美國法院警告：6.99美元罰單騙局3個(gè)月暴增400%，掃碼就中招

去年你還在刪"ETC欠費(fèi)"短信，今年騙子已經(jīng)學(xué)會(huì)偽造法院傳票了。Bleeping Computer最新監(jiān)測(cè)數(shù)據(jù)顯示，一種植入二維碼的虛假交通違章通知正在美國各州快速蔓延，受害者平均損失從6.99美元的小額"罰款"開始，最終往往被盜刷數(shù)千美元。

這種詐騙的狡猾之處在于它完美復(fù)制了政府公文的視覺語言。短信發(fā)件人顯示為"State Court"或具體州名法院，正文以"NOTICE OF DEFAULT（違約通知）"開頭，附帶一個(gè)看似正規(guī)的案件編號(hào)。用戶掃描二維碼后，會(huì)被引導(dǎo)至一個(gè)高度仿真的支付頁面，要求輸入信用卡信息繳納6.99美元的"行政處理費(fèi)"。

網(wǎng)絡(luò)安全公司Sekoia的研究人員追蹤發(fā)現(xiàn)，該詐騙團(tuán)伙的運(yùn)營(yíng)基礎(chǔ)設(shè)施與2024年活躍的"假高速通行費(fèi)"短信 campaign 高度重合。當(dāng)時(shí)騙子冒充E-ZPass等收費(fèi)系統(tǒng)發(fā)送欠費(fèi)提醒，誘導(dǎo)用戶點(diǎn)擊釣魚鏈接。升級(jí)到二維碼版本后，攻擊者成功繞過了部分短信安全過濾機(jī)制——因?yàn)榧兾谋径绦胖械膼阂怄溄尤菀妆蛔R(shí)別，而二維碼將URL隱藏為圖像，增加了檢測(cè)難度。

FBI網(wǎng)絡(luò)犯罪投訴中心（IC3）在2024年年度報(bào)告中將此類攻擊歸類為"quishing"（二維碼釣魚），并指出其投訴量同比激增51%。更值得警惕的是，6.99美元這個(gè)定價(jià)經(jīng)過精心設(shè)計(jì)：足夠低到讓人懶得核實(shí)真?zhèn)危肿銐蚋叩礁采w批量購買被盜信用卡信息的成本。

一條短信的完整解剖：騙子如何讓你放下戒心

讓我們拆解一條真實(shí)的詐騙短信樣本。發(fā)件人ID被偽造成"StateCourt-AL"（阿拉巴馬州法院），正文寫道："您因未處理的交通違章已被登記違約。案件編號(hào)：AL-2024-78432。請(qǐng)于48小時(shí)內(nèi)掃描下方二維碼繳納6.99美元處理費(fèi)，以避免駕照吊銷和額外法律費(fèi)用。"

二維碼指向的域名通常采用typosquatting技術(shù)，例如"statecourt-al.com"或"al-courtservices.net"，與官方網(wǎng)站僅差一兩個(gè)字符。支付頁面使用了從美國各州法院網(wǎng)站抓取的徽標(biāo)、配色和版式，甚至包含虛假的SSL證書鎖標(biāo)。安全研究員MalwareHunterTeam在Twitter上發(fā)布的截圖顯示，部分釣魚頁面的精細(xì)程度足以騙過有法律背景的用戶。

支付流程的設(shè)計(jì)同樣充滿心理操控。頁面首先要求輸入車牌號(hào)和違章日期——這些信息騙子其實(shí)沒有，但表單會(huì)"智能"地接受任何輸入。隨后跳轉(zhuǎn)至信用卡信息頁，這里才是真正的攻擊目標(biāo)。部分變種還會(huì)在提交后顯示"支付失敗，請(qǐng)更換卡片重試"，誘導(dǎo)受害者輸入第二張、第三張卡的信息。

Bleeping Computer從威脅情報(bào)源獲取的數(shù)據(jù)顯示，該詐騙活動(dòng)自2024年11月起進(jìn)入活躍期，在2025年1月至3月間達(dá)到峰值。攻擊者采用了高度模塊化的運(yùn)營(yíng)模式：同一套后端系統(tǒng)可以快速切換前端偽裝，今天模仿佛羅里達(dá)州法院，明天就可能變成紐約州 DMV。

為什么二維碼成了騙子的新寵

二維碼的普及為攻擊者創(chuàng)造了獨(dú)特的攻擊窗口。疫情期間養(yǎng)成的掃碼習(xí)慣讓公眾對(duì)黑白方塊的警惕性大幅降低——餐廳點(diǎn)餐、停車場(chǎng)繳費(fèi)、健康碼核驗(yàn)，這些日常場(chǎng)景訓(xùn)練出了近乎條件反射的掃碼行為。騙子利用的正是這種行為慣性。

