主页
topics
短信钓鱼
更新日期:2024 年 6 月 10 日
撰稿人:Matthew Kosinski
短信钓鱼正成为一种日益流行的网络犯罪形式。根据 Proofpoint 的《2024 年网络钓鱼现状》报告,75% 的组织在 2023 年经历了短信钓鱼攻击。1
有几个因素导致了短信钓鱼的增加。其一,实施这些攻击的黑客(有时被称为“短信钓鱼者”)知道受害者更有可能点击短信而不是其他链接。与此同时,垃圾邮件过滤器的进步使得其他形式的网络钓鱼(例如电子邮件和电话)更难到达目标。
自带设备 (BYOD) 和远程办公安排的增加也导致更多人员在工作中使用移动设备,从而使网络罪犯更易通过员工的手机访问公司网络。
我们的 X-Force 团队由黑客、响应人员、研究人员和情报分析师组成,可随时讨论贵组织面临的具体安全挑战以及我们将如何提供帮助。
短信钓鱼攻击与其他类型的网络钓鱼攻击类似,诈骗者使用虚假消息和恶意链接来欺骗人们,从而泄露他们的手机、银行帐户或个人数据。唯一的主要区别是媒介。在短信钓鱼攻击中,诈骗者使用 SMS 或消息应用程序而不是电子邮件或电话来进行网络犯罪。
诈骗者出于各种原因选择短信钓鱼而不是其他类型的网络钓鱼攻击。也许最重要的是,研究表明人们更有可能点击短信中的链接。Klaviyo 报告称,SMS 点击率在 8.9% 到 14.5% 之间(ibm.com 外部链接)徘徊。相比之下,根据 Constant Contact(ibm.com 外部链接)的数据,电子邮件的平均点击率仅为 1.33%。
此外,诈骗者越来越多地使用一次性手机欺骗电话号码或利用软件通过电子邮件发送短信等策略来掩盖短信钓鱼消息的来源。发现手机上的危险链接也变得更加困难。例如,在计算机上,用户可以将鼠标悬停在链接上以查看其指向的位置,但在智能手机上,他们没有该选项。人们还习惯于银行和各个品牌通过 SMS 联系他们以及接收短信中的简短 URL。
2020 年,联邦通信委员会 (FCC) 强制电信公司采用 STIR/SHAKEN 协议(ibm.com 外部链接),该协议对电话进行身份验证,这就是一些手机现在在遇到可疑号码呼叫时显示“可能是诈骗电话”或“可能是垃圾邮件”消息的原因。但是,尽管采用 STIR/SHAKEN 更容易发现诈骗电话,但它对短信的影响却不同,导致许多诈骗者将注意力转向短信钓鱼攻击。
与其他形式的社会工程一样,大多数类型的短信钓鱼攻击都依赖于假托,其中涉及使用虚假故事来操纵受害者的情绪并诱骗他们执行诈骗者的命令。
诈骗者可能会冒充受害者的银行,并通常会通过虚假通知提醒他们帐户出现了问题。如果受害者点击相关链接,则就会进入一个虚假网站或应用程序,而该网站或应用程序会窃取敏感的财务信息,例如 PIN、登录凭据、密码以及银行帐户或信用卡信息。
据美国联邦贸易委员会 (FTC) 称,冒充银行是最常见的短信诈骗手法,占所有短信钓鱼消息的 10%。4
诈骗者可能会冒充警察、IRS 代表或其他政府机关官员。这些短信钓鱼消息经常声称受害者欠缴罚款或必须采取行动以申请政府福利。
例如,2024 年 4 月,联邦调查局 (FBI) 就针对美国司机的短信钓鱼诈骗发出了警告。5诈骗者会发送短信并假装来自收费机构,同时声称目标对象拖欠尚未支付的道路通行费。这些消息包含一个链接,而该链接会指向用于窃取受害者金钱和信息的虚假网站。
攻击者冒充 Amazon、Microsoft 等值得信赖的品牌和零售商的客户支持代理,甚至会冒充受害者的无线网络提供商。他们通常会表示受害者的帐户出现问题或存在未领取的奖励或退款。通常,点击这些短信中的链接后,受害者会进入一个虚假网站,而该网站会窃取他们的信用卡号码或银行信息。
