近期，冒充 E-ZPass 及其他收費機構的網絡釣魚活動愈演愈烈，收件人會收到多條 iMessage 和短信，企圖竊取個人及信用卡信息。

這些信息中嵌入了鏈接，一旦點擊，就會將受害者帶到冒充 E-ZPass、The Toll Roads、FasTrak 或其他收費機構的釣魚網站，試圖竊取他們的個人信息，包括姓名、電子郵件地址、實際地址和信用卡信息。

這種詐騙手段并非新出現的，聯邦調查局早在 2024 年 4 月就已發出過相關警告。這些短信繞過了反垃圾郵件措施，且來自看似隨機的電子郵件地址，再加上攻擊的規模，表明這仍是一次自動化攻擊。

此次發現的詐騙短信冒充 E-ZPass 或機動車管理局直接發送。這些短信使用的語言帶有緊迫感，比如稱通行費需在一天或兩天內支付，否則將產生額外費用，或者駕照將被吊銷。

該活動中的網絡釣魚短信樣本

蘋果 iMessage 自動關閉來自未知發件人的信息鏈接，以保護用戶免受短信釣魚詐騙。為了繞過這一點，騙子會讓用戶回復文本，這樣鏈接就可以點擊了。

點擊提供的鏈接將受害者帶到一個E-ZPass網絡釣魚網站，除了URL，它看起來像一個合法的網站。安全研究人員測試表明，該釣魚網站僅在手機上加載，因此桌面用戶不會看到它。

受害者登錄的釣魚頁面

在這種騙局中發送的短信數量如此之大，以至于用戶對特定騙局發生頻率表示沮喪，據統計，這種信息有時一天多達7條短信。

雖然這些信息的來源尚未確定，但最近發現了一個名為Lucid的新興網絡釣魚即服務平臺，該平臺與這些類型的騙局有關。

Lucid和Darcula等平臺使用加密的iMessage和RCS消息繞過傳統的反垃圾郵件過濾器，發送大量文本，而不會產生與標準短信發送相關的成本。

如果用戶收到其中一條消息，應該阻止并報告該號碼，以便將電子郵件地址或電話號碼報告給Apple。然而，作為一般規則，用戶應盡量避免回應這些騙局。

對于那些擔心他們有合法的未付款項的人，應該直接登錄收費當局的網站來檢查任何余額。邦調查局此前曾建議收件人在IC3門戶網站上提出投訴。

參考及來源：https://www.bleepingcomputer.com/news/security/toll-payment-text-scam-returns-in-massive-phishing-wave/如若