FBI Email Scam 其实就是 419 Scam 的一种,只不过这回使用 FBI 的名义使其看起来很可信,毕竟 FBI 对于很多人来说都是很神秘很酷的一个美国政府组织。此类邮件通常以 FBI 逮捕了一名 419 Scam 诈骗犯并得知其从收件人手中骗得巨额款项,出于某些原因(诈骗犯被逮或者临终反省,不管你信不信,反正我不信的原因)交代了犯罪事实并将赃款所在账户信息及受害者信息一并呈供。但是这些账户被银行冻结,为了解冻,FBI 需要收件人提供个人信息及银行账户来解冻并转账这笔款项。如果你回复了此类邮件并提供了个人信息,那么恭喜你,你的账户可能会被清零。
在此不再赘述,因为此类邮件在某种程度上的确很弱智,FBI(Federal Bureau of Investigation)- 美国联邦调查局,主要职能调查反联邦法犯罪,支持法律,保护美国,调查来自于外国的情报和恐怖活动,在领导阶层和法律方面对联邦、州、当地和国际机构提供帮助,同时在响应公众需要和忠实于美国宪法的前提下履行职责。
下面例举一些实例让大家看一下:
以上了解一下就好不用再深入,但是在收集此类 scam 邮件时,小编发现了些有趣的案例,这些案例可以说是一种钓鱼邮件也可以说是一种勒索邮件或者黑客邮件。
当你打开一封自称来自FBI的邮件,或者打开了某个邮件的附件,然后发现你的电脑被锁,屏幕显示了一条来自“联邦调查局网络犯罪部门(ICSPA)”的通知:“警告!你的电脑已被锁上,所有数据被加密”。那么说明你的电脑感染了一款叫“Trojan Reveton”的恶意病毒。
这种木马病毒可以通过各种途径传播,恶意网站,或者被植入病毒的合法网站都可能会将这样的病毒传播到安全系数不高的电脑上。有的会将病毒作为附件或者加入有此病毒的网站链接,以垃圾邮件形式传播。还有种是放在下载文件中。ICSPA 病毒也普遍在存在文件共享网站的打包文件中或者软件中。
一旦病毒安装到电脑上,程序就会显示一份通知,伪装成来自国际网路安全保护联盟或者组织的信息,告诉你你的电脑由于涉及色情信息,垃圾邮件或者版权保护等问题被锁。
ICSPA 病毒会禁止你登录你的电脑,无论何时你想打开你的电脑即便使用安全模式登录网络的时候,它都可以进行锁屏并通知你通过“Ukash”,”Money Pak” 或者’Paysafecard”支付一份不存在的罚款。此外,为了让此警报看起来更加真实,这类病毒也可以访问你所安装的摄像头,这样能显示房间里发生了什么。
ICSPA 病毒会锁定计算机,根据用户的当前位置,显示一个本地化的网页覆盖整个受感染的电脑桌面并要求支付一定额度的钱款,
网络黑客会与时俱进地设计这个锁屏页面,所显示的信息会根据用户所在地使用适当的当地语言来骗取用户的信任。但是 ICSPA 锁屏就是一个骗局,你只要记得 FBI 是不会锁定你的电脑监控你的网络活动,你应该忽略这类所谓的警告。任何情况下都不要将你的 UKASH 或者 MONEYPAK 代码给这些网络罪犯。如果你不幸中招,请向网络支付平台申请退款。
当然我相信大多数国内的外贸人士看到此类邮件一定会秒删,毕竟FBI跟我们没有任何毛的关系。但是前文中也提到,黑客们的智商不容小觑,说不定会冒出个国安局锁屏病毒呢,对吧?
此类病毒通常会修改你的注册表,将其设定为开机启动,即使你 root 了你的电脑,它也会重新加载。万一碰上了此类病毒,下面有几个方法可供你参考:
方法一,用安全网络模式启动你的电脑,并扫描恶意软件。有些病毒版本是允许用户用安全模式启动电脑不显示锁屏信息,在这样的情况下,我们可以用安全模式开启电脑并扫描恶意软件后删除它,步骤如下,
1.移除掉所有软盘,移动硬盘,光盘或者U盘等外接存储器。
2.按住 F8 重启电脑,请记住,需要按住 F8 直到 Windows 启动标志出现。
注意:有的电脑在长按某个按键后会有一个锁定不动的“key message”,如果是这样的话,就一直不停的按 F8 知道启动界面出现。
3.在“Advanced Boot Option”界面,使用光标键选择“safe mode with networking”,然后点击 Enter 键。
4.安全模式启动后,只需要用病毒软件进行全盘扫描然后删除此恶意软件。
如果病毒版本不允许启用安全模式时,请按照下面步骤移除病毒程序。
方法二,使用系统还原窗口还原到之前的状态
1. 启动电脑长按 F8
2.移动光标选择“Safe Mode with Command Prompt”
3.在 Command Prompt 界面,键入命定“cd restore”,然后点击 Enter,然后键入命令“rstrui.exe”,点击 Enter。如果你使用的是 vista 或者 W7/8 的话,你只需键入命令“C:\windows\systerm32\rstrui.exe”然后点击 Enter。如果是 XP 系统,你需要键入“C:\windows\system32\restore\rstrui.exe”。
4.选择还原将系统还原至初始状态
5.系统重启后,再次启用杀毒软件移除病毒源文件。
如果病毒版本不允许还原系统的话,我们还可以用下面方法。
方法三,修改注册表,修改病毒程序开机启动的设定
1.在 “safe mode with command prompt” 界面,键入”mscofig” 按 Enter 启动 windows 系统配置程序
2.点击 startup 搜索可疑文件(通常以随意的字母数字组合的文件名,如 ctfmo.exe ),然后选择 unckech them from startup,点击 OK。这样操作将会禁止开机启动病毒程序。
3.在 command prompt 界面键入“shutdown/r”重启你的电脑,然后再用杀毒软件杀毒即可。
此类邮件不太常见,所以特别提出给大家做一个参考。上述几种操作方法也可用作平时电脑杀毒,一般病毒基本都可以用杀毒软件清除,如果锁屏或者无法清除可用以上方法进行清理。
文/Carol料网
