什么是短信诈骗?
短信诈骗是一种社会工程攻击,使用虚假的移动短信来诱骗人们下载 恶意软件、共享敏感信息或向网络犯罪分子汇款。“诈骗”一词是“SMS”(或“短消息服务”,文本消息背后的技术)和“网络钓鱼”的组合。
网络诈骗是一种日益流行的网络犯罪形式 。根据 Proofpoint 的 2023 年网络钓鱼状况报告,76% 的组织在 2022 年经历过网络钓鱼攻击。
有几个因素导致了短信诈骗的增加。其一,实施这些攻击的黑客(有时被称为“smishers”)知道受害者更有可能点击短信而不是其他链接。与此同时,垃圾邮件过滤器的进步使得其他形式的网络钓鱼(例如电子邮件和电话)更难到达目标。
自带设备 (BYOD) 和远程工作安排的增加也导致更多的人在工作中使用移动设备,从而使网络犯罪分子更容易通过员工的手机访问公司网络。
网络钓鱼攻击与其他类型的网络钓鱼攻击类似,诈骗者使用虚假消息和恶意链接来欺骗人们,从而泄露他们的手机、银行帐户或个人数据。唯一的主要区别是媒介。在短信攻击中,诈骗者使用短信或消息应用程序而不是电子邮件或电话来进行网络犯罪。
诈骗者出于各种原因选择网络钓鱼而不是其他类型的网络钓鱼攻击。也许最重要的是,研究表明人们更有可能点击短信中的链接。Klaviyo 报告称,SMS 点击率徘徊在8.9% 到 14.5% 之间。相比之下,根据 Constant Contact 的数据 ,电子邮件的平均点击率仅为 1.33% 。
此外,诈骗者越来越多地使用一次性电话欺骗电话号码或利用软件通过电子邮件发送短信等策略来掩盖短信消息的来源。发现手机上的危险链接也变得更加困难。例如,在计算机上,用户可以将鼠标悬停在链接上以查看其指向的位置,但在智能手机上,他们没有该选项。人们还习惯于银行和品牌通过短信联系他们并在短信中接收缩短的 URL。
2020 年,美国联邦通信委员会 (FCC) 要求电信公司采用 STIR/SHAKEN 协议 ,该协议对电话呼叫进行身份验证,这也是一些手机现在显示“可能是诈骗”或“垃圾邮件”的原因当可疑号码来电时,可能会出现“可能”的消息。但是,尽管 STIR/SHAKEN 使诈骗电话更容易被发现,但它对短信的影响却不同,导致许多诈骗者将注意力转向短信攻击。
与其他形式的社会工程一样,大多数类型的短信攻击都依赖于借口,其中涉及使用虚假故事来操纵受害者的情绪并诱骗他们执行诈骗者的命令。
冒充金融机构
诈骗者可能会冒充受害者的银行,通常通过虚假通知提醒他们账户出现问题。如果受害者点击该链接,他们就会进入一个虚假网站或应用程序,该网站或应用程序会窃取敏感的财务信息,例如 PIN、登录凭据、密码以及银行帐户或信用卡信息。2018 年, 一群诈骗者使用此方法从 Fifth Third Bank 客户那里窃取了 100,000 美元。
冒充政府
诈骗者可能会冒充警察、国税局代表或其他政府官员。这些诈骗短信通常声称受害者欠罚款或必须采取行动索取政府福利。例如,在新冠最严重时,美国联邦贸易委员会 (FTC) 警告称,可能存在提供税收减免、免费测试和类似服务的网络钓鱼攻击。当受害者点击这些文本中的链接时,诈骗者就会窃取他们的社会安全号码和其他可用于实施身份盗窃的信息。
假装是客户支持
攻击者冒充亚马逊、微软等值得信赖的品牌和零售商的客户支持代理,甚至是受害者的无线提供商。他们通常会说受害者的帐户有问题或无人领取奖励或退款。通常,这些短信会将受害者发送到一个虚假网站,该网站会窃取他们的信用卡号或银行信息。
