一條短信加上一個突如其來的視頻來電,可能就讓你的銀行賬戶瞬間清零。這聽起來像是過時的電話詐騙變種,但根據蘋果公司最新發布的安全公告,一種利用FaceTime實施的“高仿真”社會工程攻擊正在蔓延,威脅對象直指每一位iPhone和iPad用戶。
蘋果提醒,要把陌生的FaceTime請求與釣魚郵件同等看待。網絡安全機構Malwarebytes的研究進一步揭示,這波攻擊的狡猾之處在于,它不是靠一封粗劣的短信鏈接,而是通過實時視頻畫面,把“我是銀行客服”這個謊言演得極富現場感。攻擊者武器化的不是代碼,而是人性中天然的信任——當你見到一個穿著正裝、背景掛著銀行標識的人出現在手機屏幕上,心理防線便在一瞬間坍塌。
![]()
整個行騙流程被設計成一個環環相扣的劇本,連臺詞都是精心計算過的。
首先,你會收到一條措辭緊急的短信,告訴你賬戶出現可疑交易或存在重大故障,緊接著,一個毫不相干的FaceTime通話就會亮起屏幕。一旦接聽,騙子便啟動一套高度標準化的操控流程。第一步叫做“緊急情境構建”:對方會反復強調一筆正在發生的未授權轉賬,或者一個技術故障正在危及你的資金安全,語氣急促得讓你來不及思考。在那種被制造出來的危機感中,多數人的第一反應不是懷疑,而是配合。
攻擊者趁熱進入第二步——憑證收割。他們先會要求你“核實”銀行卡號、有效期和安全碼,還熟練地套出網上銀行的用戶名密碼,甚至關于Apple ID的登錄信息。每一句引導都包裹在“為了幫你攔截風險”的善意外殼里,讓你幾乎意識不到自己正在主動交出鑰匙。更極端的情形下,這套劇本還會推進到第三步:系統接管。騙子會一步步指導你安裝遠程訪問工具,或者要求你立即念出剛剛收到的雙重認證驗證碼。
到這里,整個攻擊已經不再是傳統的“騙你點鏈接”,而是一次由真人實時出演、持續十幾分鐘的沉浸式詐騙體驗。正因為視頻通話天然打破了人們對陌生信息的心理戒備,騙子甚至不需要動用任何零日漏洞,光靠套話就能把賬戶洗劫一空。
而這還不是事情的全部。Malwarebytes的安全研究員指出,這類社會工程攻擊正在被快速整合到多階段入侵鏈中,其危害遠不止轉走賬上余額那么簡單。
在一次看似無害的視頻對話中竊取到的憑證,隨時可能被攻擊者與受害者設備上正在運行的其他軟件缺陷進行聯動利用。如果騙子在通話中發來一個“安全驗證”網頁鏈接,并且那個頁面被埋了已公開的瀏覽器漏洞,那么僅僅在網頁后臺,惡意的有效載荷就能悄悄在手機上執行。這一過程完全靜默,受害者甚至還沒來得及退出通話,攻擊者就已經從應用級權限橫向移動到了系統層控制。
也就是說,一張銀行卡的丟失只是起點。借助這類組合拳,攻擊者可以一步步把普通App層面的訪問權限擴大到整臺設備的管理員權限,實現完全的系統接管。類似DarkSword這樣的高級持續性攻擊活動,正是利用這套方法論大行其道。它再一次敲響警鐘:拖延設備更新、不對系統補丁保持敏感,等于給攻擊者留出了一條持續擴張控制權的寬廣通道。很多威脅組織專門蹲守那些未及時安裝更新的設備,把這段空窗期作為初始入侵后的橫向移動窗口,這與近期不斷演化的iPhone釣魚攻擊趨勢完全一致。
那么,面對這種把真人社交工程做到“沉浸式劇場”級別的攻擊,普通用戶和企業防護該怎么應對?答案實則樸素得驚人:記住一個鐵律就夠了——任何銀行或蘋果官方技術支持,絕對不會通過FaceTime來處理緊急安全事件或進行人工追回款項的操作。
如果你接到一通突如其來的短信加視頻通話,對方要求你當場輸入密碼、展示卡號或者共享屏幕,那無論它的來電顯示和制服多么逼真,都不值得信賴。最穩妥的做法是立刻掛斷,然后自行通過銀行App或官方網站上已知的客服渠道核實賬戶狀態。當對話內容從“提醒”滑向“索要”,安全邊界就已經被踩在了腳下。
說到底,這波攻擊最聰明的地方,也是它最諷刺的地方:它沒有用任何高深的技術,只是利用了一個視頻窗口,把人們面對“真人”時本能選擇相信的那一點善意,轉化成了最鋒利的盜取工具。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.