你有没有收到过那种关于未付通行费或虚假退款的随机短信，总觉得不太对劲？事实证明，这些恼人的信息不仅仅是小骚扰——它们是由中国犯罪团伙运营的大型行动的一部分，这些团伙通过欺骗美国人交出信用卡信息，已骗取超过 10 亿美元。最近 Malwarebytes 的一条推文把这个令人震惊的问题放到了聚光灯下，并链接到了他们关于此骗局的深入博客文章。

拆解这个诈骗网络

我们来不那么技术化地剖析一下它是如何运作的。核心是所谓的“SIM 农场”——可以把它们想象成装有数百甚至数千张 SIM 卡的设备机架。这类设施允许诈骗分子自动群发大量短信，绕过运营商对垃圾短信的限制。它们常常伪装得很隐蔽，在美国境内由当地人操作，这些人可能甚至不知道自己在帮犯罪分子干活。

这些短信本身就是狡猾的钓鱼手段。它们冒充官方来源，比如通行费服务、政府退款或机动车管理局，催促你支付一笔小额费用或通过可疑链接更新信息。一旦你上当，你的信用卡信息就会被盗。更工业化的是：这些团伙并不只是直接刷卡，他们会把卡信息添加到亚洲的 Apple Pay 或 Google Pay 等数字钱包里，然后招募美国本地的“洗钱骡子”——报酬微薄的零工，去用这些卡购买 iPhone、奢侈服饰或礼品卡等高价值商品。

这些骡子通常通过 Telegram 频道等渠道找到，把货物寄回中国转售，从而实现资金洗白。美国国土安全部的调查显示，这个精巧的循环在短短三年内就净赚了超过 10 亿美元。更甚者，自 2024 年初以来，仅通行费相关的诈骗短信就激增了 350%，某一天的数量甚至达到了惊人的 33 万条。

为什么这对迷因代币和加密用户很重要

你可能会想，“我玩迷因代币——这和我有什么关系？”区块链世界充斥着类似手法。这些短信诈骗与中国有组织犯罪常用的“pig butchering”骗局有着共同的基因。在“pig butchering”（养猪式诈骗）中，骗子通过发错号短信或社交媒体建立虚假关系，然后诱导受害者投入虚假的加密投资。通常他们会推销假冒的迷因代币或 rug-pull 项目，一旦建立起信任就掏空钱包。

迷因代币凭借病毒式热度和低准入门槛，成为钓鱼的首选目标。那些无端发来的、声称能提供下一个热门 meme coin 的短信，可能把你引导到恶意网站，窃取你的助记词或让你的钱包连接到能清空资产的合约。即使这次具体行动以信用卡为目标，支撑它的基础设施——用于散播垃圾信息的 SIM 农场——也很容易转向以加密为主题的诱饵。我们以前就见过：从一条简单短信开始，最后导致 PEPE 或 DOGE 山寨币等代币的巨大损失。

在去中心化的区块链世界中如何自保

好消息是：你可以为自己加装防护。首先，绝不要点击未请求短信中的链接或分享信息——通过官方渠道直接核实发送方。针对加密，具体建议包括：

• 使用硬件钱包来存放你的迷因代币，把私钥离线保存。
• 使用像 Authy 这样的应用开启两步验证（2FA），不要依赖短信，因为 SIM 换绑（SIM swaps）是真实存在的风险。
• 对迷因代币做充分研究：检查是否有经过审计的智能合约、在 Discord 或 Telegram 等平台上的活跃社区，避免仅靠炒作推动的短期拉升。
• 将可疑短信举报给你的运营商或相关执法机关——像 FTC 的诈骗举报工具有助于对这些团伙建立案件。

国土安全部的 Project Red Hook 等行动正在打击这些犯罪，和零售商合作标记礼品卡欺诈。但在去中心化的迷因代币领域，个人警觉仍是最好的防线。

Malwarebytes 的这条推文及时提醒我们：诈骗在进化，正在把传统的钓鱼手法与全球化的网络结合起来。作为区块链从业者，了解这些交叉手段能让我们保持领先一步。如果你也遇到过类似兜售加密交易的短信，把你的经历放在评论里——让我们一起构建这个知识库。