什么是短信钓鱼及如何防范
短信钓鱼的含义和定义
短信钓鱼是一种通过移动短信进行的钓鱼式网络安全攻击。
这种攻击作为网络钓鱼的变种,会欺骗受害者向伪装的攻击者提供敏感信息。恶意软件或欺诈网站可能为短信钓鱼提供协助。短信钓鱼发生在多种移动短信平台上,其中包括非短信渠道,例如基于数据的移动通信应用程序。
什么是短信钓鱼?
正如“短信钓鱼”(smishing) 的定义所示,这个词是“SMS”(短信息服务,即众所周知的短信)与“phishing”(网络钓鱼)的结合。要进一步定义“短信钓鱼”,可将其归类为一种社会工程攻击,依靠的是人与人之间的信任,而不是技术入侵手段。
网络犯罪分子在实施“网络钓鱼”时,会发送欺诈性电子邮件,试图诱骗收件人点击其中的恶意链接。不同的是,短信钓鱼不用电子邮件,而是使用短信。
从本质上讲,这些网络犯罪分子的目的是窃取个人数据,然后利用这些数据实施诈骗或其他网络犯罪。通常情况下,犯罪行为涉及盗取资金,一般是您本人的资金,但有时也包括您公司的资金。
网络犯罪分子通常利用两种方法窃取此类数据:
- 恶意软件:短信钓鱼 URL 链接可能会诱骗您下载恶意软件,之后它们会自动安装到您的手机上。这种短信恶意软件可能伪装成合法的应用程序,诱使您输入机密信息,并将这些数据发送给网络犯罪分子。
- 恶意网站:钓鱼短信中的链接可能会指向一个虚假网站,要求您输入敏感的个人信息。网络犯罪分子使用定制的恶意网站来冒充信誉良好的网站,从而更容易窃取您的信息。
钓鱼短信通常声称由银行发送,要求您提供个人或财务信息,比如您的账号或 ATM 代码。提供这些信息无异于将提取银行存款的钥匙交给小偷。
越来越多的人将自己的个人智能手机用作工作工具(这种趋势称为 BYOD 或“自带设备”),使得短信钓鱼逐渐成为企业威胁和消费者威胁。因此,短信钓鱼成为恶意短信的主要形式也就不足为奇了。
随着移动设备使用率的上升,针对移动设备的网络犯罪也在不断增加。除了发短信是智能手机最常见的用途外,其他一些因素也使短信钓鱼成为一种特别隐秘的安全威胁。为了解释清楚,我们先了解一下短信钓鱼攻击的原理。
短信钓鱼的原理是什么?
无论是什么短信钓鱼攻击,其核心组成部分都是诱骗和欺诈。当攻击者假扮成您可能信任的身份时,您就更有可能听从他们的要求。
社会工程原理使网络钓鱼攻击者能够操纵受害者的决策。这种欺骗的驱动因素有三个方面:
- 信任:网络犯罪分子通过冒充合法的个人和组织,减少目标的怀疑。短信作为一种较为私人化的通信渠道,也会自然而然地降低个人对威胁的防范意识。
- 背景:使用可能与目标相关的情境,让攻击者能够进行有效伪装。短信给人的感觉是私人化的,这使得人们不太会怀疑这是垃圾信息。
- 情绪:通过增强目标的情绪,攻击者可以抑制目标的理性思维,刺激他们冲动行事。
攻击者利用以上这些方法编写短信,让收件人采取行动。
通常情况下,攻击者希望收件人打开短信中的 URL 链接,然后将他们引向某种网络钓鱼工具,怂恿他们披露自己的隐私信息。这种网络钓鱼工具通常采用网站或应用程序的形式,也会采用虚假身份。
选择目标的方式有很多种,但通常是基于他们与某个组织或某个地区的关联。特定机构的员工或客户、移动网络用户、大学生甚至特定地区的居民都可能成为目标。
攻击者的伪装通常与他们想要入侵的机构有关,但也可能是任何有助于他们获取目标身份或财务信息的伪装。
攻击者可以使用一种称为“改号欺诈”的方法,将自己的真实电话号码伪装成假号码。短信钓鱼攻击者还可能使用“一次性电话”(廉价、用后即弃的预付费电话)进一步掩藏攻击来源。据了解,攻击者还使用电子邮件转短信服务,作为另一种隐藏电话号码的手段。
攻击者会按如下几个关键阶段逐步实施攻击:
- 向目标分发短信“诱饵”。
- 通过欺骗手段窃取受害者的信息。
- 利用受害者泄露的信息实施预期的盗窃。
一旦攻击者利用您的隐私信息实施了盗窃目标,他们的短信钓鱼计划就得逞了。这一目标可能包括但不限于:直接从银行账户中窃取资金,通过身份欺诈非法开立信用卡,或者泄露公司的隐私数据。
短信钓鱼如何传播?
