短訊攻擊定義
短訊攻擊是利用短訊服務(SMS)和其他流動即時通訊應用程式進行網絡攻擊的惡意威脅。這些攻擊利用惡意軟件和網站對使用者造成損害。
短訊攻擊可導致竊取私人資料並向其他使用者傳播惡意軟件。利用短訊和其他文字即時通訊的攻擊可能會使用多種工具來進行攻擊。不過,這些攻擊最常使用的是惡意軟件。
甚麼是短訊惡意軟件?
就本質而言,短訊惡意軟件是透過短訊向受害者發送的任何惡意軟件。
雖然惡意軟件可以透過電子郵件和很多其他方式向流動設備發送,但短訊惡意軟件是透過短訊傳播的。這種有害軟件的目的是在未經使用者批准的情況下侵入並在流動設備上執行該惡意程式。
一旦進入設備,惡意軟件就會造成各種有害的影響。這些影響大多數屬於以下幾類:
- 存取:獲取或拒絕進入私人帳戶、服務等。
- 濫用:將流動設備或服務用於未經授權的目的
- 暴露: 披露使用者流動設備、帳戶等的私人資料。
- 刪除:刪除在流動設備、服務中的資料。
- 修改:不需要地修改在使用者設備、服務中的資料。
所有流動設備都容易受到短訊惡意軟件和文字即時通訊攻擊的影響。受影響的設備通常是運行 Google 的 Android 平台,因為全球大多數智能手機和平板電腦都運行該平台。雖然這個使用率極高的平台是黑客的理想攻擊目標,但短訊惡意軟件也會攻擊蘋果的 iOS 系統,儘管人們誤認為該系統不會受到惡意軟件的攻擊。
這些威脅凸顯了在流動設備中採取防惡意軟件措施的重要性。
利用短訊的惡意軟件威脅仍在逐年增加,並將在未來幾年繼續對流動設備使用者構成重大威脅。作為短訊攻擊的其中一種類型,這類威脅和其他威脅對所有流動用戶都構成了重大威脅。
短訊攻擊是如何運作的?
短訊攻擊透過短訊發送惡意網址的連結,通常會指向一個網站或下載地方。點擊這些連結的使用者可能會在不知情的情況下載有害程式或洩露敏感資訊,對自己造成損害。
要進行短訊攻擊,威脅者通常會採取以下幾個步驟:
- 準備:收集和建立進行網絡攻擊的所需資源。
- 傳播:透過短訊或即時通訊應用程式向使用者發送惡意資訊。
- 利用:成功誘導用戶與威脅互動並令自己遭到入侵。
- 執行:在被入侵設備啟動所想行動,從而實現短訊攻擊的目標。
攻擊者的準備工作是找出透過流動網絡在訂閱者間傳播威脅的方法。他們還必須建立任何渠道來發送惡意軟件或收集使用者資訊。一旦攻擊者做好了傳播惡意文字訊息的準備,就能將用戶暴露於威脅中。
與其他一些威脅不同的是,短訊攻擊主要是透過社會工程策略進行,目的是要欺騙受害者將自己暴露於威脅中。緊迫性是攻擊者用來驅使受害者採取行動的主要特徵。令使用者點擊連結後,攻擊者就可以在使用者的設備和任何連接服務上隨意執行任務。
請注意,某些利用短訊的攻擊可能會與這種攻擊結構有所差異。不過,很多常見的攻擊都傾向於使用上述的傳播和利用模式。
因此,短訊攻擊會直接影響用戶,也會損害手機或流動資訊服務提供者的聲譽,並造成網絡擁塞。
短訊惡意軟件是如何傳播的?
