How can scammers make text messages appear from legitimate company numbers?

Scammers use SMS spoofing technology that allows them to manipulate the sender ID displayed on your phone, making messages appear from recognized company shortcodes or phone numbers. This technique exploits vulnerabilities in the SMS infrastructure that doesn't verify sender authenticity. Always verify suspicious messages through official channels rather than trusting the displayed sender information.

What should I do if I already clicked a link in a smishing text?

Immediately disconnect your phone from Wi-Fi and cellular data to prevent malware transmission, then change passwords for all accounts using a different secure device. Contact your bank and credit card companies to monitor for fraudulent activity, run a mobile security scan if you have antivirus software installed, and consider doing a factory reset if you entered personal information. Report the incident to the FTC at IdentityTheft.gov and your local authorities.

Can I get malware just from receiving a smishing text without clicking anything?

Simply receiving a smishing text cannot install malware on modern smartphones, but you should still delete suspicious messages immediately. However, clicking embedded links or downloading attachments can install spyware, keyloggers, or banking trojans that steal information. Some sophisticated attacks exploit zero-day vulnerabilities in messaging apps, though these are rare and typically patched quickly through operating system updates.

Why do legitimate companies send text messages if it's so risky for phishing?

Companies use SMS for legitimate purposes like appointment reminders, delivery notifications, and two-factor authentication because texts have high engagement rates and customer preference. Legitimate messages will never ask for passwords, payment information, or urgent action through links. Reputable organizations are implementing authenticated messaging standards like RCS and branded sender verification to help distinguish real communications from scams.

How do smishing scams specifically target different age groups?

Scammers tailor smishing messages based on demographic research: younger victims receive fake package delivery and social media security alerts exploiting online shopping habits, while older adults get targeted with Social Security suspension, Medicare fraud, and grandparent scam texts exploiting less familiarity with digital fraud tactics. Middle-aged victims often receive employment, tax, and banking scams. Understanding your risk profile helps recognize targeted attacks designed specifically for your demographic vulnerabilities.

高风险平均损失: $800 持续时间: 1-3 days

短信钓鱼(Smishing)：文本消息诈骗解析

短信钓鱼(Smishing)是SMS和钓鱼(Phishing)的合成词，代表增长最快的网络犯罪威胁之一。美国联邦贸易委员会报告显示，2020年至2023年间，基于短信的欺诈举报增加了146%。这些攻击利用短信的即时性和所有者对短信的信任，受害者平均每起事件损失800美元。与通常被过滤的电子邮件钓鱼不同，短信的打开率高达98%，且在接收后的三分钟内被阅读，使其成为极为有效的攻击载体。诈骗分子发送虚假短信，冒充银行、快递服务、政府机构或雇主，以制造紧迫感和恐慌。这些消息通常包含恶意链接，指向设计用来窃取登录凭证、信用卡号、社会安全号码或其他敏感信息的虚假网站。美国联邦调查局互联网犯罪投诉中心在2023年仅收到超过52,000份短信钓鱼投诉，总损失超过4,200万美元。短信钓鱼特别危险之处在于其能够绕过传统安全措施。移动设备通常缺乏计算机上所具备的强大垃圾邮件过滤和安全软件，用户也往往比信任电子邮件更信任短信。攻击者利用欺骗技术使消息看起来来自合法电话号码或公司短代码，并利用账户关闭恐惧、包裹递送失败或税务问题等心理触发因素促使受害者立即采取行动，而不经过批判性思考。

常见手法如何识别如何保护自己真实案例常见问题

常见手法

• 包裹递送诈骗，诈骗分子发送短信声称包裹延迟、未送达或需要立即采取行动，提供指向伪造的联邦快递、UPS、USPS或亚马逊网站的链接，旨在窃取支付信息或登录凭证。
• 银行账户安全警报，虚假声称异常活动、账户被锁定或需要验证，使用与受害者实际银行匹配的欺骗电话号码以显示合法性，并将用户引向凭证窃取网站。
• 税务或政府冒充短信，声称未缴税款、社会安全号被暂停、刺激支付符合资格或逮捕威胁，要求通过礼品卡、电汇或加密货币立即支付以解决虚构问题。
• 双因素认证绕过攻击，诈骗分子发送看似来自合法服务的代码，欺骗受害者转发认证代码，这些代码在拦截后几分钟内即可授予真实账户的访问权限。
• 奖项和抽奖通知，虚假声称彩票中奖、礼品卡奖励或竞赛奖品，要求受害者支付处理费、提供银行详情或点击恶意链接以领取不存在的奖金。
• 就业和工资诈骗，以虚假的来自人力资源部门或高管的短信为目标，要求W-2表信息、直接存款变更或紧急电汇，通常在忙碌期间发送，此时验证的可能性较低。

