Deva
@davelin
Wed, Nov 6, 2024 2:17 PM
840
1746
🍀 資工少女李婷婷。𝚝𝚒𝚗𝚊 🍀 (@tinaaaaalee) on Threads
ㄎㄅ我剛遇到一個超高段詐騙
好險我沒被騙,有即時發現,我沒那麼好騙🤣
但我覺得這手法一定要分享出來給大家知道
1. 首先這個詐騙假裝要跟你合作,所以約了一個線上會議,到這邊都很正常
2. 接著,會議前5分鐘他突然傳訊息說上個會議delay 了,等等他的兩位同事會先加入
3. 然後我跟他兩位同事聊了大約15分鐘後,他又傳訊息說他會議終於結束,可以加入了
4. 但他表示,他因為地區限制無法加入zoom 也無法加入 google meet,提出「那就用他們公司內部的開會網站吧」
5. 於是我就想說好吧,用用看他的線上開會網站
Deva
@davelin
Wed, Nov 6, 2024 2:18 PM
6. 他會先要你註冊新帳號,才能繼續,好險這邊我沒有使用google 登入,也用了一個很不重要的密碼(我習慣是所有重要東西一率用很複雜的密碼,只有網路上註冊免費東西才會用一個很爛的密碼)
7. 註冊成功後離奇的事來了,那個開會網站顯示了10秒後就跳出「因為系統設定,我必須下載電腦app版本才能繼續用」,所以又無法會議了 😅 我只好接著去下載
Deva
@davelin
Wed, Nov 6, 2024 2:18 PM
8. 下載後,我發現兩個疑點:第一,他網頁版名字叫「Meetsee」而安裝後app的名字叫「Cutesee」,第二,一打開app跳出要輸入我的電腦系統密碼才能繼續使用,而在蘋果電腦裡如果有這種情況,是同時可以使用指紋解鎖,不一定要輸入實際密碼才對
9. 接著我想到疑點三,我到他們給我的公司官網上看他們每個團隊成員的名字,竟沒有一個人的名字跟現在在跟我線上會議的人名字一樣,真的太搞笑
10. 到這邊我87%確定他是詐騙了
Deva
@davelin
Wed, Nov 6, 2024 2:19 PM
11. 我確定是詐騙後,開始跟他們這個詐騙團隊亂聊,就故意假裝我一直安裝軟體失敗,問他們有沒有其他會議方式,結果他們果然一直堅持要我繼續嘗試下載Meetsee,還說要我分享螢幕跟錯誤訊息
12. 他們兩位同事繼續在原本電話中很著急想幫我解決會議軟體的樣子,我已經啟動看笑話模式
13. 100%確定他是詐騙後,我退出了會議並開始跟他們推銷我的 ai chatbot 產品
14. 他竟問我這是不是需要付費才能使用,還表示他「surprisingly like it」真是笑死我 🤣
15. 以下提供截圖給大家笑笑,到時候他要是真的用了我們平台建立AI聊天分身,我們再去後台魔改讓他怎樣都騙不到別人 😄
歡迎反詐中心來與我們合作
Deva
@davelin
Wed, Nov 6, 2024 2:19 PM
Deva
@davelin
Wed, Nov 6, 2024 2:19 PM
這手法有幾個高明的點
1. 他跟你說要用其他會議軟體時,先騙一次你的常用帳密跟 google 登上授權(好險我平常習慣就不會連結未知網站到重要帳號)
2. 然後下載後再用「需要開啟權限」的提示來讓你自行輸入電腦密碼,一般人因為很習慣這樣了所以很容易下意識就輸入
3. 他先讓他同時跟你聊一陣子,讓你有「談合作談到一半的錯覺」,然後再表示有更大咖的他們主管要加入會議,讓你也有急著想跟他通到電話的心態,這種時候通常人的戒心會降低
4. 整個註冊會議網站的體驗非常絲滑,註冊郵件驗證碼、官網 UI 設計等細節都開發的非常到位,看來這詐騙投入了不少預算,真的不要小看他們的專業程度
寧如魚
@JJ4tw
說
Wed, Nov 6, 2024 2:35 PM
這屬於專業詐騙...
~prita~
@pei3
Thu, Nov 7, 2024 12:06 AM
這是要騙帳密?
