短訊釣魚的意思及定義
短訊釣魚也稱為 SMS 網絡釣魚,是一種透過流動短訊進行的網絡安全攻擊。
作為網絡釣魚的一種變種,受害者被欺騙向偽裝的攻擊者提供敏感資訊。SMS 網絡釣魚可以借助惡意軟件或欺詐網站。它出現在很多流動短訊平台上,包括使用數據的手機即時通訊應用程式的非 SMS 渠道。
甚麽是短訊釣魚?
正如「短訊釣魚(smishing)」的定義所示,此術語結合了「SMS」(短訊服務,即眾所周知的發短訊)和「網絡釣魚(phishing)」。如要進一步定義網絡釣魚,可歸類為一種利用人的信任而不是技術漏洞的社會工程攻擊。
當網絡犯罪分子進行「網絡釣魚」時,他們會發送欺詐性電子郵件,嘗試誘騙收件人點擊惡意連結。「短訊釣魚」只使用短訊而非電子郵件。
就本質而言,這些網絡犯罪分子的目的是盜取你的個人資料,然後利用這些資料進行欺詐或其他網絡犯罪。通常情況下,包括偷取資金 -- 通常是你的錢,有時也包括你公司的錢。
網絡犯罪分子通常使用以下兩種方法之一來盜取這些資料:
- 惡意軟件:短訊釣魚網址連結可能會誘騙你下載惡意軟件並安裝到你的手機中。這種短訊惡意軟件可能會偽裝成合法應用程式,誘騙你輸入機密資訊並將這些資料發送給網絡犯罪分子。
- 惡意網站: 短訊釣魚訊息中的連結可能會指向一個虛假網站,要求你輸入敏感個人資訊。網絡犯罪分子使用定制的惡意網站來模仿信譽良好的網站,以便更容易盜取你的資訊。
短訊釣魚訊息通常聲稱是來自你的銀行,要求你提供個人或財務資訊,例如戶口或自動櫃員機號碼。提供這些資訊,就等於把銀行結額的鑰匙交給了竊賊。
隨著越來越多的人將個人智能手機用於工作(這一趨勢被稱為 BYOD,即「自帶設備」),短訊釣魚對企業和消費者都已構成威脅。因此,「短訊釣魚」成為惡意短訊的主要形式也就不足為奇。
與流動設備的使用狀況一樣,針對流動設備的網絡犯罪也在不斷上升。除了短訊是智能手機最常見的使用方式外,還有一些其他因素使其成為一種特別陰險的安全威脅。為了解釋清楚,我們先來瞭解一下短訊釣魚攻擊是如何運作的。
短訊釣魚是如何運作的?
欺騙和欺詐是任何 SMS 網絡釣魚攻擊的核心組成部分。當攻擊者假冒你可能信任的身份時,你就更有可能屈從於他們的請求。
社會工程原理有助網絡釣魚攻擊者操控受害者的決策。這種欺騙的驅動因素有三個方面:
- 信任:網絡犯罪分子會冒充合法的個人和機構,從而降低目標的懷疑。短訊作為一種比較私人化的通訊渠道,自然也會降低個人對威脅的防禦能力。
- 背景:使用可能與目標相關的情況,有助攻擊者進行有效偽裝。短訊有一種個人化的感覺,有助消除人們認為可能是垃圾訊息的懷疑。
- 情緒:透過激發目標的情緒,攻擊者可以蒙蔽其批判性思維,刺激他們迅速採取行動。
利用上述的方法,攻擊者所編寫的訊息就能促使收件人採取行動。
通常,攻擊者希望收件人打開短訊中的網址連結,然後將他們導向一個網絡釣魚工具,要求他們披露自己的私人資訊。這種網絡釣魚工具通常以網站或應用程式的形式出現,也會以虛假身份出現。
有多種方式可用於選擇目標,但通常是根據他們與某個機構或某個地區的從屬關係。特定機構的員工或客戶、流動網絡使用者、大學生甚至特定地區的居民都可能成為目標。
攻擊者通常會偽裝成與他們希望入侵的機構有關。不過,也可以是任何有助他們獲取你的身份或財務資訊的面具。
攻擊者可以使用一種稱為欺騙的方法,將自己的真實電話號碼隱藏在圈套後面。短訊釣魚攻擊者還可能使用「一次性電話」(廉價的一次性預付費電話)來進一步掩蓋攻擊來源。據瞭解,攻擊者還使用電子郵件轉短訊服務作為另一種隱藏電話號碼的手段。
攻擊者將在幾個關鍵階段逐步進行攻擊:
- 向目標發送短訊「誘餌」。
- 透過欺騙手段令受害者洩露資訊。
- 利用受害者的洩露資訊進行預定的盜竊。
一旦攻擊者利用你的私人資訊針對其目標進行了盜竊,他們的短訊釣魚計劃就取得成功。這一目標可能包括但不限於直接從銀行戶口中盜取資訊、利用身份欺詐非法申請信用卡或洩露公司私人資料。
短訊釣魚是如何傳播的?
