粤公网安备 44011302004783号 当心!美73%成年人已陷日历MFA骗局
2025年第二季度,一项针对美国成年人的调查揭示,在线诈骗的蔓延态势令人警惕。外媒报道指出,骗子们正持续渗透到虚拟日历、多重身份验证系统等数字领域,使得个人信息面临被窃取的风险。据美国皮尤研究中心(Pew Research Center)对超过9000名美国成年人的最新调查显示,约有73%的受访者曾遭遇至少一次在线诈骗或网络攻击。其中,约24%的受访者表示曾收到旨在窃取个人信息的诈骗邮件、短信或电话。更有约32%的受访者自述在2024年沦为诈骗受害者。
长期以来,人们普遍认为老年群体更容易成为网络诈骗的目标。然而,根据美国联邦贸易委员会(Federal Trade Commission)2021年的报告,Z世代、千禧一代和X世代(年龄介于18至59岁之间)因诈骗蒙受财产损失的可能性,比60岁及以上的老年群体高出34%。这些相对年轻的群体,更常通过社交媒体广告、投资骗局或虚假招聘信息等途径,被在线骗局所迷惑。
值得关注的是,2025年5月,最新的网络钓鱼攻击(Phishing Attacks,一种旨在获取敏感数据的欺诈尝试)正通过多种新颖方式进行,包括利用受害者的在线日历(如谷歌日历或Outlook日历)、多重身份验证应用程序,以及附带HTML文件的电子邮件等。尽管网络安全专家表示,规避此类在线诈骗充满挑战,但仍有切实可行的防护措施。
警惕不请自来的日历邀请
网络骗子总是绞尽脑汁寻找新方式诱骗用户无意中泄露个人信息,而与电子邮件账户关联的在线日历便是其中之一。诺顿(Norton)人工智能与创新总监伊坎德·桑切斯-罗拉(Iskander Sanchez-Rola)指出,与需要用户主动互动的传统钓鱼诈骗(如垃圾短信或电话)不同,这类日历邀请无需用户批准或拒绝便会自动出现在日历中。这很容易让受害者产生错觉,以为自己此前曾接受过该邀请。
此类骗局通常在用户点击邀请以获取更多信息时发生。邀请中的链接可能将用户引向一个伪装成视频会议(如Zoom)页面的钓鱼网站,或诱导用户下载伪装成软件更新的恶意软件。这类骗局尤其喜欢盯上工作相关的电子邮件账户及其对应的日历应用程序。
新媒网跨境了解到,此类日历诈骗的常见预警信号包括:首先,日历邀请是未经请求的;其次,链接或发件人地址存在拼写错误;再者,尽管邀请内容与工作相关,但你却是唯一的接收者。
针对此类风险,用户可采取以下措施:修改在线日历设置,禁止自动更新。微软Outlook用户可参照官方指南更改日历设置;谷歌用户则可通过其在线说明限制哪些邀请能出现在日程中。此外,飞塔(Fortinet)首席安全战略师兼全球威胁情报副总裁德里克·曼基(Derek Manky)建议,如果产生任何怀疑,切勿直接回复邀请。他强调:“正确的做法是,通过电子邮件向该机构的可靠联系人求证会议真实性并索取更多详情。”
辨识多重身份验证诈骗
多重身份验证(Multi-factor authentication,简称MFA),也被称为“两步验证”,通常是手机上的一款应用程序,通过提供验证码或“是/否”提示来确认用户正在访问与该验证器关联的账户。
德里克·曼基指出,多重身份验证攻击已存在十余年,只是其形式不断演变,或针对新的平台(如身份验证应用程序)。当用户并未请求验证,却持续收到来自身份验证应用程序的通知时,诈骗便发生了。桑切斯-罗拉解释:“这种骗局的目的是通过反复骚扰,让受害者心生厌烦,最终误点某个未知通知,从而意外泄露个人信息。”
这类多重身份验证诈骗的警示信号包括:身份验证应用程序在用户未请求的情况下要求验证或提供验证码;或应用程序在短时间内向用户发送大量通知。
面对此类情况,新媒网跨境建议,当收到一连串身份验证通知时,务必暂停,切勿急于点击。桑切斯-罗罗强调:“批准一个你未请求的登录,就好比把钥匙递给陌生人,这是绝不能做的。”更安全的做法是,使用那些提供验证码的身份验证应用程序,如2FAS、Aegis Authenticator、Microsoft Authenticator、Stratum或Google Authenticator,而非那些通过推送通知进行验证的应用程序,因为后者更容易被骗子利用来施压获取登录信息。曼基还提醒,定期更改密码也是一道重要的防护措施,这能有效缩短被窃取密码的“保质期”。
防范附带不明HTML附件的电子邮件
附带不明HTML附件的电子邮件,一旦打开,可能将用户重定向至钓鱼网页,或诱导下载恶意软件。曼基表示,这虽是一种“老掉牙”的伎俩,但在2025年5月,它依然被广泛使用。
他解释道:“HTM/HTML文件包含的代码可以通过多种方式被利用,例如执行恶意脚本(如JavaScript),从而在系统中植入信息窃取器;同样,它们也可以被用来启动钓鱼页面,以窃取用户凭证。”骗子们通常会伪装成日常生活中常用的可信机构或服务。曼基强调:“如果收到的电子邮件是未经请求的,用户应始终质疑发件人的身份。”
这类诈骗邮件的警示信号相对明确:发件人是未知联系人;邮件中的附件是未经请求的,且看起来可疑。
用户应如何应对?曼基建议,在打开电子邮件中的任何附件之前,务必保持高度警惕。仔细检查附件链接的URL中是否存在“域名抢注”(Typosquatting)现象。他解释称,“域名抢注”是指URL中的域名与合法域名只有微小差异,极易被忽视。
新媒网(公号: 新媒网跨境发布),是一个专业的跨境电商、游戏、支付、贸易和广告社区平台,为百万跨境人传递最新的海外淘金精准资讯情报。
