短信钓鱼
本文约需 2 分钟阅读
钓鱼短信 (Smishing) 是利用 SMS (短消息服务) 进行的钓鱼攻击的总称。它是由「SMS」和「Phishing」组合而成的新造词,通过发送伪造的 SMS 消息将接收者诱导至非法网站,窃取个人信息和认证信息。与邮件钓鱼相比,其打开率压倒性地高 (SMS 的打开率据称在 98% 左右),并巧妙地利用了难以确认 URL 真伪的移动环境特性。
与邮件钓鱼的区别
| 对比项 | 邮件钓鱼 | 钓鱼短信 (SMS) |
|---|---|---|
| 打开率 | 约 20-30% | 约 98% |
| URL 确认 | 可通过悬停确认 | 点击前难以确认 |
| 过滤 | 垃圾邮件过滤器已成熟 | 运营商的过滤器仍在发展中 |
| 发送者伪装 | 可通过 DMARC 等验证 | 发送者 ID 易于伪装 |
| 心理信任度 | 对「可疑邮件」的认知已普及 | SMS 往往更容易被信任 |
与邮件不同,SMS 的发送者认证机制尚不成熟。邮件中存在DMARC这样的域名认证,但 SMS 中没有与之对应的标准规范。攻击者可以利用 SIM 农场和 VoIP 服务以低成本发送大量 SMS,并且在技术上也可以将发送者名称伪装成正规企业名称。
快递未送达通知诈骗 - 在日本肆虐的手法
在日本造成损害最多的钓鱼短信手法,是伪装成快递未送达通知的 SMS。攻击者会发送「我们前来配送您的包裹,但因您不在而带回。重新配送请点击此处」之类的消息并附带短链 URL,点击后便会被诱导至与正规快递公司极为相似的伪造网站。 Android 用户会被诱导安装非法应用,一旦感染恶意软件,设备就会自动发送大量钓鱼短信,发生受害者「加害化」的现象。 iOS 用户则有大量被窃取 Apple ID 或运营商支付认证信息的案例报告。
正规的快递公司不会通过 SMS 发送重新配送的 URL。如果收到未送达通知,请不要点击 SMS 中的链接,而应通过官方应用或官方网站直接确认。
钓鱼短信攻击的流程
RCS 消息的普及与新的风险
取代传统 SMS 的下一代消息标准 RCS (Rich Communication Services) 的普及,为钓鱼短信带来了新的维度。 RCS 支持富媒体 (图像、视频、轮播)、已读确认和正在输入指示器,使得制作难以与企业官方消息区分的精巧伪造消息成为可能。如果滥用品牌徽标显示功能,将更难以在视觉上区分来自正规企业的消息。智能手机安全解说书 (Amazon)有助于掌握移动环境的最新威胁。
运营商的过滤技术与局限
日本的主要运营商 (NTT DoCoMo、 KDDI、软银) 提供垃圾 SMS 过滤功能,但其效果存在局限。由于过滤基于已知模式和黑名单,对新的文案和发送源的应对会滞后。此外,从受感染设备发送的钓鱼短信源自正规电话号码,因此基于发送源的过滤无法检测到。在与SIM 交换相结合的攻击中,受害者的电话号码本身被劫持,因此即使是来自熟人的 SMS 也未必安全。
钓鱼短信可以说是社会工程的移动版攻击。请同时确认垃圾消息防范、钓鱼防范指南和免费 Wi-Fi 的陷阱,全面加强移动环境的安全。
这篇文章对您有帮助吗?