攻击技术：伪造一切！（托管诈骗）

团队最近收到关于SmartScreen网络钓鱼过滤器的假阴性报告，投诉称未能拦截firstline-trucking.com。我将其转交给评估员，但随后自己进行了更仔细的查看。我猜测合法网站可能位于非常相似的域名，例如firstlinetrucking.com或其他，但这样的网站并不存在。

奇怪。

简单调查技术

我打开Netcraft扩展程序，立即注意到几件事。首先，该网站是新网站。这很可疑，因为他们声称自2002年就开始运营。其次，该网站显然托管在英国，尽管他们吹嘘"战略性地位于美加边境"。可疑…就在上面，他们提供了德克萨斯州的地址。可疑。

让我们在Google地图中查看该地址。嗯。一个没有标志的普通仓库。可疑。

好吧，让我们看看还有什么。让我们转到"关于我们"页面，看看谁声称在这里工作。右键单击CEO的照片并选择"复制图片链接"。

将该URL粘贴到TinEye中，查看该图片在网络上的其他地方出现的位置。啊，它来自一个图库网站。非常可疑。

调查其他员工照片和"客户推荐"部分的客户图片显示，其中大多数也来自图库网站。不幸命名为"Marry Hoe"的人的照片出现在其他几个"关于我们"页面上——看起来她可能来自模板。她的个人资料页面全是Lorem Ipsum占位符文本。

我惊讶地发现网站上最大的照片之一在TinEye中完全没有显示。然后我查看了开发者工具，注意到图片的文件名揭示了秘密——ai-generated-business-woman-portrait。啊，这就解释了。

我尝试搜索网站顶部的电话号码((956) 253-7799)，但在Google上基本上没有结果。这既非常可疑又非常令人惊讶，因为通常用Google搜索电话号码会找到许多关于该号码运行的诈骗投诉。

更多诈骗！

嗯…网站上的所有博客文章呢？它们不全是Lorem Ipsum文本。嗯…但它们确实引用了其他公司。也许这些诈骗者只是从某些合法公司窃取了文本？似乎"New England Auto Shipping"可能是他们窃取文本的合法公司。让我们复制此文本并将其粘贴到Google中：

我没有找到来源（可能是neautoshipping.com，这是2024年10月诈骗的早期版本），但我确实找到了攻击的另一个实时副本，托管在类似域名上：

此版本托管在firstline-vehicle.com，电话号码为(908-505-5378)，地址在新泽西州。他们简直是在到处复制/粘贴他们的诈骗！

Netcraft报告称它在下个月首次被发现。幸好我的时间机器正在运行！

这个诈骗网站的页面标题与诈骗者不匹配。嗯…如果我搜索"Bergen Auto Logistics"会发生什么？

另一个诈骗网站bergen-autotrans.com，这个月注册，由一位图库女性担任CEO：

这里有一些更有趣的照片，包括一些不那么明显伪造的照片：

看起来在2024年11月有一个早期版本的网站bergenautotrans.com，现在已下线：

搜索周围，我们看到纽约目前也有一家名为"Bergen Auto"的合法企业，这些诈骗者可能试图利用其名称和声誉。现在一些部分开始变得更加清晰——纽约的卑尔根位于美加边境。

搜索字符串"Your car does not need be running in order to be shipped"会找到更多诈骗副本，包括britt-trucking.net，电话号码为(602) 399-7327：

另一位随机的图库CEO在这里，我们的同一总经理现在有了新名字：

…嘿，看，我们的老朋友，现在他们衬衫上有不同的标志！

有趣的是，如果你放大照片，你会看到名称和标志甚至与诈骗网站不匹配。公司标志和文件名包含Sunni-Transportation，这也在我们查看的第一个网站上的Marry Hoe的文件名中找到。

相同的"Your car does not need be running in order to be shipped"字符串也在两个现已离线的网站unitedauto-transport.com和unitedautotrans.net上找到。

不是网络钓鱼，但绝对可疑

我回到最初的投诉人并要求澄清——这个网站似乎没有假装是任何其他公司的网站，而是似乎完全由AI和图库照片制造而成。

他解释说，攻击者在Craigslist[1]上寻找购买二手车的人。他们发布一些虚假列表，然后假装（虚假）卖家选择他们作为托管提供商。经过大量文书工作后，受害买家向攻击者电汇数千美元购买不存在的汽车。攻击者立即发送一个虚假跟踪号码，该号码指向一个从未更新的订单跟踪页面。他们正在虐待那些风险规避足够强，寻求托管公司来保护大额交易，但无法验证该"托管公司"真实性的人…也就是聪明人。（买了三次房子，我可以说验证托管公司的合法性是一项非常困难的任务）。像这样的托管诈骗只是几种流行攻击之一——本指南和本指南描述了几种诈骗以及如何避免它们。

Better Business Bureau早在2020年就有一篇关于车辆托管诈骗的文章，FTC在一年前也有。Reddit甚至有一个自动机器人来解释这种诈骗。2021年，一名俄亥俄州男子因通过此类诈骗窃取超过1000万美元被判处14年监禁。

不幸的是，创建一个几乎完全由像素构成的虚假企业是一种简单的诈骗，而且不容易防范。在没有滥用现有企业声誉的情况下，没有组织特别有动力去做让坏人被取缔的工作。像SafeBrowsing和SmartScreen这样的网络钓鱼保护功能并非设计用于防范"商业实践诈骗"。

使在线业务如此容易启动的相同因素——低开销、无房地产、模板和AI可以完成大部分工作——使得发明仅存在于受害者心中的虚假企业变得容易。在诈骗者被发现后，网站消失，背后的骗子简单地消失。

我建议报告人向FTC、互联网犯罪投诉中心以及Netcraft报告欺诈行为，Netcraft确实维护各种类型诈骗网站的源，而不仅仅是网络钓鱼/恶意软件。

保持安全！

更新：截至2025年9月12日，托管诈骗网站的新版本正在运行： https://fl-trans.com/

他们使用与早期版本相同的图库照片和略微编辑的媒体混合：

这个似乎托管在巴西：

-Eric

附言：天啊。https://escrow-fraud.com/search.php

浏览这里，大多数网站都已关闭，但并非全部。有些已经活跃多年！

[1] 在大学时，一个朋友在Craigslist上成为另一种诈骗的受害者，即多付款诈骗。他们租了一个三居室公寓，需要第三个室友。他们被一名需要房间的"国际学生"联系，该学生寄给我朋友的支票比要求的多500美元。“哎呀，你能把多余的电汇回来吗？我现在真的需要它！“诈骗者恳求道。我好心的朋友电汇回了"多付款"金额，几天后伤心地发现原始支票当然没有实际清算。他们损失了500美元，对于两个破产的年轻大学生来说这是一笔巨款。

同样的多付款诈骗也用于虚假汽车销售。