自2023年底起,数以百万计的手机用户收到了声称来自快递公司的短信,例如:“您的DHL包裹因地址不全无法派送,请在12小时内点击链接更新信息。”一旦点击链接,用户便会跳转至一个精心仿造的网页,用户在那里输入自己的信用卡信息,最终导致被盗刷甚至反复盗刷。受害者来自社会各阶层德国巴伐利亚广播电台与挪威国家广播公司(NRK)、法国《世界报》(Le Monde)联合开展了调查。挪威网络安全公司Mnemonic向媒体提供了大量材料,包括一份犯罪分子的数据库,详细记录了被诈骗的受害者。数据库显示,仅从2023年底到2024年年中,全球就有近90万人在假冒网站上输入了信用卡信息。这三家媒体与数据库中的数百名受害者进行了访谈,他们来自各个年龄层,有律师、教师、退休人员,甚至包括信息技术专家——即便是这些专业人士,也被精心伪装的钓鱼网站所骗。
柏林一位专门代理短信诈骗案件受害者的律师卡罗琳·迪波尔德(Carolyn Diepold)指出,受害者没有固定群体特征,而是涵盖社会各个阶层。迪波尔德一直在为受害人争取银行赔偿损失。
德国巴伐利亚广播电台采访了其中一名来自慕尼黑的受害者陀斯滕(化名)。陀斯滕仍记得清楚,2024年3月的一个星期天上午10:31,他在手机上收到一条短信。发信人自称是DHL,这让陀斯滕并不感到意外——他当时的确正在等一件寄自美国的包裹。短信发来时,他的父亲正在家做客,妻子在厨房喊他,他便顺手点击了短信中的链接。
诈骗犯利用软件制作各类机构部门的假冒网站,几乎以假乱真图像来源: Tim Goode/PA Wire/picture alliance
打开的网页与DHL官网几乎一模一样,甚至包括公司抬头。他在页面中输入了个人信息。页面提示称:由于包裹派送需要额外费用,DHL要求他补交费用。于是陀斯滕输入了信用卡信息和银行发来的验证码。之后不久,他的账户就少了近1500欧元。陀斯滕直到当晚才察觉到异样。
陀斯滕表示,银行认为他的行为属于严重疏忽。一周后,他被告知银行无法为其追回损失,钱就这样没了。他也向警方报案,但警方表示目前仅在收集类似案件,但不会单独针对个案展开具体侦查。
骗子无孔不入 – 仿冒机构网站超300家德国巴伐利亚广播电台掌握了一份犯罪分子用来伪造网站的欺诈软件的副本。调查显示,这款软件不仅可以仿冒DHL页面,其模板库还包含来自全球130个国家、超过300家机构的网页副本。常见的仿冒对象包括邮政和快递公司、电力公司及政府部门等。在德国,骗子还常常伪造德国电信、包裹快递公司Hermes和广播电视缴费网站。几乎都是德国人生活中必须打交道的部门。
当被问及该如何应对这类钓鱼网站时,各机构回应不一。Hermes表示,他们会向网络服务商举报虚假网址,并依据现行法律申请下架。德国广播缴费服务方则称,已多次在官网上发布防诈骗提醒。德国电信表示,已在短时间内向数千名受影响客户发出个人警告。DHL则以网络安全问题为由,拒绝发表评论。
幕后黑手——名为“Darcula”主谋浮出水面巴伐利亚广播电台联合其国际调查伙伴发现,这个目前世界上最大的网络钓鱼团伙之一的犯罪者来自亚洲,且已成功识别出其背后的关键参与者 – 一个自称“Darcula”(吸血鬼“德古拉”)的主谋。他们向世界各地的手机发送了数百万条类似的信息:“DHL包裹已到达仓库,由于地址信息不完整,无法投递。请在12小时内在链接中确认您的地址。”
巴伐利亚广播电台记者根据挪威网络安全公司Mnemonic提供的数据,里面包括了诈骗者记录的成千上万条受害者信息,诈骗者使用的名为“Magic Cat”(魔法猫)诈骗软件,以及聊天软件中存储的超过4万条通话消息,于是对整套犯罪手法有了大致了解。
诈骗犯利用这款“Magic Cat”诈骗软件只要点击几下就能迅速伪造各种机构网站,涵盖邮政、快递服务商电力公司甚至政府机构,当然最常见的是针对德国用户的假冒DHL网站。
一旦有人打开假冒网站,软件中就会响起一句中文提示语音:“已有用户访问该网页。”诈骗者能实时读取用户输入的信息。即使用户试图删除数据,数据仍然会被系统保存下来。
主谋“Darcula”既开发软件,也组织骗子开发“Magic Cat”诈骗软件的人,也是该诈骗网络的主谋“Darcula”,其社交媒体头像是一只猫。“Darcula”极少透露个人信息。但调查显示,这名“Darcula”极可能是一名现年24岁、名叫Yucheng C.的中国人。调查记者掌握了一张他的身份证照片,照片上是一名黑发青年。证件显示其来自中国中部省份河南。但目前他的具体所在位置尚不明确。
