度警惕。
一、真实案例:从一条短信到数万元损失
案例1:陈先生被“直播扣费”误导,损失7000元
陈先生收到一条自称“快递公司”的短信,提示其包裹因“安检异常”需联系客服处理,并附有电话号码。他拨通后,对方自称是某电商平台客服,称其“误开通了直播打赏功能”,每月将自动扣费上千元。在制造紧张情绪后,对方引导陈先生下载名为“志汇通7”的APP进行系统验证。该APP实则具有屏幕共享和权限获取功能,一旦安装并授权,骗子便能通过共享屏幕截取银行卡号、支付密码及短信验证码,短短几分钟内转走其账户内7000元。
案例2:李女士遭远程操控,2万元被盗
李女士接到类似电话,对方先是谎称其快递“被污染需理赔”,随后话锋一转,称其“开通了某平台会员服务”,必须取消否则将持续扣费。在诱导下,她通过浏览器下载了名为“信达软件”的应用。安装完成后,骗子利用该软件内置的远程控制模块(如TeamViewer或AnyDesk的仿冒版本)获取手机控制权,直接进行微信转账,盗走2万元。更严重的是,手机随后出现黑屏,无法操作,表明系统已被深度劫持。
二、技术拆解:网络钓鱼的三大核心步骤
这类骗局之所以成功率高,关键在于其结合了用户心理与移动终端技术漏洞,形成了一套完整的攻击链条。我们可将其拆解为以下三个阶段:
1.引君入瓮:用户认知心理的操控
攻击者首先通过非法渠道获取用户手机号、收货地址等个人信息(部分来自数据泄露事件),发送精准的“快递通知”短信。这类短信往往模仿正规快递公司格式,包含虚假运单号和“客服电话”,利用用户对快递信息的关注心理,诱导其主动联系。
通话中,骗子通常采用“权威身份+紧急事态”的话术结构:
身份伪装:冒充电商平台(如淘宝、京东等)、支付平台(如支付宝)或快递公司客服;
制造恐慌:声称用户“误开通直播打赏”“自动续费会员”“快递涉疫需销毁”等,激发焦虑情绪;
提供“解决方案”:引导用户配合“取消服务”或“申请理赔”,从而进入下一步操作。
这一阶段的核心是降低用户警惕性,使其在情绪驱动下放弃理性判断。
2.植入工具:恶意APP的技术渗透
一旦用户上钩,骗子便会引导其下载特定APP。这些APP名称极具迷惑性,如“志汇通7”“特来宝a”“格来宝”等,看似是正规客服工具或快递查询软件,实则为定制化的恶意程序。
从技术角度看,这些APP通常具备以下特征:
请求高权限:安装时要求“无障碍服务”“设备管理员”“通知使用权”等敏感权限,以便后台运行和监控用户操作;
集成远程控制模块:嵌入开源远程控制工具(如Scrcpy、Vysor)或自研木马,实现屏幕镜像、鼠标模拟、键盘输入等功能;
具备屏幕共享能力:部分APP直接调用Android的“屏幕投射”API,或模仿Zoom、腾讯会议的共享功能,实时查看用户手机界面;
隐藏通信通道:通过加密HTTPS或WebSocket与境外C2服务器通信,规避安全检测。
值得注意的是,这些APP往往未上架正规应用商店,而是通过二维码或短信链接直接下载,绕过系统安全审查机制。
3.资金盗取:利用信息差完成转账
在获得手机控制权或屏幕共享权限后,骗子即可实施精准盗刷:
截取验证码:当用户登录银行APP或进行支付时,骗子可通过屏幕共享实时获取短信验证码;
自动填充与确认:利用“无障碍服务”模拟点击,自动填写收款账户、金额并完成转账确认;
清除痕迹:部分木马具备“静默删除短信”功能,防止用户事后察觉;
多账户联动盗刷:若手机中安装多个金融类APP(如支付宝、微信、云闪付),骗子可逐一尝试登录并转移资金。
整个过程可在数分钟内完成,且由于操作发生在用户设备本地,银行风控系统难以识别异常。
三、技术防范:构建个人数字防线
面对如此高技术含量的攻击,仅靠“提高警惕”已无法有效防御,必须结合技术手段构建多层防御体系。
1.基本原则:“三不准”
不明链接不点击:所有短信中的URL应视为可疑,尤其是短链接(如bit.ly、t.cn);
陌生软件不下载:任何客服要求下载APP的行为均属违规,正规平台不会通过第三方工具处理业务;
屏幕坚决不共享:无论对方以何种理由(如“指导操作”“系统检测”),切勿开启屏幕共享功能。
2.系统级防护建议
关闭高风险权限:在Android设置中禁用“未知来源应用安装”;定期检查“无障碍服务”中是否有可疑应用;
启用应用锁与生物识别:为银行、支付类APP设置独立密码或指纹/人脸验证,防止他人直接操作;
使用安全软件:安装国家反诈中心APP,开启来电预警与APP自检功能;
定期更新系统:保持操作系统与APP为最新版本,修复已知安全漏洞。
3.应急响应四步法
一旦怀疑手机已被控制,应立即采取以下措施:
断网:关闭Wi-Fi与移动数据,阻断与C2服务器的通信;
拔卡:取出SIM卡,防止骗子接收验证码;
报警:拨打110报警并提供转账记录与APP信息;
冻结账户:联系银行客服,冻结银行卡、微信、支付宝等所有金融账户。
四、结语:技术向善,警钟长鸣
网络钓鱼攻击的本质,是利用技术手段放大人性弱点。“双十一”期间,快递信息密集、消费行为活跃,正是此类骗局的高发期。
记住:真正的客服,永远不会让你下载APP、共享屏幕或提供验证码。守护财产安全,从每一次谨慎点击开始。