这些短信钓鱼消息声称来自 FedEx、UPS 或美国邮政服务等快递公司。其中会告知受害者运送包裹时出现问题,并要求对方支付“快递费”或登录自己的帐户来纠正此问题。然后,诈骗者会窃取金钱或帐户信息并逃跑。这些骗局在假期前后十分常见,因为那时很多人都在等待包裹送达。
在商业文本泄露(类似于商业电子邮件泄露,短信除外)中,黑客假装自己是老板、同事、供应商或律师,在紧急任务中需要帮助。这些骗局通常要求受害者立即采取行动,最终会导致受害者向黑客汇款。
诈骗者发送的短信看似是针对受害者以外的其他人。当受害者纠正诈骗者的“错误”时,诈骗者就会与受害者展开对话。
这些错误号码骗局往往是长期的,诈骗者试图通过数月甚至数年的反复联系来赢得受害者的友谊和信任。诈骗者甚至还可能会假装对受害者产生了浪漫的情感。其目标是最终通过虚假投资机会、贷款请求或类似故事来窃取受害者的金钱。
在这种称为多重身份验证 (MFA) 欺诈的骗局中,已经拥有受害者用户名和密码的黑客试图窃取访问受害者帐户所需的验证码或一次性密码。
黑客可能会冒充受害者的一个朋友,声称自己的 Instagram 或 Facebook 帐户已被锁定,并要求受害者为其接收验证码。受害者获得一个 MFA 验证码(实际上是用于他们自己的帐户)并将其提供给黑客。
某些短信钓鱼骗局会诱使受害者下载看似合法的应用程序,例如文件管理器、数字支付应用程序甚至是防病毒应用程序,而这些应用程序实际上是恶意软件或勒索软件。
网络钓鱼是网络攻击的一个广义术语,它旨在利用社交工程来诱骗受害者支付钱款、移交敏感信息或下载恶意软件。短信钓鱼和语音钓鱼只是黑客可能会对受害者使用的两种网络钓鱼攻击。
不同类型网络钓鱼攻击的主要区别在于实施攻击所用的媒介。在网络钓鱼攻击中,黑客会使用短信来锁定受害者。而在语音钓鱼攻击(“语音网络钓鱼”的简称)中,黑客会使用电话通话和语音邮件等语音通信手段来冒充合法组织并操纵受害者。
为帮助打击短信钓鱼诈骗,FCC 通过了一项新规定,其中要求无线服务提供商阻止可能来自可疑号码(包括未使用或无效的电话号码)的垃圾短信。6
但是,没有一个垃圾邮件过滤器是完美的,而网络罪犯也一直致力于绕过这些措施。个人和组织可采取额外措施来加强对短信钓鱼攻击的防御,其中包括:
Android 和 iOS 操作系统具有内置的若干保护措施和功能,例如阻止未经批准的应用程序以及将可疑文本过滤到垃圾邮件文件夹中。
在组织级别,各大公司可使用统一终端管理 (UEM) 解决方案和欺诈检测工具来设置移动安全控制措施、实施安全策略并拦截恶意活动。
IBM Security MaaS360 提供全面的内置移动设备威胁防御 (MTD) 软件包,可帮助用户采用以用户和安全为中心的方法来实现统一终端管理 (UEM)。
IBM Security Trusteer Pinpoint Assure 是一种 SaaS 工具,它可在数字帐户创建过程中检测并预测针对访客用户的身份风险。
发生网络攻击时提供弹性数据存储。IBM Storage FlashSystem 使用机器学习模型来持续监控从每个 I/O 收集的统计信息,以便在一分钟内检测出勒索软件等异常情况。
所有链接均为 ibm.com 外部链接
1 2024 年网络钓鱼现状。Proofpoint。
2 营销活动 SMS 与 MMS 基准。Klaviyo。2024 年 6 月 7 日。
3 截至 2024 年 4 月的电子邮件行业平均费率。Constant Contact。2024 年 5 月 9 日。
4 新的 FTC 数据分析显示,冒充银行是报告最多的短信诈骗手法。联邦贸易委员会。2023 年 6 月 8 日。
5 您是否曾收到有关未支付道路通行费的短信?FBI 表示,这可能是“短信钓鱼”诈骗。USA Today。2024 年 4 月 18 日。
6 FCC 将通过其首批针对诈骗短信的规则。联邦通信委员会。2023 年 5 月 17 日。