短信钓鱼是一种社会工程攻击,它使用虚假的手机短信来诱骗人们下载恶意软件、共享敏感信息或向网络罪犯汇款。“短信钓鱼”一词由“短消息服务”(SMS,短信所用技术)和“网络钓鱼”组合而成。
短信钓鱼是一种日益流行的网络犯罪形式。根据 Proofpoint 的 2023 年网络钓鱼状况报告(ibm.com 外部链接),2022 年,76% 的组织经历过短信钓鱼攻击。
有几个因素导致了短信钓鱼的增加。其一,实施这些攻击的黑客(有时被称为“smisher”)知道受害者更有可能点击短信而不是其他链接。与此同时,垃圾邮件过滤器的进步使得其他形式的网络钓鱼(例如电子邮件和电话)更难到达目标。
自带设备 (BYOD) 和远程工作安排的增加也导致更多的人在工作中使用移动设备,从而使网络罪犯更容易通过员工的手机访问公司网络。
短信钓鱼攻击与其他类型的网络钓鱼攻击类似,诈骗者使用虚假消息和恶意链接来欺骗人们,从而泄露他们的手机、银行帐户或个人数据。唯一的主要区别是媒介。在短信钓鱼攻击中,诈骗者使用 SMS 或消息应用程序而不是电子邮件或电话来进行网络犯罪。
诈骗者出于各种原因选择短信钓鱼而不是其他类型的网络钓鱼攻击。也许最重要的是,研究表明人们更有可能点击短信中的链接。Klaviyo 报告称,SMS 点击率在 8.9% 到 14.5% 之间(ibm.com 外部链接)徘徊。相比之下,根据 Constant Contact(ibm.com 外部链接)的数据,电子邮件的平均点击率仅为 1.33%。
此外,诈骗者越来越多地使用一次性手机欺骗电话号码或利用软件通过电子邮件发送短信等策略来掩盖短信钓鱼消息的来源。发现手机上的危险链接也变得更加困难。例如,在计算机上,用户可以将鼠标悬停在链接上以查看其指向的位置,但在智能手机上,他们没有该选项。人们还习惯于银行和各个品牌通过 SMS 联系他们以及接收短信中的简短 URL。
2020 年,联邦通信委员会 (FCC) 强制电信公司采用 STIR/SHAKEN 协议(ibm.com 外部链接),该协议对电话进行身份验证,这就是一些手机现在在遇到可疑号码呼叫时显示“可能是诈骗电话”或“可能是垃圾邮件”消息的原因。但是,尽管采用 STIR/SHAKEN 更容易发现诈骗电话,但它对短信的影响却不同,导致许多诈骗者将注意力转向短信钓鱼攻击。
与其他形式的社会工程一样,大多数类型的短信钓鱼攻击都依赖于假托,其中涉及使用虚假故事来操纵受害者的情绪并诱骗他们执行诈骗者的命令。
诈骗者可能会冒充受害者的银行,通常通过虚假通知提醒他们帐户出现问题。如果受害者点击链接,他们就会进入一个虚假网站或应用程序,该网站或应用程序会窃取敏感的财务信息,例如 PIN、登录凭证、密码以及银行帐户或信用卡信息。2018 年,一群诈骗者(ibm.com 外部链接)使用这种方法从美国五三银行的客户那里盗走了 100,000 美元。
诈骗者可能会冒充警察、美国国税局 (IRS) 代表或其他政府官员。这些短信钓鱼消息经常声称受害者欠缴罚款或必须采取行动申请政府福利。例如,在新冠疫情最严重时,美国联邦贸易委员会 (FTC) 警告当心短信钓鱼攻击(ibm.com 外部链接),这类攻击声称提供税收减免、免费核酸检测和类似服务。当受害者点击这些短信中的链接时,诈骗者就会窃取他们的社会保障编号和其他可用于实施身份盗用的信息。
攻击者冒充亚马逊、微软等值得信赖的品牌和零售商的客户支持代理,甚至会冒充受害者的无线网络提供商。他们通常会说受害者的帐户有问题或者存在无人认领的奖励或退款。通常,点击这些短信中的链接后,受害者进入一个虚假网站,该网站会窃取他们的信用卡卡号或银行信息。