如前所述,短訊釣魚攻擊透過傳統短訊和非短訊的即時通訊應用程式傳播。但是,SMS 網絡釣魚攻擊由於其欺騙性特質,主要是在不間斷和不被察覺的情況下傳播。
由於使用者對短訊的安全抱有不切實際的信心,因此短訊釣魚的欺騙能力得到了加強。
首先,大多數人都知道電子郵件欺詐的風險。你可能已經學會懷疑那些寫著「嗨,請看一看這個連結」的普通電子郵件。沒有真實的個人訊息通常都是垃圾郵件詐騙的一個重要訊號。
當人們使用手機時,他們的警惕性會降低。很多人認為智能手機比電腦更安全。但智能手機的安全防護有其局限性,並不總是能直接防範短訊釣魚。
無論使用甚麽手段,這些騙局最終都只需要你的信任和判斷失誤就能得逞。因此,網絡釣魚可以攻擊任何具有短訊功能的流動設備。
雖然 Android 設備是市場上的主流平台,也是惡意軟件短訊的理想目標,但 iOS 設備也有同等機會成為目標。蘋果公司的 iOS 流動技術在安全防護方面享有盛譽,但任何流動操作系統本身都無法保護使用者免受網絡釣魚方式的攻擊。虛假的安全感會讓使用者特別容易受到攻擊,無論是使用何種平台。
另一個風險因素是你在旅途中使用智能手機,而且往往是在你分心或匆忙的時候受到攻擊。即是當你在旅途中收到一個要求你提供銀行資訊或兌換優惠券的訊息時,你更有可能放鬆警惕,不假思索地作出回應。
短訊釣魚攻擊的類型
每種短訊釣魚攻擊都使用類似的方法,但表現形式可能有所不同。攻擊者可以使用各種各樣的身份和場景來保持這些 SMS 攻擊的新鮮度。
遺憾的是,由於這些攻擊層出不窮,因此幾乎不可能列出一份完整的短訊釣魚類型清單。我們可以利用一些已知的詐騙場景來揭示其特徵,幫助你在成為受害者之前識別短訊釣魚攻擊。
以下是一些常見的短訊釣魚攻擊場景:
COVID-19 短訊釣魚
COVID-19 以政府、醫療保健和金融機構為了從 COVID-19 疫情中恢復而設計的合法援助計劃為基礎。
攻擊者利用這些計劃操控受害者對健康和財務的恐懼來進行詐騙。警告跡象包括:
- 要求提供敏感資訊(社會保險號碼、信用卡號碼等)的聯絡人追蹤。
- 針對稅務的財政減免,如經濟刺激支票。
- 公共衛生安全最新消息。
- 請求完成美國人口普查。
金融服務短訊釣魚
金融服務短訊釣魚攻擊會偽裝成金融機構的通知。幾乎每個人都會使用銀行和信用卡服務,因此他們很容易受到一般訊息和特定機構訊息的攻擊。貸款和投資也是此類攻擊的常見場景。
攻擊者會冒充銀行或其他金融機構,因為這是進行金融欺詐的理想偽裝身份。金融服務短訊釣魚欺詐的特徵可能包括緊急要求解鎖你的戶口、要求驗證可疑的戶口活動等。
禮品短訊釣魚
禮品短訊釣魚會承諾提供免費服務或產品,通常來自信譽良好的零售商或其他公司。這些可能是參加比賽的贈品、購物獎勵或其他任何免費優惠。當攻擊者透過提出「免費」的概念來提升你的興奮程度時,就能發揮一種邏輯性凌駕作用,促使你更快採取行動。這種攻擊的跡象可能包括限時優惠或免費禮品卡的獨家選擇。
發票或訂單確認短訊釣魚
確認短訊釣魚涉及對近期購買或服務賬單發票的虛假確認。詐騙者可能會提供一個跟進行動的連結,用於操控你的好奇心或引發你對不必要費用的恐懼而促使你立即採取行動。這種詐騙的證據可能包括連串的訂單確認短訊或沒有企業名稱。
客戶支援短訊釣魚
客戶支援短訊釣魚攻擊者會冒充可信公司的支援代表幫助你解決問題。在這種情況下,Apple、Google 和 Amazon 等高科技和電子商務公司是攻擊者的有效身份偽裝。
通常情況下,攻擊者會聲稱你的帳戶出現錯誤,並提供解決步驟。這種要求可能很簡單,只需使用一個欺詐性登入頁面,而更複雜的計劃可能會要求你提供一個真實的帳戶恢復代碼來嘗試重設你的密碼。支援型的短訊釣魚計劃的警告包括賬單問題、帳戶訪問、異常活動或解決你最近的一項客戶投訴。
短訊釣魚實例
由於幾乎每個擁有流動電話的人都可以使用 SMS,因此短訊釣魚攻擊已眾所周知在全球各地發生。以下是一些需要知道的短訊釣魚攻擊實例。
優先獲得蘋果 iPhone 12 的騙局 -- 訂單確認和禮品短訊釣魚
2020 年 9 月出現了一種短訊釣魚計劃,誘使人們提供信用卡資訊以免費獲得 iPhone 12。
