电子邮件诈骗：针对高等教育师生的预付款诈骗活动

关键要点

Proofpoint 发现了一种利用钢琴主题电子邮件进行预付款诈骗AFF的活动，主要针对北美的大学生和教职工。诈骗伪装成提供免费钢琴，要求受害者先支付运费，涉及多个电子支付平台。诈骗者可能位于尼日利亚，已经收取了超过 900000 美元的比特币交易。

事情经过

最近，Proofpoint 识别出了一组利用恶意电子邮件活动，以钢琴主题信息诱骗受害者参与预付款诈骗 (AFF)。这些活动自至少2024年1月以来就已开始，并仍在进行中。大多数信息的目标是北美高校的学生和教职工，同时也观察到了针对医疗和食品饮料服务等行业的其他目标。到目前为止，Proofpoint 已经发现与这次钢琴诈骗活动相关的电子邮件数量至少达到125000条。

手机版clash下载

在这些活动中，诈骗者声称提供一架免费的钢琴，通常声称原因是家庭中的某个成员去世。当目标回复时，诈骗者指示他们联系一家运输公司以安排送货，而该联系的电子邮件同样是由诈骗者管理的伪造地址。随后，运输公司声称，只要受害者先支付运费，他们就会发送钢琴。

伪造的电子邮件，声称将赠送一架“免费的”钢琴：

虚假的运输公司提供的运输选项：

诈骗者通过多种支付方式要求付款，包括 Zelle、Cash App、PayPal、Apple Pay 或加密货币。他们还试图收集用户的个人信息PII，包括姓名、地址和电话号码。

Proofpoint 识别出至少一个比特币钱包地址，该钢琴诈骗者指向的支付地址。截至目前，该钱包交易总额超过900000美元。考虑到交易量、交易价格的变化及与该账户关联的总体金额，可能有多个诈骗者同时进行各种类型的诈骗活动，使用同一钱包地址。

尽管电子邮件内容相似，但发件地址却各不相同。诈骗者通常使用免费邮件账户，通常包含一些名字和数字的组合。大多数活动包括电子邮件内容和联系地址的多种变化。

鉴定

为了获取有关诈骗者的更多信息，研究人员与这些欺诈者进行对话，并说服他们与研究人员管理的重定向服务进行互动。Proofpoint 能够识别出至少一名实施者的 IP 地址和设备信息。根据获得的信息，研究人员自信地评估至少有一部分操作位于尼日利亚。

研究人员与诈骗者对话的部分截图：

预付款诈骗 (AFF)，过去又被称为“419”、“尼日利亚419”或“尼日利亚王子”电子邮件诈骗，发生在诈骗者要求潜在受害者先支付少量金额，以换取承诺稍后会支付给受害者的更大金额。此类欺诈形式层出不穷，通常包含复杂的故事，解释为何会有一笔大额款项、工作机会或其他商品和服务可供受害者，同时又为何发件人需要受害者先支付少量前期费用以获得承诺的款项或商品。一些骗局还会诱使受害者关注遗产、奖金、政府付款和国际商业等主题。

一旦受害者支付了小额资金，诈骗者便会切断所有联系，消失无踪。

重要性

Proofpoint 之前已经发布了关于使用多种不同主题吸引收件人的 AFF 活动的研究，包括针对大学生的就业机会和加密货币诈骗。在所有情况下，AFF 都依赖于复杂的社会工程学和多种不同的平台来处理支付。