什么是短信钓鱼（短信网络钓鱼）？

短信钓鱼正成为一种日益流行的网络犯罪形式。根据 Proofpoint 的《2024 年网络钓鱼现状》报告，75% 的组织在 2023 年经历了短信钓鱼攻击。¹

有几个因素导致了短信钓鱼的增加。其一，实施这些攻击的黑客（有时被称为“短信钓鱼者”）知道受害者更有可能点击短信而不是其他链接。与此同时，垃圾邮件过滤器的进步使得其他形式的网络钓鱼（例如电子邮件和电话）更难到达目标。

自带设备 (BYOD) 和远程办公安排的增加也导致更多人员在工作中使用移动设备，从而使网络罪犯更易通过员工的手机访问公司网络。

短信钓鱼攻击与其他类型的网络钓鱼攻击类似，诈骗者使用虚假消息和恶意链接来欺骗人们，从而泄露他们的手机、银行帐户或个人数据。主要区别在于媒介。在短信钓鱼攻击中，诈骗者使用 SMS 或消息应用程序而不是电子邮件或电话来进行网络犯罪。

诈骗者会因各种原因而选择短信钓鱼而不是其他类型的网络钓鱼攻击。研究表明，人们更可能会点击文本消息中的链接。Klaviyo 报告称，短信点击率徘徊在 8.9% 与 14.5% 之间。²相比之下，根据 Constant Contact 的数据，电子邮件的平均点击率则为 2%。³

此外，诈骗者可能会使用一次性手机欺诈电话号码或利用软件并通过电子邮件发送短信等计策来掩盖短信钓鱼消息的来源。

此外，要发现手机上的危险链接也越发困难。在计算机上，用户可将鼠标悬停在某一链接上以查看它指向的位置。在智能手机上，用户则无此选项。同时，人们还习惯于银行和各个品牌会通过短信联系他们，以及接收短信中的简短 URL。

2020 年，联邦通信委员会 (FCC) 要求各大电信公司采用 STIR/SHAKEN 协议。STIR/SHAKEN 会对电话通话进行身份验证，而这也是某些手机如今在遇到可疑号码来电时显示“可能是诈骗电话”或“可能是骚扰电话”消息的原因。

但是，尽管采用此规则更易发现诈骗电话，但它对短信的影响却不同，从而导致很多诈骗者将注意力转向短信钓鱼攻击。

与其他形式的社会工程一样，大多数类型的短信钓鱼攻击都依赖于假托，其中涉及使用虚假故事来操纵受害者的情绪并诱骗他们执行诈骗者的命令。

诈骗者可能会冒充受害者的银行，并通常会通过虚假通知提醒他们帐户出现了问题。如果受害者点击链接，他们就会进入一个虚假网站或应用程序，该网站或应用程序会窃取敏感的财务信息，例如 PIN、登录凭据、密码以及银行帐户或信用卡信息。

据美国联邦贸易委员会 (FTC) 称，冒充银行是最常见的短信诈骗手法，占所有短信钓鱼消息的 10%。⁴

诈骗者可能会冒充警察、IRS 代表或其他政府机关官员。这些短信钓鱼消息经常声称受害者欠缴罚款或必须采取行动以申请政府福利。

例如，2024 年 4 月，联邦调查局 (FBI) 就针对美国司机的短信钓鱼诈骗发出了警告。⁵诈骗者会发送短信并假装来自收费机构，同时声称目标对象拖欠尚未支付的道路通行费。这些消息包含一个链接，而该链接会指向用于窃取受害者金钱和信息的虚假网站。

攻击者冒充 Amazon、Microsoft 等值得信赖的品牌和零售商的客户支持代理，甚至会冒充受害者的无线网络提供商。他们通常会表示受害者的帐户出现问题或存在未领取的奖励或退款。通常，点击这些短信中的链接后，受害者会进入一个虚假网站，而该网站会窃取他们的信用卡号码或银行信息。

这些短信钓鱼消息声称来自 FedEx、UPS 或美国邮政服务等快递公司。其中会告知受害者运送包裹时出现问题，并要求对方支付“快递费”或登录自己的帐户来纠正此问题。然后，诈骗者会窃取金钱或帐户信息并逃跑。这些骗局在假期前后十分常见，因为那时很多人都在等待包裹送达。

在商业文本泄露（类似于商业电子邮件泄露，只是以短信形式进行）中，黑客假装自己是老板、同事、供应商或律师，在紧急任务中需要帮助。这些骗局通常要求受害者立即采取行动，最终会导致受害者向黑客汇款。

诈骗者发送的短信看似是针对受害者以外的其他人。当受害者纠正诈骗者的“错误”时，诈骗者就会与受害者展开对话。

这些错误号码骗局往往是长期的，诈骗者试图通过数月甚至数年的反复联系来赢得受害者的友谊和信任。诈骗者甚至还可能会假装对受害者产生了浪漫的情感。其目标是最终通过虚假投资机会、贷款请求或类似故事来窃取受害者的金钱。

在这种称为多重身份验证 (MFA) 欺诈的骗局中，已经拥有受害者用户名和密码的黑客试图窃取访问受害者帐户所需的验证码或一次性密码。

黑客可能会冒充受害者的一个朋友，声称自己的 Instagram 或 Facebook 帐户已被锁定，并要求受害者为其接收验证码。受害者获得一个 MFA 验证码（实际上是用于他们自己的帐户）并将其提供给黑客。

某些短信钓鱼骗局会诱使受害者下载看似合法的应用程序，例如文件管理器、数字支付应用程序甚至是防病毒应用程序，而这些应用程序实际上是恶意软件或勒索软件。

网络钓鱼是网络攻击的一个广义术语，它旨在利用社交工程来诱骗受害者支付钱款、移交敏感信息或下载恶意软件。短信钓鱼和语音钓鱼只是黑客可能会对受害者使用的两种网络钓鱼攻击。

不同类型网络钓鱼攻击的主要区别在于实施攻击所用的媒介。在网络钓鱼攻击中，黑客会使用短信来锁定受害者。而在语音钓鱼攻击（“语音网络钓鱼”的简称）中，黑客会使用电话通话和语音邮件等语音通信手段来冒充合法组织并操纵受害者。

为帮助打击短信钓鱼诈骗，FCC 通过了一项新规定，要求无线服务提供商阻止可能来自可疑号码（包括未使用或无效的电话号码）的垃圾短信。⁶

但是，没有一个垃圾邮件过滤器是完美的，而网络罪犯也一直致力于绕过这些措施。个人和组织可采取额外措施来加强对短信钓鱼攻击的防御，其中包括：

Android 和 iOS 操作系统具有内置的若干保护措施和功能，例如阻止未经批准的应用程序以及将可疑文本过滤到垃圾邮件文件夹中。

在组织级别，各大公司可使用统一终端管理 (UEM) 解决方案和欺诈检测工具来设置移动安全控制措施、实施安全策略并拦截恶意活动。

组织可通过培训员工如何识别网络攻击和短信诈骗企图的警告迹象（例如，奇怪的电话号码、未知的发件人、异常的 URL 和高度的紧迫感）来阻止更多诈骗。

很多组织会使用短信钓鱼模拟来帮助员工练习新的网络安全技能。此外，这些模拟还可帮助安全团队发现计算机系统和组织政策中存在的漏洞，而这些漏洞会使企业遭受诈骗。

组织可通过将威胁检测工具与用于处理敏感数据、授权付款以及在采取行动之前验证请求的策略相结合来修复这些漏洞。