冒充托运人
这些诈骗信息声称来自 FedEx、UPS 或美国邮政服务等运输公司。他们告诉受害者,运送包裹时出现问题,并要求他们支付“送货费”或登录他们的帐户来纠正问题。当然,骗子会拿走钱或账户信息并逃跑。这些骗局在假期期间很常见,当时很多人都在等待包裹。
假装是老板或同事
在商业文本泄露中(类似于 商业电子邮件泄露,除了通过短信),黑客假装是需要帮助完成紧急任务的老板、同事或同事(例如供应商、律师)。这些诈骗通常要求受害者立即采取行动,并以受害者向黑客汇款而告终。
假装发错号码
诈骗者发送的短信似乎是针对受害者以外的其他人的。当受害者纠正诈骗者的“错误”时,诈骗者就会与受害者展开对话。这些错误号码诈骗往往是长期的,诈骗者试图通过数月甚至数年的反复联系来赢得受害者的友谊和信任。诈骗者甚至可能假装对受害者产生浪漫的感情。其目标是最终通过虚假投资机会、贷款请求或类似故事窃取受害者的钱。
假装被锁定账户
在这种称为多因素身份验证 (MFA) 欺诈的骗局中,已经拥有受害者用户名和密码的黑客试图窃取访问受害者帐户所需的验证码或一次性密码。黑客可能会冒充受害者的朋友之一,声称自己的 Instagram 或 Facebook 帐户已被锁定,并要求受害者为其接收代码。受害者获得一个 MFA 代码(实际上是用于他们自己的帐户)并将其提供给黑客。
假装提供免费应用程序
一些网络诈骗会诱骗受害者下载看似合法的应用程序(例如文件管理器、数字支付应用程序,甚至防病毒应用程序),但实际上是恶意软件或勒索 软件。
网络钓鱼是网络攻击的一个广义术语,它利用社会工程诱骗受害者付款、移交敏感信息或下载恶意软件。网络钓鱼和网络钓鱼只是黑客可以对受害者使用的两种网络钓鱼攻击。
不同类型的网络钓鱼攻击之间的主要区别在于执行攻击的媒介。在短信攻击中,黑客专门使用短信或 SMS 来瞄准受害者,而在语音钓鱼攻击(“语音网络钓鱼”的缩写)中,黑客使用电话和语音邮件等语音通信来冒充合法组织并操纵受害者。
许多网络安全专家认为,未来几年,网络诈骗将会变得更加普遍。Proofpoint 首席信息安全官 Lucia Milică认为,恶意软件市场中将会出现诈骗工具,让不懂技术的诈骗者能够发送恶意文本。
Gartner预测结合文本、电子邮件、电话和其他通信渠道的“多渠道”网络钓鱼尝试将会增加。例如,朝鲜支持的黑客团伙 Lazarus Group 就采用多渠道策略。该组织 使用虚假的 LinkedIn 个人资料冒充加密货币交易所的招聘人员 ,以讨论职位空缺为幌子联系受害者,然后将对话从 LinkedIn 转移到短信或 WhatsApp,诱骗受害者下载木马或其他恶意软件。
个人和公司可以采取关键措施来保护自己:
-
移动网络安全解决方案:Android和iOS操作系统具有内置的保护和功能,例如阻止未经批准的应用程序以及将可疑文本过滤到垃圾邮件文件夹。在组织层面,公司可以使用统一端点管理 (UEM) 解决方案来设置移动安全控制和策略。 -
安全意识培训:培训人们识别网络攻击和网络诈骗企图的警告信号(例如异常的电话号码、意外的URL和高度的紧迫感)可以帮助保护组织。培训还可以制定处理敏感数据、授权付款以及在处理请求之前验证请求的规则。
原文始发于微信公众号(祺印说信安):网络安全知识:什么是短信钓鱼(短信网络钓鱼)?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论