該騙局以訂單確認為場景,在短訊中聲稱包裹已發送到一個錯誤的位址。短訊中的網址連結會將目標導向至一個冒充蘋果聊天機械人的網絡釣魚工具。該工具會引導受害者透過一個流程來申請免費的 iPhone 12,作為優先試用計劃的一部分,但不可避免地會要求受害者提供信用卡資訊來支付小額運費。
美國郵政和聯邦快遞詐騙 -- 訂單確認和禮品短訊釣魚
2020 年 9 月,開始流傳關於虛假的美國郵政和聯邦快遞包裹投遞短訊詐騙的報告。這種短訊釣魚攻擊可能會嘗試盜取你各種服務的帳戶憑據或信用卡資訊。
這些短訊聲稱包裹投遞遺漏或出錯,並提供一個假冒聯邦快遞或美國郵政贈品調查的網站釣魚工具連結。雖然這些釣魚網站的場景可能各不相同,但很多網站已被確認為試圖收集 Google 等服務的帳戶登入資料。
強制網上 COVID-19 測試詐騙 -- COVID-19 短訊釣魚
2020 年 4
月,美國商業改進局收到越來越多的報告,稱有冒充美國政府的人發送短訊要求人們透過連結網站參加
COVID-19 強制測試。
當然,很多人一眼就識破了這個騙局,因為 COVID-19 並沒有網上測試。但是,這些短訊釣魚攻擊的場景可以很容易作出改變,因為利用流行病的恐懼心理是使公眾成為受害者的有效方法。
如何防止短訊釣魚
好消息是,你可以很容易防範這些攻擊所產生的潛在後果。你只需甚麽都不做就可以保證自己的安全。就本質而言,只有當你上鉤時,這些攻擊才會造成損害。
儘管如此,請注意短訊是很多零售商和機構聯絡你的合法途徑。並不是所有的短訊都應該被忽略,但無論如何,你都應該安全行事。
有幾件事需要緊記,將有助你保護自己免受這些攻擊的侵害。
- 不要回覆。即使只是催促你回覆,例如要求你發一個只包含「終止」二字的短訊來取消訂閱,也可能是為了識別有效電話號碼的伎倆。攻擊者會利用你的好奇心或對當前情況的焦慮,但你可以拒絕任何接觸。
- 如果資訊很緊急,請勿心急行事。你應將緊急帳戶更新和限時優惠視為可能存在短訊釣魚的警示訊號。保持懷疑並謹慎行事。
- 如果有疑問,請直接致電你的銀行或商戶。合法機構不會透過短訊要求更新帳戶或登入資訊。此外,任何緊急通知都可以直接在你的網上帳戶或透過官方電話求助熱線進行核實。
- 避免使用訊息中的任何連結或聯絡資訊。避免使用訊息中會讓你感到不放心的連結或聯絡資訊。如果可以的話,請直接使用官方聯絡渠道。
- 檢查電話號碼。外觀奇怪的電話號碼(例如 4 個數字)可能是電子郵件轉短訊服務的證據。這是騙子隱藏真實電話號碼的眾多手段之一。
- 永遠不要在手機上儲存信用卡號碼。防止數碼錢包中的財務資訊被盜的最好方法就是永遠不要將該等資訊放在錢包中。
- 使用多因素身份驗證(MFA)。如果被入侵的帳戶需要第二把「鑰匙」來進行驗證,那麼已暴露的密碼對短訊釣魚攻擊者來說可能仍然毫無用處。多因素身份驗證最常見的變體是雙因素身份驗證(2FA),通常使用短訊驗證碼。更強的變體包括使用專用應用程式進行驗證(例如 Google Authenticator)。
- 切勿透過短訊提供密碼或帳戶恢復代碼。如果不法分子獲得密碼和短訊雙因素身份驗證(2FA)恢復碼,都可能會危及你的帳戶。切勿將這些資訊向任何人提供,並且只能在官方網站上使用。
- 下載防惡意軟件應用程式。Android 版 Kaspersky Internet Security 等產品可以防止惡意應用程式以及短訊釣魚連結。
- 向指定機構舉報所有短訊釣魚企圖。
請記住,與電子郵件網絡釣魚一樣,短訊釣魚也是一種欺騙性犯罪 -- 它依賴點欺騙受害者點擊連結或提供資訊來與他們合作。防範這些攻擊的最簡單方法就是甚麽都不做。如果你不作出回應,惡意短訊就不能發揮任何作用。
如果你成為短訊釣魚的受害者該怎麼辦
短訊釣魚攻擊非常狡猾,可能你已經成為受害者,因此你需要制定恢復計劃。
採取以下重要行動來限制成功的短訊釣魚企圖所造成的損失:
- 向任何可以提供幫助的機構報告可疑攻擊。
- 凍結你的信用,以防止未來或正在發生的身份欺詐。
- 盡可能更改所有密碼和帳戶 PIN 碼。
- 監控財務、信貸和各種網上帳戶,以便能發現奇怪的登入位置和其他活動。
這些步驟中的每一步都對你在遭受短訊釣魚攻擊後的保護具有重大意義。不過,報告攻擊不僅能幫助你恢復,還能防止其他人成為受害者。