Credit Resources Vault 诈骗针对财务脆弱人群收取欺诈性费用

执行摘要

一个目标电子邮件活动冒充一个不存在的金融服务“信用资源库”来利用信用评分不佳的个人。这个骗局由Malwarebytes分析，使用伪造的法律和财务文件制造虚假的紧迫感和合法性，诱使收件人报名参加一个每周重复支付计划，声称提供没有实际价值的信用修复服务。这个操作旨在从最无力承担的人那里吸走资金，利用复杂的社会工程而不是技术漏洞。

技术分析

这个骗局没有恶意软件或漏洞代码，完全依赖于社会工程。最初的电子邮件被制作成看起来像是个性化的服务通知，通常使用“您的信用资源库”或类似的主题行。它指导收件人到一个PDF文件，这是主要的攻击载体。这个PDF是一个伪造的“信用摘要报告”和“服务协议”，模仿合法信用局和金融机构的风格。该文件错误地声称收件人基于对他们信用档案的审查，已经预先获得了“信用资源库”账户的资格。

PDF包括欺骗性元素，如个性化的“会员ID”，一个声称的负面信用项目列表（如逾期付款或催收），以及引用不存在的消费者保护法律的官方外观免责声明。至关重要的是，它概述了“每周9.48美元”的费用结构，自动计费，用于访问“库”——一个被呈现为解决信用报告不准确之处的工具。协议包括旨在被忽视的小字体，授权重复收费。目标是在虚假前提下获得支付卡信息，使受害者报名参加一个难以取消的订阅服务，该服务不存在。

入侵指标

目前没有识别出任何指标。该活动不以一致、可追踪的方式分发恶意文件或使用被破坏的基础设施。主要的IOC将是特定的发件人电子邮件地址、主题行和PDF文件的内容，这些内容可能会频繁变化。

战术、技术与程序

威胁行为者采用几种关键技术：

• 网络钓鱼 (T1566)： 初始接触是通过电子邮件，冒充金融服务提供商。
• 伪装 (T1036)： 整个“信用资源库”品牌，包括其文件和条款，都是伪造的，看起来合法。
• 金融盗窃 (T1657)： 目标是通过欺诈性重复收费直接获得金钱。
• 利用人类信任 (T1589.001)： 这个骗局利用信用不佳的个人的财务焦虑和希望，使用官方“计划”的外观来降低受害者的怀疑。
• 逃避取消： 服务协议和计费流程的设计旨在使受害者难以停止支付，这是掠夺性订阅骗局的标志。

威胁行为者背景

这个活动背后的特定群体尚未确定。然而，这些策略与专门从事订阅骗局的财务动机欺诈团伙一致，通常被称为“负面选择”欺诈。这些行为者经常针对美国的消费者，利用购买的电子邮件列表，这些列表可能根据人口统计或兴趣数据进行细分，表明财务脆弱性。没有迹象表明有国家支持或高级持续性威胁（APT）团体；这纯粹是一个专注于利润的犯罪操作。

缓解措施与建议

个人应该对关于信用修复的未经请求的电子邮件持极度怀疑态度。合法的信用局（Equifax、Experian、TransUnion）不会通过未经请求的电子邮件提供个性化的“库”，每周收费。建议的行动包括：

• 不要打开来自未经请求的金融服务电子邮件的PDF文件。
• 永远不要在此类电子邮件链接的网站上输入支付信息。
• 独立验证服务，通过直接联系信用局或信誉良好的非营利信用咨询机构，通过他们的官方、已知网站。
• 密切监控银行和信用卡对账单，特别是可能不被注意的小额每周费用，以寻找未经授权的重复收费。
• 向联邦贸易委员会（FTC）报告这个骗局，在ReportFraud.ftc.gov。 对于组织，员工意识培训应该包括针对个人财务的金融和基于订阅的网络钓鱼骗局的例子，因为如果员工使用企业设备或支付卡，这些也可能是初始妥协的载体。