新型诈骗手段层出不穷 | 大东话安全

大东：嘿，小白，先别玩游戏了，我有个大事要讲！

小白：吓我一跳，什么大事，这么突然？

大东：你听说了吗？最近有种新型的诈骗手段？

小白：什么诈骗手段？你可以给我一个小小的提示，也许我略有耳闻。

大东：他们利用充电宝引导使用者来下载诈骗APP，然后通过“共享屏幕”功能进行监控来实施诈骗。

充电宝诈骗（图片来源：网络）

小白：我还真是略有耳闻，据我所知沈阳的李先生购买奥迪轿车，厂家赠送了车机联网服务，但在服务到期后，却一直有“续费通知”的弹窗。

大东：确实，这件事也曾经一度爆火，看来都是研究人员的小把戏。

小白：这可真是太狡猾了！但这听起来好高科技，那这具体是怎么操作的呢？

大东：是这样的，骗子们会改造一些公共场合的充电宝，当用户连接这些充电宝给手机充电时，充电宝内的微型芯片就会悄无声息地向手机发送指令，自动下载安装一些隐藏的恶意APP。

小白：那这些APP怎么骗人呢？

大东：这些恶意APP一旦安装成功，就会诱导用户开启“共享屏幕”功能。一旦开启，骗子就能实时看到用户的手机屏幕，获取银行账户、密码等敏感信息。

小白：共享屏幕？那不是等于他们能看到你手机上的一切？

大东：对，这正是他们的高明之处。更过分的是，他们还会利用系统弹窗模拟官方通知，比如银行升级、中奖信息等，诱骗用户输入验证码或点击链接，从而盗取资金。

小白：系统弹窗是怎么做到的呢？

大东：弹窗其实一直存在只是需要进行相应的诱导。信息服务提供者通过弹窗传播低俗内容，搜集用户数据或诱使用户下载恶意软件现象时有发生。在移动互联网时代，有的APP弹窗甚至成为了推送违法和不良信息、诱导用户点击下载恶意程序或木马程序的温床。

系统弹窗-共享屏幕（图片来源：网络）

小白：太可怕了！那他们是怎么让你同意安装这个APP的？

大东：这就是技术手段了。那个充电宝内置了一个小型控制器，一旦手机连接，它就能悄悄发送指令，利用安卓系统的某些漏洞，绕过用户许可直接安装APP。而且，这个过程很隐蔽，大多数人都不会注意到。

小白：怎么才可以绕过用户呢？

大东：举个例子，国内一家互联网巨头的APP利用Android系统漏洞提权使其难以卸载。报道称，该APP利用了多个厂商OEM代码中的反序列化漏洞提权，提权控制手机系统之后，开启了一系列的违规操作，绕过隐私合规监管，大肆收集用户的隐私信息。

反序列化漏洞提权（图片来源：网络）

小白：天哪，这太可怕了！有多少人已经中招了？

大东：据报道，这种诈骗方式已经在多个城市出现，受害者数量不断上升，不仅造成了财产损失，还严重侵犯了个人隐私。很多人因为个人信息泄露，后续还遭受了一系列的骚扰和二次诈骗。

小白：那具体影响有哪些呢？

大东：首先，经济损失是最直接的。诈骗者通过共享屏幕看到受害者的支付密码、验证码，直接盗取银行存款。我一个朋友，一夜之间卡里的几万块就不翼而飞了。

小白：天哪，那岂不是连带着信用记录也受影响？

大东：没错，资金被盗后，有的银行账户会被冻结调查，这对个人信用确实是个打击。而且，因为个人信息泄露，很多受害者之后还遭遇了各种骚扰电话、垃圾邮件，甚至是更多的诈骗企图。

小白：隐私泄露的问题也很头疼吧？

大东：非常头疼。一旦骗子掌握了你的个人信息，比如身份证号、家庭住址等，就可能用于进一步的犯罪活动，比如冒名借贷、注册非法账号等。更糟糕的是，个人照片、通讯录等也可能被滥用，影响到家人和朋友。

小白：这简直是一连串的连锁反应，心理压力肯定也不小。

大东：确实，我那几个朋友都挺郁闷的，有的还因此产生了严重的焦虑。他们不仅要处理经济上的损失，还要花大量时间去修复信用，举报诈骗，整个生活节奏都被打乱了。

小白：看来，防范意识真的很重要。得赶紧告诉身边的人，尽量避免使用不可靠的充电源，保护好自己的手机安全。

大东：没错，我们要从自己做起，同时提醒周围的人。这种新型诈骗手法的曝光，也是对我们所有人的一次警醒，网络时代，信息安全不能掉以轻心。这不仅严重影响用户体验，还会严重污染网络环境，甚至危及网络安全，不利于互联网产业健康发展。

小白：又学到一课，谢谢你分享，大东，这信息太重要了。

大东：小白，你可得小心了，现在诈骗的手法真是防不胜防，不只是充电宝或者4s店这种弹窗诈骗，其他手法也层出不穷。不过别担心，我整理了几条实用的应对措施，咱们一起来看看怎么保护自己。

