短信钓鱼(Smishing):文本消息诈骗解析
短信钓鱼(Smishing)是SMS和钓鱼(Phishing)的合成词,代表增长最快的网络犯罪威胁之一。美国联邦贸易委员会报告显示,2020年至2023年间,基于短信的欺诈举报增加了146%。这些攻击利用短信的即时性和所有者对短信的信任,受害者平均每起事件损失800美元。与通常被过滤的电子邮件钓鱼不同,短信的打开率高达98%,且在接收后的三分钟内被阅读,使其成为极为有效的攻击载体。 诈骗分子发送虚假短信,冒充银行、快递服务、政府机构或雇主,以制造紧迫感和恐慌。这些消息通常包含恶意链接,指向设计用来窃取登录凭证、信用卡号、社会安全号码或其他敏感信息的虚假网站。美国联邦调查局互联网犯罪投诉中心在2023年仅收到超过52,000份短信钓鱼投诉,总损失超过4,200万美元。 短信钓鱼特别危险之处在于其能够绕过传统安全措施。移动设备通常缺乏计算机上所具备的强大垃圾邮件过滤和安全软件,用户也往往比信任电子邮件更信任短信。攻击者利用欺骗技术使消息看起来来自合法电话号码或公司短代码,并利用账户关闭恐惧、包裹递送失败或税务问题等心理触发因素促使受害者立即采取行动,而不经过批判性思考。
常见手法
- • 包裹递送诈骗,诈骗分子发送短信声称包裹延迟、未送达或需要立即采取行动,提供指向伪造的联邦快递、UPS、USPS或亚马逊网站的链接,旨在窃取支付信息或登录凭证。
- • 银行账户安全警报,虚假声称异常活动、账户被锁定或需要验证,使用与受害者实际银行匹配的欺骗电话号码以显示合法性,并将用户引向凭证窃取网站。
- • 税务或政府冒充短信,声称未缴税款、社会安全号被暂停、刺激支付符合资格或逮捕威胁,要求通过礼品卡、电汇或加密货币立即支付以解决虚构问题。
- • 双因素认证绕过攻击,诈骗分子发送看似来自合法服务的代码,欺骗受害者转发认证代码,这些代码在拦截后几分钟内即可授予真实账户的访问权限。
- • 奖项和抽奖通知,虚假声称彩票中奖、礼品卡奖励或竞赛奖品,要求受害者支付处理费、提供银行详情或点击恶意链接以领取不存在的奖金。
- • 就业和工资诈骗,以虚假的来自人力资源部门或高管的短信为目标,要求W-2表信息、直接存款变更或紧急电汇,通常在忙碌期间发送,此时验证的可能性较低。
如何识别
- 来自未知号码或短代码的意外短信,声称代表熟悉的公司,尤其是当你与该组织没有待处理的交易、快递或账户问题时。
- 使用'24小时内回复''需要立即采取行动'或'账户将被关闭'等紧急语言制造人工时间压力,旨在绕过你的自然怀疑并强制仓促决定。
- 缩短的URL或可疑链接,与声称的发件人的官方域名不匹配,通常使用bit.ly、tinyurl.com或合法公司网站的拼写错误变体。
- 通过短信请求敏感信息,包括密码、社会安全号码、信用卡详情或账户PIN,合法组织从不通过SMS通信请求此类信息。
- 使用'尊敬的客户'或'账户持有人'等通用问候语而非你的实际姓名,表明这是大规模分发的诈骗短信,而非来自了解你身份的公司的个性化沟通。
- 语法和拼写错误、异常格式或尴尬表述,与合法组织的专业沟通风格不同,通常表明来自国外诈骗组织的翻译。
如何保护自己
- 切勿点击未经请求的短信中的链接,即使看起来合法;相反,手动将公司的官方网站输入浏览器或使用其官方应用程序直接检查你的账户状态。
- 尽可能启用使用身份验证器应用而非短信代码的多因素认证,因为基于短信的双因素认证仍易受到SIM卡交换和复杂犯罪分子的拦截攻击。
- 通过使用官方网站上的电话号码或信用卡背面的电话号码联系该组织来验证可疑消息,切勿使用可疑短信本身中提供的联系信息。
- 通过将可疑短信转发至7726(SPAM)来向你的移动运营商报告短信钓鱼尝试,这有助于提供商识别和阻止诈骗消息,同时为更广泛的欺诈预防数据库做出贡献。
- 安装包含反钓鱼保护的移动安全软件,并定期更新你的手机操作系统以修补短信钓鱼攻击利用的漏洞,以安装恶意软件或间谍软件。
- 将你的电话号码注册到全国禁止来电名单,并对任何声称需要验证码的短信保持特别谨慎,因为合法公司绝不会通过任何通信方式要求你共享认证代码。
真实案例
芝加哥一名居民收到一条看似来自美国邮政服务的短信,声称她的包裹因地址错误而无法送达,并提供了一个更新递送信息的链接。该链接指向一个令人信服的虚假美国邮政服务网站,要求她提供信用卡信息以支付3.49美元的重新递送费。输入详情后,诈骗分子立即进行了2,400美元的欺诈性收费,并在暗网上出售了她的卡信息,导致她经历了数月的身份盗窃问题。
德克萨斯州一名小企业主收到一条看似来自其银行官方短代码的短信,警告账户出现异常活动,并指示他通过点击链接立即验证身份。虚假银行网站捕获了他的用户名、密码和安全问题的答案。在45分钟内,诈骗分子向海外账户发起了总计18,000美元的电汇转账,直到该企业主查看其合法银行应用程序时才发现欺诈。
佛罗里达州一对老年夫妇收到短信声称他们欠缴847美元税款,若在72小时内未支付将面临逮捕,要求通过礼品卡立即支付。该消息包含一个虚假国税局代理的回调电话,该代理在三小时的电话中对他们施压,要求他们购买5,000美元的iTunes和Google Play卡,并通过电话听写卡号,直到这对夫妇意识到没有合法政府机构接受礼品卡支付。