如何识别

来自未知号码或短代码的意外短信，声称代表熟悉的公司，尤其是当你与该组织没有待处理的交易、快递或账户问题时。
使用'24小时内回复''需要立即采取行动'或'账户将被关闭'等紧急语言制造人工时间压力，旨在绕过你的自然怀疑并强制仓促决定。
缩短的URL或可疑链接，与声称的发件人的官方域名不匹配，通常使用bit.ly、tinyurl.com或合法公司网站的拼写错误变体。
通过短信请求敏感信息，包括密码、社会安全号码、信用卡详情或账户PIN，合法组织从不通过SMS通信请求此类信息。
使用'尊敬的客户'或'账户持有人'等通用问候语而非你的实际姓名，表明这是大规模分发的诈骗短信，而非来自了解你身份的公司的个性化沟通。
语法和拼写错误、异常格式或尴尬表述，与合法组织的专业沟通风格不同，通常表明来自国外诈骗组织的翻译。

如何保护自己

切勿点击未经请求的短信中的链接，即使看起来合法；相反，手动将公司的官方网站输入浏览器或使用其官方应用程序直接检查你的账户状态。
尽可能启用使用身份验证器应用而非短信代码的多因素认证，因为基于短信的双因素认证仍易受到SIM卡交换和复杂犯罪分子的拦截攻击。
通过使用官方网站上的电话号码或信用卡背面的电话号码联系该组织来验证可疑消息，切勿使用可疑短信本身中提供的联系信息。
通过将可疑短信转发至7726(SPAM)来向你的移动运营商报告短信钓鱼尝试，这有助于提供商识别和阻止诈骗消息，同时为更广泛的欺诈预防数据库做出贡献。
安装包含反钓鱼保护的移动安全软件，并定期更新你的手机操作系统以修补短信钓鱼攻击利用的漏洞，以安装恶意软件或间谍软件。
将你的电话号码注册到全国禁止来电名单，并对任何声称需要验证码的短信保持特别谨慎，因为合法公司绝不会通过任何通信方式要求你共享认证代码。

真实案例

芝加哥一名居民收到一条看似来自美国邮政服务的短信，声称她的包裹因地址错误而无法送达，并提供了一个更新递送信息的链接。该链接指向一个令人信服的虚假美国邮政服务网站，要求她提供信用卡信息以支付3.49美元的重新递送费。输入详情后，诈骗分子立即进行了2,400美元的欺诈性收费，并在暗网上出售了她的卡信息，导致她经历了数月的身份盗窃问题。

德克萨斯州一名小企业主收到一条看似来自其银行官方短代码的短信，警告账户出现异常活动，并指示他通过点击链接立即验证身份。虚假银行网站捕获了他的用户名、密码和安全问题的答案。在45分钟内，诈骗分子向海外账户发起了总计18,000美元的电汇转账，直到该企业主查看其合法银行应用程序时才发现欺诈。

佛罗里达州一对老年夫妇收到短信声称他们欠缴847美元税款，若在72小时内未支付将面临逮捕，要求通过礼品卡立即支付。该消息包含一个虚假国税局代理的回调电话，该代理在三小时的电话中对他们施压，要求他们购买5,000美元的iTunes和Google Play卡，并通过电话听写卡号，直到这对夫妇意识到没有合法政府机构接受礼品卡支付。

常见问题

诈骗分子如何使短信看起来来自合法公司号码？

诈骗分子使用短信欺骗技术，允许他们操纵显示在你手机上的发件人ID，使消息看起来来自公认的公司短代码或电话号码。这项技术利用了不验证发件人真实性的短信基础设施中的漏洞。始终通过官方渠道验证可疑消息，而不是相信显示的发件人信息。

如果我已经点击了短信钓鱼短信中的链接，我应该怎么办？

立即断开你的手机与Wi-Fi和蜂窝数据的连接以防止恶意软件传输，然后使用不同的安全设备更改所有账户的密码。联系你的银行和信用卡公司以监控欺诈活动，如果你安装了防病毒软件，请运行移动安全扫描，如果你输入了个人信息，考虑进行出厂重置。在IdentityTheft.gov向美国联邦贸易委员会报告该事件，并向当地执法部门报告。

仅接收短信钓鱼短信而不点击任何内容会感染恶意软件吗？

仅接收短信钓鱼短信无法在现代智能手机上安装恶意软件，但你仍应立即删除可疑消息。但是，点击嵌入式链接或下载附件可能会安装间谍软件、键盘记录器或银行木马，这些会窃取信息。某些复杂的攻击利用消息应用程序中的零日漏洞，尽管这些情况很少见，通常通过操作系统更新迅速修补。

如果短信钓鱼风险如此之大，为什么合法公司仍然发送短信？

公司使用短信用于合法目的，如约会提醒、递送通知和双因素认证，因为短信具有高参与率和客户偏好。合法消息绝不会通过链接要求密码、支付信息或紧急采取行动。信誉良好的组织正在实施经过身份验证的消息传递标准(如RCS)和品牌发件人验证，以帮助区分真实通信与诈骗。

短信钓鱼诈骗如何具体针对不同年龄组？

诈骗分子根据人口统计学研究定制短信钓鱼消息：年轻受害者收到虚假包裹递送和社交媒体安全警报，利用在线购物习惯，而老年人成为社会安全暂停、医疗保险欺诈和孙子诈骗短信的目标，利用对数字欺诈战术的较低熟悉度。中年受害者通常收到就业、税务和银行诈骗。了解你的风险概况可以帮助识别专门针对你的人口统计漏洞设计的有针对性的攻击。

按线索进入

安全检测

威胁情报

工具与举报

高级服务

扩展与 API