Deva
@davelin
Thu, Nov 7, 2024 12:14 AM
Thu, Nov 7, 2024 12:30 AM
對,
詐騙還要你下載他的app, 遠端遙控接手你的電腦。
來路不明 app 不建議下載和開啟。一開就問題大了。
Deva
@davelin
Thu, Nov 7, 2024 12:15 AM
你的 Google 帳密要開 2FA.
萬一駭客拿到帳密要有另一個裝置上你的 Google 帳戶來確認。這個 2FA 會擋掉洩露第一波。
社會觀察家
@zh0937829
Thu, Nov 7, 2024 1:41 AM
想了解ai chatbot聊天分身,這個是複製人或是數字人那種概念的嗎?就是錄一段影片然後再用聲音跟文字生成的那種?
社會觀察家
@zh0937829
Thu, Nov 7, 2024 1:43 AM
還是透過LINE串接API回應的那種
九命
@pleasegivemeabluerose
Thu, Nov 7, 2024 1:55 AM
Thu, Nov 7, 2024 2:01 AM
社交工程攻擊和詐騙還是有差的⋯⋯
詐騙:以錢為目標,只要你沒錢就沒差,反制手段包含報警凍結銀行帳戶。
社交工程攻擊:目標包含帳密、電腦控制權、電腦內的重要資料,然後也不適用詐騙相關法規,不能凍結對方銀行帳戶(畢竟沒有這東西)
-
為什臺大資工會用「詐騙」,而不是「社交工程攻擊」指稱這行為?難道他都沒在上資安課程,不知道這詞嗎?
九命
@pleasegivemeabluerose
Thu, Nov 7, 2024 1:57 AM
然後有的社交工程攻擊,埋到電腦裡的病毒,什麼都不圖,就只是要讓你受到損失。(破壞電腦內的檔案,讓硬碟故障、壞軌)
九命
@pleasegivemeabluerose
Thu, Nov 7, 2024 1:57 AM
社交工程攻擊的行為,跟妨害電腦使用比較有關。
憨死Hans
@hans50704
Thu, Nov 7, 2024 6:08 AM
九命
:
你的用詞很針對性所以我就來回覆
1.因為講詐騙非本科比較容易懂。
2.我自己認為這算詐騙,社交工程攻擊是詐騙一種
騙人去國外當黑工也是詐騙。
記得法律上是寫生命財產受損失,生命財產是一個詞沒分開。
3.雖然我也是資工系但沒上過資安課程。是有教授曾想開這類課結果因為有爭議就沒了(老一輩不會辨別黑帽駭客和白帽駭客,更別說以前用的Cracker和Hacker差別。Cracker資訊還是我從圖書館舊書翻到的)。
---
如果你有所堅持那也沒差, 你說的都對.jpg
奈奈
@anthea10100103
Thu, Nov 7, 2024 7:03 AM
Thu, Nov 7, 2024 7:03 AM
謝謝分享,這個我可能會上當欸
好險
九命
@pleasegivemeabluerose
Thu, Nov 7, 2024 7:08 AM
憨死Hans
:資安課程,絕大多數有規模的公司,都會安排每年進修,不是只有在學時才有課程要上。
香草香草香
@mudream4869
Thu, Nov 7, 2024 7:10 AM
那個 meetsee 真的很騙...
記銘
@justin761002
Thu, Nov 7, 2024 7:26 AM
糾結在名詞解釋沒什麼意義,反倒是模糊了焦點
Qoo
@QooChen
Thu, Nov 7, 2024 8:51 AM
我跟MIS說這個案子問他要不要宣導一下,因為感覺很容易中,結果他回我
奈奈
@anthea10100103
Thu, Nov 7, 2024 8:57 AM
Qoo
:
Yarain
@RISE12348
Thu, Nov 7, 2024 9:24 AM
Qoo
:
很多人沒什麼警戒心啦......
