短信钓鱼是一种社会工程攻击,它利用伪造的短信来诱骗人们下载恶意软件、共享敏感信息,或向网络犯罪分子汇款。 “smishing”一词是“SMS”(即短消息服务,这是短信背后的技术)和“phishing”一词的组合。
短信钓鱼是一种日渐增长的网络犯罪行为。 根据 Proofpoint 的 2022 年网络钓鱼现状报告(链接位于 ibm.com 外部),74% 的组织在 2021 年遭受了网络钓鱼攻击,这比 2020 年增加了 13%。
一些不同的因素助长了这些骗局。
黑客知道,人们更有可能点击他们通过短信收到的链接。 垃圾邮件过滤器的进步,也使得网络钓鱼电子邮件和电话更难达到其目标。 此外,自带设备 (BYOD) 和远程工作安排导致更多人在工作中使用自己的移动设备。 这意味着网络犯罪分子现在可以通过员工的个人手机访问公司网络。
短信钓鱼攻击的工作原理与其他类型的网络钓鱼攻击非常相似。 诈骗者使用虚假消息和恶意的链接来欺骗人们,导致其泄露手机、银行账户或个人数据。 不同之处在于,短信钓鱼发生在短信或消息传递应用上,而不是通过电子邮件或电话实施。
与电子邮件相比,短信为诈骗者带来了更多优势。 人们习惯于银行和品牌商通过短信联系他们。 人们也更有可能去点击短信中的链接。 根据 Constant Contact(链接位于 ibm.com 外部)的调查显示,电子邮件的平均点击率为 1.33%。 另一方面,Klaviyo 报告表明,短信点击率在 8.9% 和 14.5% 之间(链接位于 ibm.com 外部)徘徊。
在技术层面上,诈骗者可以轻而易举地掩盖短信钓鱼消息的来源。 他们可以伪造电话号码,使用一次性手机,或者使用软件通过电子邮件发送文本。 在手机上识别危险链接也更加困难。 在计算机上,用户可以将鼠标悬停在链接上,看看它真正指向何处。 但智能手机没有这个选项。 此外,人们习惯于在真实品牌的短信中看到缩短的 URL。
2020 年,美国联邦通信委员会 (FCC) 强制要求电信公司采用 STIR/SHAKEN 协议(链接位于 ibm.com 外部)。 STIR/SHAKEN 用于验证手机通话。 这就是为什么现在一些手机在收到可疑号码的来电时会显示“可能是诈骗”或“可能是垃圾邮件”消息的原因。 STIR/SHAKEN 使诈骗电话更容易识别,但这并不会影响短信。 为此,许多诈骗者将注意力转移到了短信钓鱼攻击上。
像其他形式的社会工程一样,短信钓鱼攻击依赖于假托。 假托是通过编造的故事来感染受害者,诱使他们听从诈骗者的吩咐。 一些常见的短信钓鱼借口包括:
冒充金融机构: 诈骗者可能会伪装成受害者的开户银行,提醒他们账户有问题。 如果受害者点击链接,他们就会被带到一个假冒的网站或应用,从而被窃取敏感的金融信息,如 PIN、密码、银行账户或信用卡号。 2018 年, 一群诈骗者 (链接位于 ibm.com 外部)就使用这种方法从 Fifth Third Bank 客户那里窃取了 10 万美元。
冒充政府: 诈骗者可能会冒充警察、国税局代表或其他政府官员。 这些钓鱼短信通常声称受害者拖欠罚款,或者必须采取行动来索取政府福利。 例如,在 COVID-19 疫情肆虐之际,联邦贸易委员会 (FTC) 就提醒人们注意短信钓鱼攻击 (链接位于 ibm.com 外部),这类攻击假装要提供税收减免、免费的 COVID 检测和类似服务。 当受害者点击这些短信中的链接时,诈骗者就窃取了他们的社会保险号和其他信息,他们可以利用这些信息来实施身份盗用。