如前所述,短信钓鱼攻击既可通过传统短信发送,也可通过非短信应用程序发送。不过,短信钓鱼攻击出于其欺骗性质,主要还是以不间断和不被察觉的形式进行传播。
由于用户高估了短信的安全性,网络钓鱼的欺骗性得以加强。
首先,大多数人都知道电子邮件诈骗的风险。对于那些标题写着“你好,看看这个链接吧”的普通电子邮件,您可能已经知道要警惕了。垃圾邮件诈骗的一大标志往往就是缺乏真实的个人信息。
而当人们使用手机时,就不那么谨慎了。很多人认为智能手机比计算机更安全。但智能手机安全具有局限性,不一定能直接防御短信钓鱼。
无论这些阴谋使用哪种手段,最终只要您在信任和判断方面出现失误,它们就能得逞。因此,短信钓鱼可以攻击任何具有短信功能的移动设备。
虽然 Android 设备是市场上的主流平台,也是恶意软件短信的理想目标,但 iOS 设备也同样无法幸免。尽管苹果公司的 iOS 移动技术在安全方面有着良好的声誉,但是移动操作系统本身并不能保护您免受网络钓鱼式攻击。虚假的安全感会让用户特别容易受到攻击,无论平台如何。
您外出时往往会在分心或匆忙的情况下使用智能手机,这是另外一个风险因素。这意味着您更有可能放松警惕,在您收到要求提供银行信息或兑换优惠券的消息时不加考虑地回复。
短信钓鱼攻击的类型
各种短信钓鱼攻击使用的方法都类似,但表现形式可能大不相同。攻击者可以使用各种各样的身份和场所,让这些短信攻击始终带有新鲜元素。
遗憾的是,由于短信钓鱼攻击层出不穷的创新,要全面列出其所有类型是几乎不可能的。而利用一些既定的诈骗模式,我们可以揭示其特征,帮助您预先识别短信钓鱼攻击,以免成为受害者。
以下是一些常见的短信钓鱼攻击模式:
新冠疫情短信钓鱼
新冠疫情短信钓鱼诈骗利用的是政府、医疗保健和金融组织为从新冠疫情中恢复而设计的合法援助计划。
攻击者利用这些阴谋操纵受害者对健康和财务的恐惧情绪,以此实施诈骗。警示信号可能包括:
- 要求提供敏感信息(社保号、信用卡号等)的接触者追踪调查。
- 基于税款的财政减免措施,如经济刺激支票。
- 公共卫生安全的最新情况。
- 美国人口普查要求。
金融服务短信钓鱼
金融服务短信钓鱼攻击会伪装成金融机构的通知。几乎每个人都使用银行和信用卡服务,因此很容易受到一般短信和特定机构短信的攻击。贷款和投资也是此类攻击的常见模式。
攻击者冒充银行或其他金融机构,是实施金融欺诈的理想伪装。金融服务短信钓鱼诈骗的特征可能包括:紧急要求解锁账户、要求验证可疑账户活动等。
礼品短信钓鱼
礼品短信钓鱼指的是承诺免费提供服务或产品,通常由知名零售商或其他公司提供。其形式可能是有奖竞赛、购物奖励或其他任何免费优惠。攻击者提出“免费”的概念来激起您的兴趣,抑制您的理性思维,让您更快地采取行动。这种攻击的迹象可能包括限时优惠或独家精选的免费礼品卡。
发票或订单确认短信钓鱼
确认型短信钓鱼是指对最近的购物或服务账单发票进行虚假确认。攻击者可能会提供一个后续操作链接,以操纵您的好奇心或促使您立即采取行动,让您担心会产生不必要的费用。这种诈骗的特征可能是一连串的订单确认短信,或者没有说明企业名称。
客户支持短信钓鱼
客户支持短信钓鱼的攻击者冒充可信公司的支持代表来帮助您解决问题。苹果、谷歌和亚马逊等高科技和电子商务公司都是这类模式下攻击者的有效伪装。
通常情况下,攻击者会声称您的账户出现错误,并给出解决步骤。这种要求可能很简单,只需使用一个假冒的登录页面,而更复杂的骗局可能会要求您提供真实的账户恢复代码,以试图重置您的密码。基于支持的短信钓鱼诈骗的警示迹象包括:账单问题、账户访问、异常活动或近期客户投诉的解决。
短信钓鱼示例
几乎每个拥有手机的人都可以使用短信,因此全球范围内都发生过短信钓鱼攻击。以下是一些需要注意的短信钓鱼攻击示例。
提前体验苹果 iPhone 12 诈骗 - 订单确认和礼品短信钓鱼
2020 年 9 月出现了一次短信钓鱼骗局,诱使人们提供信用卡信息,以免费获得 iPhone 12。