这些短信钓鱼消息声称来自 FedEx、UPS 或美国邮政服务等快递公司。他们告诉受害者,运送包裹时出现问题,并要求他们支付“送货费”或登录他们的帐户来纠正问题。当然,诈骗者拿到钱或帐户信息后就跑路了。这些骗局在假期前后很常见,因为那时许多人都在等待包裹送达。
在商业文本泄露(类似于企业电子邮件泄露,但通过 SMS 消息泄露除外)中,黑客冒充老板、合作者或同事(例如供应商、律师),需要帮助来完成紧急任务。这些骗局通常要求受害者立即采取行动,最终会要求受害者向黑客汇款。
诈骗者发送的短信看似是针对受害者以外的其他人。当受害者纠正诈骗者的“错误”时,诈骗者就会与受害者展开对话。这些错误号码骗局往往是长期的,诈骗者试图通过数月甚至数年的反复联系来赢得受害者的友谊和信任。诈骗者甚至可能假装对受害者产生浪漫的情感。其目标是最终通过虚假投资机会、贷款请求或类似故事窃取受害者的金钱。
在这种称为多重身份验证 (MFA) 欺诈的骗局中,已经拥有受害者用户名和密码的黑客试图窃取访问受害者帐户所需的验证码或一次性密码。黑客可能会冒充受害者的一个朋友,声称自己的 Instagram 或 Facebook 帐户已被锁定,并要求受害者为其接收验证码。受害者获得一个 MFA 验证码(实际上是用于他们自己的帐户)并将其提供给黑客。
一些短信钓鱼骗局会诱骗受害者下载看似合法的应用程序(例如文件管理器、数字支付应用程序,甚至防病毒应用程序),但实际上是恶意软件或勒索软件。
网络钓鱼是网络攻击的一个广义术语,旨在利用社会工程诱骗受害者付款、移交敏感信息或下载恶意软件。短信钓鱼和语音钓鱼只是黑客可以对受害者使用的两种网络钓鱼攻击。
不同类型网络钓鱼攻击的主要区别在于实施攻击所用的媒介。在短信钓鱼攻击中,黑客专门使用短信或 SMS 来瞄准受害者,而在语音钓鱼攻击(“语音网络钓鱼”的简称)中,黑客使用电话和语音邮件等语音通信来冒充合法组织并操纵受害者。
许多网络安全专家认为,短信钓鱼在未来几年会越来越普遍。Proofpoint 首席信息安全官 (CISO) Lucia Milică(ibm.com 外部链接)认为,恶意软件市场中将会出现短信钓鱼工具,因此,即使不懂技术的诈骗者也能够发送恶意文本。
Gartner 预测(ibm.com 外部链接),结合文本、电子邮件、电话和其他通信渠道的“多渠道”网络钓鱼企图将会增加。例如,朝鲜支持的黑客团伙 Lazarus Group 就采用了多渠道策略。该组织使用虚假的 LinkedIn 个人资料冒充加密货币交易所的招聘人员(ibm.com 外部链接),以讨论职位空缺为幌子联系受害者,然后将对话从 LinkedIn 转移到 SMS 或 WhatsApp,诱骗受害者下载特洛伊木马或其他恶意软件。
FCC(ibm.com 外部链接)正在考虑制定一项规则,要求无线提供商阻止垃圾短信。但与此同时,个人和公司可以采取关键措施来保护自己:
移动网络安全解决方案:Android 和 iOS 操作系统具有内置的保护和功能,例如阻止未经批准的应用程序以及将可疑文本过滤到垃圾邮件文件夹。在组织层面,公司可以使用统一端点管理 (UEM) 解决方案来设置移动安全控制和策略。
安全意识培训:培训人们识别网络攻击和短信钓鱼企图的警告信号(例如异常的电话号码、意外的 URL 和高度的紧迫感)可以帮助保护组织。培训还可以制定处理敏感数据、授权付款以及在处理请求之前进行验证的规则。