巴伐利亚广播电台记者通过目前掌握的数据和证据不认为这名主谋“Darcula”直接窃取受害者信用卡数据,而是通过中间人将这款诈骗软件出租给其他犯罪者,并收取数百美元的授权费。此外,“Darcula”还管理过一个大型诈骗交流群,骗子在群里交流诈骗心得,一些骗子会提供诈骗课程,另一些骗子声称能大量群发短信至特定国家。
IT专家福特·梅里尔(Ford Merrill)为多个国家的安全部门提供短信诈骗咨询。他表示,诈骗软件开发者“Darcula”可谓“异常成功”。据他所知,约有70%至80%的钓鱼网站使用的都是其开发的诈骗软件。他是该领域“最活跃的角色”之一。
诈骗犯利用诈骗软件只要点击几下就能迅速伪造各种机构网站,涵盖邮政、快递服务商电力公司甚至政府机构,当然最常见的是针对德国用户的假冒DHL网站图像来源: picture alliance/dpa
辩称“Magic Cat”非诈骗软件 专家:不可能记者向这位疑为“Darcula”的中国青年Yucheng C.提问但未获回应。之后,一人联系记者,自称不是Yucheng C.,而是其合作者。她说 Yucheng C.确实有开发并出售该软件,但强调这款软件“仅用于网站生成”,并非信用卡诈骗工具。
对此,挪威安全公司Mnemonic的哈里森·桑德(Harrison Sand)持怀疑态度。他表示,这款软件针对的就是普罗大众、窃取信用卡数据。“在我们看来,这个软件根本不存在任何合法用途的可能性。”
数十万张信用卡被盗数据库记录了自2023年末至2024年夏的诈骗受害者。巴伐利亚广播电台的分析显示,全球约有90万人在这些钓鱼网站上输入了个人的信用卡信息。
在德国,大约有2万人输入了信用卡号,其中约有4千人甚至提交了银行验证码。凭借这些验证码,诈骗者还可以将信用卡绑定到Apple Pay、Google Pay等电子钱包中。
聊天群里的照片显示,骗子确实将被盗信用卡绑定了电子钱包。有些手机还绑定了十多张卡,付款时无需再次输入密码,受害者的卡可能会多次被盗刷。
巴伐利亚广播电台采访了逾百名德国受害者,许多人证实确实被这种诈骗手法骗去了很多钱。内部聊天记录还显示,一些骗子自设支付终端,在家直接盗刷信用卡;还有人晒出在奢侈品店消费后的收据,发布在聊天群和社交平台上。
一名为“Kris”的诈骗主犯炫富之后销声匿迹调查记者成功锁定了“Darcula”诈骗网络中最活跃的骗子之一。其使用网名“X667788X”,通过分析受害者数据发现,其曾借助诈骗软件“Magic Cat”诈骗数千人,或帮助他人参与作案。他不仅教授诈骗技巧,还租售软件,并为他人代发诈骗短信,还在诈得钱财后公开炫耀。
调查显示,此人名叫“Kris”(克里斯),来自中国西安市。在泰国首都曼谷生活数月并进行诈骗活动,期间他在社交媒体上频繁发布豪华寿司店、兰博基尼等照片。最近他再次发文,地点显示在中国上海附近的某条赛车道。当巴伐利亚广播电台与挪威国家广播公司的记者在曼谷接触其身边人并询问与其相关问题时,他随即删除了自己的所有露脸照。
在与记者聊天时,他否认自己是Kris,只说:“我是X66(其使用的网名),你们找到的所有信息都是假的。”随后他将Instagram上剩余的帖子也删除了。
诈骗犯能大量群发短信至特定国家给手机用户图像来源: Niklas Graeber/dpa/picture-alliance
消费者应主动应对,银行需承担更多责任德国消费者保护组织提醒民众,切勿点击来自所谓快递公司的短信链接,而应自行在浏览器中访问快递官网。如若中招,应立即保留证据、联系银行并报警。
不过,德国消费者组织协会(VZBV)认为银行在防范责任上也有欠缺。金融专家海科·福斯特(Heiko Fürst)指出,银行和支付服务商对识别并阻止诈骗交易的措施仍不到位,“应当更积极地利用手中手段,识别并及时阻止此类转账行为”。他还呼吁立法者介入,加强对支付机构的法律约束,并更具体地定义其应尽职调查义务”。
德国银行业联合会在回应巴伐利亚广播电台表示,在处理此类损失方面,目前各家银行并无统一标准或协调机制。每家银行会根据个案自行评估并决定处理方式。协会强调:“即使技术系统再安全,也无法防范用户被骗子蒙骗的情况。”协会指出,银行在识别或阻止此类交易上能力有限。
陀斯滕至今仍为被骗感到懊恼:1500欧元打了水漂。“那本来可以是个不错的小旅行,甚至是一整周的假期……现在我只感到彻底的无助。”
德国联邦刑警局尚未立案调查尽管在德国已有数万名受害者,但德国联邦刑警局(BKA)目前尚未就“Darcula”或“Magic Cat”网络进行立案调查。德国联邦刑警局表示,自2024年10月起,他们已注意到“Darcula”团伙的存在,目前在“持续观察该团伙,以进行现象评估”。该机构指出,针对跨国运作的国际钓鱼团伙的调查面临挑战,难点在于国际间的警方合作,有时甚至要在缺乏合同条约支撑的情况下进行。