该骗局采用订单确认的模式,在短信中声称包裹已被送到一个错误的地址。短信中的 URL 链接会将受害者转到一个冒充苹果聊天机器人的网络钓鱼工具。该工具会引导受害者通过一个流程,参与提前体验试用计划并领取免费的 iPhone 12,但不可避免地会要求受害者提供信用卡信息,以支付小额运费。
美国邮政和联邦快递诈骗 - 订单确认和礼品短信钓鱼
2020 年 9 月,开始流传关于虚假的美国邮政和联邦快递包裹投递短信诈骗的报告。这种短信钓鱼攻击可能试图窃取您各种服务的账户凭据或信用卡信息。
此类短信声称包裹丢失或投递错误,并提供一个网站钓鱼工具链接,伪装成联邦快递或美国邮政的有奖调查。虽然这些钓鱼网站的模式可能各不相同,但许多网站已被确认为试图收集谷歌等服务的账户登录信息。
强制在线新冠检测诈骗 - 新冠疫情短信钓鱼
2020 年 4 月,美国商业改进局收到越来越多的报告称,有人冒充美国政府发送短信,要求人们通过链接网站参加强制新冠检测。
当然,很多人一眼就识破了这个骗局,因为新冠病毒并没有在线检测。不过,这些短信钓鱼攻击的模式可能很容易演变,因为利用疫情的恐惧心理能有效地危害公众。
如何防范短信钓鱼
好消息是,此类攻击的潜在后果很容易防范。您什么都不用做就可以保护自己的安全。从本质上讲,攻击只有在您“上钩”时才能造成损害。
尽管如此,还需注意,短信是许多零售商和机构联系您的合法途径。并不是所有短信都该无视,但无论如何,您都应该安全行事。
记住以下几点,这将有助于您保护自己免遭此类攻击。
- 不要回复。即使是提示回复(如发短信“STOP”退订),也可能是识别活跃电话号码的伎俩。攻击者会利用您对当前情况的好奇或焦虑心理,但您可以拒绝参与。
- 即使短信涉及的事项很紧急,也要三思而后行。对于紧急账户更新和限时优惠信息,都应视为可能是短信钓鱼的警示信号。始终保持怀疑态度,并谨慎行事。
- 如有疑问,应直接致电银行或商家。正规机构不会通过短信来要求更新账户或提供登录信息。此外,对于任何紧急通知,都可以直接通过在线账户或官方帮助热线进行核实。
- 避免使用短信中的任何链接或联系信息。对于感觉不靠谱的短信,避免使用其中的链接或联系信息。只要情况允许,就直接使用官方联系渠道。
- 检查电话号码。奇怪的电话号码(如 4 位数号码)可能是电子邮件转短信服务的证据。这是诈骗分子掩盖真实电话号码的众多手段之一。
- 永远不要在手机上保存信用卡号。要防止数字钱包中的金融信息被盗,最佳方法就是永远不要在其中存放这些信息。
- 使用多重身份验证 (MFA)。如果被入侵的账户需要第二把“钥匙”进行验证,那么暴露的密码即使落入短信钓鱼攻击者手中,可能也毫无用处。MFA 最常见的变体是双重身份验证 (2FA),通常使用短信验证码。更强的变体包括使用专用应用程序进行验证(如 Google Authenticator)。
- 切勿通过短信提供密码或账户恢复码。密码和短信双重身份验证 (2FA) 恢复码都有可能落入攻击者手中,进而危及您的账户。切勿将这些信息提供给任何人,并且只能在官方网站上使用。
- 下载反恶意软件应用程序。卡巴斯基安全软件安卓版等产品可以防范恶意应用程序以及短信钓鱼链接本身。
- 向指定机构报告所有短信钓鱼企图。
请记住,与电子邮件钓鱼一样,短信钓鱼也是一种欺诈犯罪行为——它依赖于诱骗受害者点击链接或提供信息来配合这种犯罪行为。防范这类攻击最简单的方法就是什么都不做。只要您不回复,恶意短信就什么也做不了。
如果成为短信钓鱼的受害者,该怎么办?
短信钓鱼攻击非常狡猾,可能已经使您成为了受害者,因此您需要制定恢复计划。
采取以下这些重要措施,以限制成功的短信钓鱼所造成的破坏:
- 向任何可提供帮助的机构报告疑似攻击行为。
- 冻结您的信用卡,以防止未来或当前发生身份欺诈。
- 尽可能更改所有密码和账户 PIN 码。
- 监控财务、信贷和各种在线账户的异常登录位置和其他活动。
以上每一步都对短信钓鱼攻击后的保护具有重要意义。另外,报告攻击行为不仅有助于您自己的恢复,还能防止其他人成为受害者。
相关链接:
什么是短信钓鱼及如何防范
Kaspersky