冒充客户支持人员: 攻击者冒充成 Amazon、Microsoft 甚至是受害者的无线供应商等受信任品牌的客户支持代表。 他们通常会说受害者的账户有问题,或者有待领取的奖励或退款。 通常,这些短信会将受害者引至一个用于窃取其信用卡或银行信息的伪造网站。
包裹诈骗: 这些钓鱼短信声称来自联邦快递、UPS 或美国邮政服务等运输公司。 他们告诉攻击目标包裹的递送出现问题。 要求受害者支付“快递费”,或者登录他们的帐户纠正问题。 当然,诈骗者拿到钱或帐户信息便会跑路。 在假期,很多人都在等待收取包裹,所以这些短信钓鱼诈骗很常见。
商业短信泄露诈骗: 与商业电子邮件泄露诈骗一样,黑客假装是某个人的老板,现在遭遇紧急状况,亟需帮助。 不同的是,诈骗者使用短信发起这种攻击。 大多数情况下,这些诈骗都以受害者向黑客汇款而告终。
错误号码诈骗: 诈骗者假装向“错误号码”发送短信。 当受害者纠正诈骗者的“错误”时,诈骗者以与受害者交朋友为借口开始搭讪。 这往往是为了“放长线钓大鱼”,诈骗者试图通过数月乃至数年的反复接触来赢得受害者的信任。 他们甚至可能假装对受害者产生浪漫的感情。 目的是通过编造的投资机会、贷款请求或类似的故事,最终窃取受害者的钱财。
多因素认证 (MFA) 欺诈: 黑客试图窃取受害者的 MFA 验证码,从而侵入其社交媒体、电子邮件或银行账户。 在常见的 MFA 欺诈场景中,黑客会伪装成受害者的一个朋友。 他们会说自己的 Instagram 或 Facebook 帐户被锁定,需要受害者为他们接收一个验证码。 受害者获得了一个 MFA 验证码(这实际上是他们自己帐户的验证码),然后将其交给了黑客。
山寨应用下载: 一些短信钓鱼诈骗会诱骗受害者下载山寨应用,这些应用实际上是恶意软件或 勒索软件。 恶意软件通常伪装成文件管理器、杀毒应用或贷款应用。 这些应用可能看似合法,但会秘密捕获受害者的敏感数据或者以此实施要挟。
许多网络安全专家认为,在未来几年,短信钓鱼将变得更加普遍。 Proofpoint CISO Lucia Milică(链接位于 ibm.com 外部)认为,恶意软件市场上将会出现短信钓鱼工具,这使不太精通技术的诈骗者也能够发送恶意短信。
Gartner 预测(链接位于 ibm.com 外部),结合了短信、电子邮件、电话和其他沟通渠道的“多渠道”网络钓鱼尝试正在兴起。 Lazarus Group 是一个由朝鲜支持的黑客团伙,以使用多渠道策略而闻名。 例如,该组织使用伪造的 LinkedIn 个人资料来冒充加密货币交易所的招聘人员(链接位于 ibm.com 外部)。 黑客以讨论职位空缺为幌子与受害者联系。 他们将对话从 LinkedIn 转移到短信或 WhatsApp 上来,在这里诱骗受害者下载木马程序或其他恶意软件。
FCC(链接位于 ibm.com 外部)正考虑实施一项规则,要求无线供应商拦截垃圾短信。 然而,个人和公司也可以采取措施来保护自己:
移动网络安全解决方案:Android 和 iOS 操作系统具有内置保护,比如阻止未经批准的应用,以及将可疑短信过滤到垃圾短信文件夹。 在组织级别,公司可以使用统一终端管理 (UEM) 解决方案,为移动设备设置安全控制和策略。
安全意识培训:开展人员培训,让他们能够识别出有关短信钓鱼企图的警示,比如不寻常的电话号码、意外的 URL 和强烈的紧迫感,这有助于保护组织。 培训还可以设置一些规则,用于处理敏感数据、授权付款,以及在对请求采取行动之前先验证请求。