小白：好的大东，快告诉我，我可不想成为下一个受害者。

大东：首先，最直接的，就是自备充电设备。无论是外出还是办公室，尽量使用自己熟悉的充电器或移动电源。这样可以最大限度减少接触潜在风险的机会。

小白：嗯，这确实是最保险的做法。但有时候应急，不得不使用公共充电设施怎么办？

大东：这时候就要格外小心了。如果非用不可，尽量选择那些知名品牌的共享充电服务，它们通常有较好的安全保障措施。在连接前，先检查充电宝是否有被篡改的痕迹，比如是否有额外的接口或是不寻常的贴纸覆盖原有标识。

小白：听起来好像侦探工作一样，哈哈。那如果我已经不小心连上了，有什么补救措施吗？

大东：立刻断开连接！这是第一步。然后迅速进入手机的“设置”-“应用管理”查看最近安装的APP，如果发现有不认识的，立刻卸载。同时，开启手机的安全防护软件进行全面扫描，确保没有遗漏的恶意软件。

小白：了解了，那我平时还应该做些什么来预防呢？

大东：有几点特别重要。第一，关闭手机设置中的“未知来源应用安装”选项，这样系统就不会允许来自非官方商店的APP自动安装。第二，定期更新手机系统和所有APP，最新的安全补丁能有效抵御已知的安全威胁。

小白：更新系统和APP，这个我偶尔会忘记，以后得注意了。

大东：对，这个习惯很重要。还有，安装一款可靠的手机安全软件，它可以帮你实时监测手机状态，发现并阻止恶意软件的运行。同时，对于收到的任何弹窗消息，特别是那些要求输入个人信息、银行密码或验证码的，不要轻易相信，更不要直接在弹窗内操作。

恶意链接诈骗事例（图片来源：网络）

小白：他们背后有国家支持？

大东：确实如此，APT28具有国家背景，它们执行的网络攻击行动通常都有深远的政治和军事目的。

小白：APT28有什么著名的攻击行为吗？

大东：他们不仅攻击了国际体育组织，如国际奥委会（IOC）和世界反兴奋剂机构（WADA），而且也参与了干预政治事件。

小白：听起来是一个相当强大的黑客组织。

大东：非常强大。对抗这样的威胁，我们需要采取更先进的策略。

小白：那面对这种新兴的威胁，我们该如何应对？

大东：首先，网络安全社区需要意识到AI技术的双面性。我们要加强AI在安全领域的应用，开发出更先进的AI驱动安全工具，以识别和防御由AI生成的威胁。同时，合理的监管和控制AI技术的使用也非常关键，避免其被恶意利用。

小白：听上去我们要做的事情还真不少。

大东：确实如此。除此之外，政府和相关组织也需采取行动。比如，微软和OpenAI建议组织仔细检查并删除可公开访问的关于敏感设备的图片和视频，以减少这种新型AI技术带来的风险。

小白：有没有具体的案例表明我们正在正确的道路上前进？

大东：有一些积极的迹象。一些网络安全公司已经开始利用AI技术提升恶意软件检测的能力，而且一些国家已经开始认识到制定相关政策来规范AI技术发展和应用的重要性。这是一场持久战，需要全球合作和共同努力。

小白：看来，尽管挑战重重，但只要我们团结一心，共同努力，我们就有希望克服这些新兴的威胁。

大东：小白说的不错。

小白：那我们个人呢？我们能做些什么来保护自己不受这些高级威胁的影响？

大东：个人用户也有很多可以做的。首先，保持对网络安全的基本认知，如定期更新软件、不点击可疑链接、使用强密码和双因素认证等。其次，了解最新的网络安全威胁和防护措施，保持警惕。最重要的是，使用可信赖的安全软件来保护个人设备和数据。

小白：看来，无论是个人还是组织，我们都需要持续学习和适应新的安全威胁。

大东：没错。网络安全是一个动态发展的领域，随着技术的进步，攻击手段也在不断演变。我们必须保持学习的态度，不断提升自己的安全意识和技术能力，才能在这场看不见的战争中保持优势。

小白：那如果弹窗看起来很官方呢？有时候很难分辨真假。

大东：确实，现在的诈骗手段越来越高明。遇到这种情况，最好的做法是直接关闭弹窗，然后手动打开相应的官方APP或浏览器，通过正规渠道进行核实。如果有疑问，直接拨打官方客服电话询问，切勿使用弹窗内提供的联系方式。

小白：明白了，直接找官方渠道核实，不给骗子留机会。听你这么一说，感觉心里踏实多了。谢谢大东，这些措施我会好好遵守的，也会告诉周围的朋友，让大家一起提高警惕。

大东：不客气，安全防范人人有责嘛咱们互相提醒，共同营造一个更安全的网络环境。最后，提高自己的网络安全意识，关注官方发布的安全预警和防骗指南，了解最新的诈骗手段，做到心中有数。

小白：希望随着科技的发展，能有更智能、更安全的充电解决方案出现，比如采用无线充电技术，并且内置安全认证机制，让用户在享受便利的同时，不必担心信息安全问题。

大东：没错，科技应该服务于人，保护人的安全与隐私。同时，也需要我们每个人提高网络安全意识，不给犯罪分子可乘之机。未来，随着法律法规的完善和技术的进步，我相信这类诈骗会越来越少，网络环境也会更加清朗。

小白：这次的深入交流不仅增进了彼此间的知识分享，也提醒了广大公众在享受科技便利的同时，时刻保持警惕，共同维护一个更加安全的网络环境。对于未来，他们满怀信心，相信通过科技进步和公众安全意识的提升，能够有效遏制此类诈骗行为，让网络空间更加清朗和安全。