HHL
@HHleon
Fri, Nov 8, 2024 12:31 AM
Qoo
: 主要還是第一次要輸入google登入時很多人就已經被盜取了吧
歐醬
@OlinaLive2D
Fri, Nov 8, 2024 12:47 AM
感謝分享!長知識了
喀嚓
@aozorakacha
Fri, Nov 8, 2024 11:18 PM
Qoo
: 哇 不過蘋果電腦下載非商店程式開啟時都會需要電腦密碼欸(桌機)
突然感覺好難分
RicaHana
@Rica6__Hana2
Sat, Nov 9, 2024 2:04 PM
謝謝分享 這真的太恐怖了
我一定會被騙
載入新的回覆
ㄎㄅ我剛遇到一個超高段詐騙
好險我沒被騙,有即時發現,我沒那麼好騙🤣
但我覺得這手法一定要分享出來給大家知道
1. 首先這個詐騙假裝要跟你合作,所以約了一個線上會議,到這邊都很正常
2. 接著,會議前5分鐘他突然傳訊息說上個會議delay 了,等等他的兩位同事會先加入
3. 然後我跟他兩位同事聊了大約15分鐘後,他又傳訊息說他會議終於結束,可以加入了
4. 但他表示,他因為地區限制無法加入zoom 也無法加入 google meet,提出「那就用他們公司內部的開會網站吧」
5. 於是我就想說好吧,用用看他的線上開會網站
7. 註冊成功後離奇的事來了,那個開會網站顯示了10秒後就跳出「因為系統設定,我必須下載電腦app版本才能繼續用」,所以又無法會議了 😅 我只好接著去下載
9. 接著我想到疑點三,我到他們給我的公司官網上看他們每個團隊成員的名字,竟沒有一個人的名字跟現在在跟我線上會議的人名字一樣,真的太搞笑
10. 到這邊我87%確定他是詐騙了
12. 他們兩位同事繼續在原本電話中很著急想幫我解決會議軟體的樣子,我已經啟動看笑話模式
13. 100%確定他是詐騙後,我退出了會議並開始跟他們推銷我的 ai chatbot 產品
14. 他竟問我這是不是需要付費才能使用,還表示他「surprisingly like it」真是笑死我 🤣
15. 以下提供截圖給大家笑笑,到時候他要是真的用了我們平台建立AI聊天分身,我們再去後台魔改讓他怎樣都騙不到別人 😄
歡迎反詐中心來與我們合作
1. 他跟你說要用其他會議軟體時,先騙一次你的常用帳密跟 google 登上授權(好險我平常習慣就不會連結未知網站到重要帳號)
2. 然後下載後再用「需要開啟權限」的提示來讓你自行輸入電腦密碼,一般人因為很習慣這樣了所以很容易下意識就輸入
3. 他先讓他同時跟你聊一陣子,讓你有「談合作談到一半的錯覺」,然後再表示有更大咖的他們主管要加入會議,讓你也有急著想跟他通到電話的心態,這種時候通常人的戒心會降低
4. 整個註冊會議網站的體驗非常絲滑,註冊郵件驗證碼、官網 UI 設計等細節都開發的非常到位,看來這詐騙投入了不少預算,真的不要小看他們的專業程度
詐騙還要你下載他的app, 遠端遙控接手你的電腦。
來路不明 app 不建議下載和開啟。一開就問題大了。
萬一駭客拿到帳密要有另一個裝置上你的 Google 帳戶來確認。這個 2FA 會擋掉洩露第一波。
詐騙:以錢為目標,只要你沒錢就沒差,反制手段包含報警凍結銀行帳戶。
社交工程攻擊:目標包含帳密、電腦控制權、電腦內的重要資料,然後也不適用詐騙相關法規,不能凍結對方銀行帳戶(畢竟沒有這東西)
-
為什臺大資工會用「詐騙」,而不是「社交工程攻擊」指稱這行為?難道他都沒在上資安課程,不知道這詞嗎?
你的用詞很針對性所以我就來回覆
1.因為講詐騙非本科比較容易懂。
2.我自己認為這算詐騙,社交工程攻擊是詐騙一種
騙人去國外當黑工也是詐騙。
記得法律上是寫生命財產受損失,生命財產是一個詞沒分開。
3.雖然我也是資工系但沒上過資安課程。是有教授曾想開這類課結果因為有爭議就沒了(老一輩不會辨別黑帽駭客和白帽駭客,更別說以前用的Cracker和Hacker差別。Cracker資訊還是我從圖書館舊書翻到的)。
---
如果你有所堅持那也沒差, 你說的都對.jpg
好險
很多人沒什麼警戒心啦......
突然感覺好難分
我一定會被騙