短訊惡意軟件的傳播可能在攻擊時和隨後的用戶初期感染中發生。從名稱來看,短訊惡意軟件表明威脅的某些方面必須涉及以惡意方式使用短訊(或其他文字訊息為基礎的即時通訊服務)和惡意軟件。
雖然從名稱來看,可能是專門透過短訊傳播,但這種惡意軟件也可以透過其他方式傳播。初期和隨後的感染載體可能涉及即時通訊應用程式,包括任何使用流動數據的即時通訊服務,例如 WhatsApp、蘋果 iMessage 和 Facebook Messenger。
在某些情況下,使用者可能會受到手機短訊以外的短訊惡意軟件感染。電子郵件、網站和其他網絡服務都可以傳播導致短訊攻擊的惡意軟件。然後,可能會引發使用者在不知情的情況下傳播利用短訊傳播的惡意軟件威脅。
在討論短訊惡意軟件時,需要瞭解兩種不同的威脅:
- 直接傳播:從攻擊者的原始短訊攻擊訊息中發送的流動惡意軟件。
- 二次傳播:流動惡意軟件或其他惡意程式「劫持」流動設備,然後透過短訊向更多使用者傳播其他惡意軟件。
間接傳播,攻擊者利用流動網絡或即時通訊服務向使用者發送惡意軟件誘餌文字訊息。攻擊者經常使用惡意程式自動發送文字訊息,從而避免手動聯絡每名用戶。
在二次傳播中,受感染的用戶會將威脅傳播在其連絡人名單中的其他人。最初的感染源於攻擊者在用戶可能暴露自己的地方植入惡意程式。一旦用戶受到感染,這些惡意程式就能傳播惡意軟件。
惡意應用程式、電子郵件、社交媒體帖子和消息都是這種二次「劫持」威脅的常見來源。然後,惡意程式可能會濫用用戶的連絡人名單來發送短訊攻擊訊息。
另外,攻擊者的惡意程式也可能會操控使用者的流動設備,使其變成殭屍網絡的一部分。這樣,攻擊者就可以向這些設備發送指令,執行比預先編程的更多的行動。這可能包括收集用戶的連絡人,以便用於更大的攻擊目標清單,或執行其他類型的攻擊,如 DDoS 。有時,會製造一個後門,以便可以建立持續的威脅。
短訊和流動惡意軟件攻擊的類型
在眾多短訊攻擊威脅中,以下是一些值得注意的類型:
短訊網絡釣魚(Smishing)
短訊網絡釣魚,或稱「Smishing」,是指攻擊者透過短訊冒充受信任的個人或機構,欺騙用戶將自己暴露於威脅中。
使用者可能會被誘騙感染惡意軟件、匯款或被引導洩露私人資訊,例如帳戶憑證或銀行戶口號碼。
多年來,網絡釣魚一直是一種流行的網絡攻擊手段:當訊息是來自所信任的個人或組織時,大家就不會懷疑。此外,利用人們的信任,發送附有簡單惡意連結和檔案附件的緊急訊息,即使是精明的互聯網用戶也會輕易上當受騙。
流動惡意軟件
流動惡意軟件是指在流動設備上運行的任何惡意軟件。這些攻擊涉及網絡犯罪分子針對受害者的流動設備而製作和傳播的惡意軟件。通常是涉及其他短訊攻擊(如 smishing)的負載資料。常見的犯罪分子包括:
- 勒索軟件:將你的設備資料加密,並索取贖金才能解鎖。
- 間諜軟件:監控用戶活動,例如按鍵、輕掃手勢和點擊。
- 點擊劫持:可隱藏與你的設備互動,誘騙你採取破壞性行動。
- 病毒:附加在合法應用程式中,並在應用程式運行時執行和複製來感染設備的惡意活動。
- 木馬程式:充當誘餌應用程式或檔案,本身可能是惡意軟件或包含惡意威脅。
付費短訊詐騙
付費短訊詐騙涉及未經授權為使用者註冊訂閱短訊服務。受害者的電話賬單上會出現不想要的費用,如果這些服務是由犯罪分子經營,受害者甚至可能要向攻擊者付費。
付費短訊服務可能是為了獲得每日星座運程或其他便利。雖然這些服務可能是合法的,但攻擊者會濫用這個系統來造成不便或牟利。
