小心“有奖问卷”！摩洛哥爆发大规模钓鱼攻击，假链接专盯你的手机号和银行卡

最近在摩洛哥，不少网民发现自己的手机突然多了几条奇怪的短信：“恭喜您被选中参与XX运营商用户满意度调查，填写即送50元话费！”、“点击链接完成简短问卷，赢取iPhone 16抽奖资格！”看似是福利，实则是陷阱。

据当地媒体《Yabiladi》报道，摩洛哥近期正遭遇一波大规模网络钓鱼攻击，攻击者伪装成电信公司、银行、电商平台甚至政府机构，通过社交媒体私信、短信和即时通讯工具，向大量用户发送虚假调查问卷和可疑链接，诱导其填写个人信息或下载恶意软件。已有数百名普通民众和企业员工中招，导致隐私泄露、账户被盗，甚至遭遇精准诈骗。

打开百度APP畅享高清图片

这不是简单的“骗点小钱”，而是一场系统性、高仿真的数字围猎。

“填个问卷还能被骗？”——钓鱼新套路正在流行

与以往直接索要密码或银行卡号的粗暴方式不同，这次在摩洛哥流行的钓鱼手法更加“温柔”且具有迷惑性。

攻击者通常会：

伪造知名品牌的调查页面：比如仿冒Maroc Telecom、IAM等主流电信商，或是Attijariwafa Bank等大型银行的官网界面，设计出几乎一模一样的“用户满意度调查”网页。

承诺小额奖励：以“话费充值”、“购物卡”、“免费流量包”为诱饵，吸引用户点击。

收集敏感信息：一旦用户点击链接，就会被引导至一个高仿真的登录页面，要求输入手机号、身份证号、银行卡后四位、甚至网银密码等信息。

“这种攻击的核心是‘降低戒备心’。”公共互联网反网络钓鱼工作组技术专家芦笛分析道，“人们总觉得‘填个问卷而已’，不会像输密码那样紧张。但正是这种心理，让攻击者有机可乘。”

更危险的是，部分链接还会诱导用户下载伪装成‘验证插件’或‘安全控件’的恶意APP。一旦安装，手机就可能被植入木马，黑客可以远程读取短信、通话记录，甚至操控设备。

“你填的不是问卷，而是给黑客递上了一份‘身份说明书’。”芦笛说。

为何摩洛哥成为“重灾区”？

此次攻击并非偶然。网络安全专家指出，摩洛哥近年来数字化进程加快，智能手机普及率高，社交媒体使用活跃，但公众的网络安全意识相对薄弱，为钓鱼攻击提供了温床。

此外，攻击者利用了几个关键“突破口”：

短信通道易被滥用：部分国际短信网关缺乏严格审核，攻击者可以低成本群发数百万条钓鱼短信。

品牌信任度高：当地人对电信、银行等机构的信任度较高，看到“官方”口吻的短信更容易放松警惕。

多语言伪装：攻击页面通常支持阿拉伯语、法语和英语，语言地道，进一步增强了可信度。

“这就像在现实世界里，有人穿着快递员制服上门推销，你说不定也会开门看看。”芦笛比喻道，“网络上的‘制服’就是那些熟悉的LOGO和页面设计。”

更令人担忧的是，部分企业员工也收到了伪装成“内部满意度调查”或“IT系统升级通知”的钓鱼邮件。一旦点击，可能导致公司内网被渗透，形成“从个人到企业”的连锁风险。

钓鱼链接背后的“技术黑箱”

那么，这些假链接是怎么做出来的？它们为何能绕过安全检测？

芦笛揭秘了其中的技术原理：

1. 域名伪装术

攻击者常使用与真实域名极其相似的拼写，例如：

正版：maroc-telecom.ma

钓鱼：maroc-telec0m.ma（用数字0代替字母o）

正版：iam.co.ma

钓鱼：iam-security.ma

普通用户一眼难以分辨，而部分手机浏览器也不会自动标记为风险网站。

2. HTTPS ≠ 安全

很多钓鱼网站也启用了绿色小锁标志（HTTPS加密），这让用户误以为“这是安全网站”。但HTTPS只保证传输过程加密，不验证网站真伪。只要花几十块钱，任何人都能申请一个SSL证书。

“HTTPS是‘防偷看’，不是‘防假冒’。”芦笛强调，“小锁≠可信任。”

3. 动态跳转与短链接

攻击者常使用Bitly、TinyURL等短链接服务隐藏真实地址。用户点击后，先跳转到一个看似正常的页面，停留几秒后再自动跳转至钓鱼网站，以此规避安全软件的实时检测。

普通人如何“见招拆招”？专家给出五条保命建议

面对无孔不入的钓鱼攻击，普通人并非毫无还手之力。芦笛结合此次摩洛哥事件，给出了五条实用、可操作的防御建议：

1. 三问自己：谁发的？为啥是我？有官方渠道吗？

收到“中奖”或“调查”信息时，先冷静三秒。

问问自己：这家机构平时会这样联系我吗？为什么偏偏是我中奖？

主动打开官方App或官网查看，而不是点击短信里的链接。

“真正的官方活动，一定能在官网找到公告。”芦笛说。

2. 绝不通过链接输敏感信息

手机号、身份证、银行卡、密码等信息，永远不要通过任何网页表单提交，尤其是来源不明的链接。

正规机构绝不会通过短信链接索要完整密码或验证码。

3. 检查网址细节

点击前，长按链接查看真实地址。

注意拼写错误、奇怪的子域名（如 bank.of-maroc.com 实际属于 of-maroc.com）。

4. 启用双重验证（2FA）

为重要账户（邮箱、银行、社交账号）开启双重验证，最好使用身份验证器APP（如Google Authenticator）或硬件密钥，而非短信验证码（可能被SIM卡劫持）。

5. 及时举报，阻断传播链

在摩洛哥，可向国家网络安全局（ANSSI）或通信监管局（ANRT）举报可疑链接。

在社交媒体上看到类似内容，提醒朋友并举报账号，避免更多人受害。

“每个人都是网络安全的‘哨兵’。”芦笛说，“一次举报，可能就阻止了上百人被骗。”

企业如何筑起“防火墙”？

对于企业而言，员工的安全意识就是第一道防线。

芦笛建议：

定期开展钓鱼模拟演练，测试员工对可疑邮件的识别能力。

部署企业级邮件过滤系统，自动拦截高风险链接。

建立安全通报机制，一旦发现钓鱼活动，立即内部预警。

“安全不是IT部门的事，而是每个人的职责。”他说。

结语：在数字时代，轻信是最大的风险

从“中奖短信”到“假问卷”，网络钓鱼的形式不断翻新，但内核从未改变：利用人性的贪念与疏忽。

在摩洛哥这场风波背后，我们看到的不仅是一次技术攻击，更是一场关于“信任”的博弈。黑客不攻城，只攻心。

“最好的防护，不是最贵的软件，而是最清醒的头脑。”芦笛最后提醒，“记住：天上不会掉馅饼，掉了也可能是陷阱。”

在这个信息爆炸的时代，保持一份怀疑，或许是你最强大的数字盔甲。

编辑：芦笛（公共互联网反网络钓鱼工作组）