全美不少民众今年初收到大量以美国邮政（USPS）名义发出的简讯，声称要送他们包裹，但需要他们登上指定网站输入信用卡号码等资料，从而窃取个人资料。一名保安研究员的妻子不慎误堕骗局，他锐意骇入不法分子网络破解对方，直接以牙还牙。

保安研究员史密斯(Grant Smith)的亲朋好友都收到类似简讯。某一天，他的妻子通知他，她不慎输入信用卡资料。当时正在休假没事做的史密斯，于是展开一场任务，就是打击骗子。

花了数周时间，史密斯追踪到这场大规模网络诈骗活动背后的一个中国骇客组织Smishing Triad，他于是侵入对方的系统，收集了对方活动的证据，并开始一个长达数个月的行动，收集受害人的资料，将资料交给美国邮政调查人员和美国一家银行，保护人们的信用卡免受诈欺活动。

创办保安公司Phantom Security的史密斯日前在Defcon保安会议发布他的研究结果。他表示，人们在不法分子所用1,133个域名中输入43万8669张独特的信用卡，他又指不少人向每个网站输入多张信用卡。5万多个电邮信箱被纪录，包括数百个大学电邮和20个军事或政府电邮域名。

根据统计，受害人遍布全国，加州有14万1000笔输入最多，超过120项资料被输入。

史密斯表示，他的结果反映问题的规模，但这场骗局的规模可能更多比想像中更大。不过他找不到所有以美国邮政名义的诈欺网站，而背后组织都与最少六个国家有关联。

追击这群人并不用花很长时间。史密斯开始调查他透过可疑域名收到的简讯，还有拦截该网站的流量。史密斯说︰“我以为他们在使用一个标准网站。”

当深入研究那个初始网站的数据时，史密斯发现一个中文的Telegram账号和频道，且对方还在销售诈骗工具包，让不法分子使用这些工具包轻松建立虚假网站。

近年来，诈骗行为呈现上升趋势。如果大家收到来自不认识的号码或电邮的讯息，还有其中包含可以点击的连接，或要求进行紧急操作，就应该保持警惕。