技術(shù)層面，二維碼相比傳統(tǒng)釣魚鏈接有三大優(yōu)勢(shì)。第一，URL不可直視，用戶無法像閱讀文本鏈接那樣快速識(shí)別異常域名。第二，二維碼可以嵌入圖片短信（MMS），繞過針對(duì)純文本的過濾規(guī)則。第三，動(dòng)態(tài)二維碼允許攻擊者實(shí)時(shí)更換后端URL，即使某個(gè)域名被封禁，已發(fā)送的短信仍然有效。

移動(dòng)安全廠商Lookout的分析報(bào)告指出，2024年第四季度檢測(cè)到的二維碼釣魚攻擊中，67%針對(duì)金融憑證，23%針對(duì)企業(yè)登錄憑據(jù)，交通違章類僅占約7%。但進(jìn)入2025年后，后者的占比快速攀升至19%，顯示出攻擊者正在大規(guī)模復(fù)制這一模式。

美國各州政府的數(shù)字化進(jìn)程也在無意中為騙局提供了素材。越來越多的州法院推出在線違章查詢和繳費(fèi)系統(tǒng)，官方短信通知成為常態(tài)，這模糊了真假邊界。加利福尼亞州法院行政辦公室在2025年2月專門發(fā)布聲明，強(qiáng)調(diào)"本州法院不會(huì)通過短信發(fā)送二維碼要求付款"，但這則聲明的傳播范圍遠(yuǎn)不及詐騙短信本身。

識(shí)別與防御：比"不掃碼"更現(xiàn)實(shí)的策略

完全拒絕掃碼在現(xiàn)代社會(huì)已不具可行性。更務(wù)實(shí)的做法是建立分層驗(yàn)證機(jī)制。收到任何要求付款的短信后，第一步應(yīng)直接訪問官方網(wǎng)站——不是通過短信中的鏈接或二維碼，而是手動(dòng)輸入已知域名或使用書簽。以交通違章為例，各州 DMV 或法院網(wǎng)站通常設(shè)有專門的違章查詢?nèi)肟冢斎胲嚺铺?hào)即可核實(shí)是否存在未處理記錄。

對(duì)于二維碼本身，iOS和Android系統(tǒng)都提供了預(yù)覽功能。長(zhǎng)按二維碼選擇"預(yù)覽鏈接"（iOS）或點(diǎn)擊"顯示鏈接"（Android），可以在不訪問的情況下查看完整URL。檢查域名時(shí)重點(diǎn)關(guān)注頂級(jí)域名前的部分：官方站點(diǎn)通常是".gov"結(jié)尾，而釣魚站點(diǎn)多為".com"或".net"，且包含多余的連字符或單詞。

信用卡層面，啟用實(shí)時(shí)交易通知和單次虛擬卡號(hào)可以大幅降低損失。許多銀行現(xiàn)在支持為在線交易生成一次性卡號(hào)，即使信息泄露也無法用于其他消費(fèi)。6.99美元的"小額測(cè)試"是盜刷團(tuán)伙的常用手段，發(fā)現(xiàn)任何不明小額扣款都應(yīng)立即凍結(jié)卡片并聯(lián)系發(fā)卡行。

企業(yè)安全團(tuán)隊(duì)需要關(guān)注的則是攻擊的變種形態(tài)。Sekoia的報(bào)告提到，同一基礎(chǔ)設(shè)施已被觀察到發(fā)送"包裹滯留""稅務(wù)退款"等主題的二維碼釣魚短信。攻擊者正在將交通違章模式復(fù)制到其他涉及政府或物流服務(wù)的場(chǎng)景，利用相似的緊迫感和權(quán)威性誘導(dǎo)點(diǎn)擊。

FBI在2025年3月的公眾警報(bào)中特別強(qiáng)調(diào)了"quishing"的上升趨勢(shì)，并建議收到可疑二維碼的用戶通過IC3.gov提交投訴。這些投訴數(shù)據(jù)直接影響執(zhí)法資源的分配和域名查封的優(yōu)先級(jí)。單個(gè)投訴看似微不足道，但聚合后的模式分析是追蹤跨國詐騙團(tuán)伙的關(guān)鍵。

技術(shù)對(duì)抗也在同步推進(jìn)。Google Messages和Apple iMessage都已部署基于機(jī)器學(xué)習(xí)的二維碼安全檢測(cè)，對(duì)已知惡意域名發(fā)出警告。但攻擊者的響應(yīng)速度同樣驚人：安全廠商Recorded Future觀察到，部分釣魚 campaign 的域名存活時(shí)間已縮短至4小時(shí)以內(nèi)，采用快速輪換策略躲避黑名單。

這場(chǎng)攻防戰(zhàn)的最終勝負(fù)可能取決于用戶行為的微小改變。當(dāng)6.99美元的"便利"與幾秒鐘的核實(shí)時(shí)間形成對(duì)比時(shí)，選擇后者的人數(shù)比例，直接決定了這類詐騙的經(jīng)濟(jì)可行性。騙子精于計(jì)算投入產(chǎn)出比，而用戶的集體警惕就是最昂貴的防御成本。

你最近一次掃碼前，有沒有先看一眼鏈接指向哪里？