有時,木馬程式等惡意軟件可能會感染設備,從而觸發參加付款服務。這些木馬程式和其他惡意軟件的目的是在使用者不知情或未經使用者同意的情況下撥打未經授權的電話或發送未經授權的短訊。這些電話和短訊隨後會被引導至付費短訊服務或付費電話號碼。這些號碼由網絡犯罪分子操作,可為網絡犯罪網絡帶來可觀收入。
短訊攻擊實例
近年來,隨著全球手機使用率的上升,短訊攻擊不斷增加。下面是一些需要注意的最新攻擊:
Emotet - 短訊釣魚和惡意軟件/木馬程式
2020 年初,網絡犯罪分子利用一種名為,透過短訊(SMS)誘騙客戶並竊取其憑據和感染惡意軟件。攻擊者冒充可信賴的美國銀行發出緊急短訊,例如,「儲蓄戶口已被封鎖」,並附上一個可為目標客戶解決虛假問題的惡意網站連結。攻擊者使用本地電話號碼,而短訊格式與典型的自動警報短訊類似,從而令受害者感到恐慌並點擊連結。
打開惡意連結的受害者會進入一個欺詐性的銀行登入頁面,該頁面(如果使用此方法)會在使用者不知情的情況下獲取使用者的戶口憑據。然後,在受害者下載以巨集編寫的惡意程式文檔後,會進入攻擊的第二階段。
Emotet 的蠕蟲式複製能力及其防惡意軟件規避方法令這種威脅具有很大的風險。雖然 Emotet 惡意軟件現在是透過標準的短訊釣魚攻擊傳播,但自 2014 年以來(2019 年年中短暫中斷),它一直透過不斷變化的渠道傳播。這種攻擊的不斷演變使其成為一個需要密切關注的威脅。
Filecoder -- Android 短訊勒索軟件
2019 年 7 月,開始出現有關針對 Google 的 Android 設備的新型勒索軟件的報告。這種威脅稱為 Android/Filecoder.C,透過短訊傳播,可以透過將資料加密來封鎖手機檔案。這樣,攻擊者就可以要求支付贖金,以換取對檔案的存取權限。
這種威脅自 2019 年 7 月開始出現,透過 Reddit 等網絡論壇傳播。誘餌通常是色情內容,將連結隱藏在 bit.ly 等 URL 縮短服務中。
使用該連結的 Android 系統受害者會感染惡意軟件,然後向他們的每個手機連絡人發送包含另一個惡意連結的短訊。該文字連結會宣傳一個應用程式,如果安裝了該應用程式,就會在後台悄悄運行勒索軟件。
短訊保護 - 如何防止短訊攻擊
如何保護自己免受短訊攻擊侵害?以下是一些有用貼士,可為你的防護工作提供指導:
- 放慢腳步,謹慎行事:通常情況下,緊迫性是一個警號,表明你應該暫停一下並應更加謹慎行事。透過可信渠道直接聯絡寄件者,例如機構網站上的官方電話號碼。如果是你認識的人發來的,也要這樣做。
- 查看你的電話賬單:沒有預料而出現的費用可能預示發生了詐騙,因此一旦發現,必須立即報告並提出異議。
- 注意細節:奇怪的拼寫、語法和措辭都表明短訊並非來自官方機構。官方信函通常都經過審查並認真撰寫,而短訊攻擊通常不會這樣做。
- 留意寄件者:任何不在你連絡人中的人都應仔細檢查,但對朋友和其他已知連絡人也須謹慎。應特別注意意外連結,並應與相關人士跟進,以核實其短訊的安全性。
- 不要直接打開任何連結:可透過官方網站直接查看銀行等可信機構。請選擇這種方法,而不要點擊潛在的惡意連結。
最終,安裝有效的防惡意軟件程式,你可以保護流動設備免受木馬程式和其他懷有惡意的短訊攻擊。我們誠意推薦 Kaspersky Premium:它可以保護你的所有設備(流動設備、桌面電腦、手提電腦、平板電腦)免受木馬程式、網絡釣魚欺詐和其他惡意軟件的攻擊。