行业新闻与博客

“ SMS”和“网络钓鱼”的 portmanteau，这个相当笨拙的术语描述了我们许多人遇到的网络电信骗局

询问 100 个随机的陌生人是否知道“恶作剧”是什么，很少有人会知道您在说什么。

但是，一旦解释了该术语，许多人就会意识到他们对这种社会工程现象有直接的经验。

什么是骗人的？

垃圾邮件是网络钓鱼的一种形式，网络犯罪分子从所谓的受信任来源发送 SMS 消息，欺骗受害者单击恶意链接或向其提供个人数据。

欺诈者冒充银行，政府机构，甚至是朋友或家人，利用社会工程学技术诱骗受害者移交银行详细信息，登录凭据，社会安全号码以及其他敏感信息。

那些容易遭受欺诈或“ SMS 网络钓鱼”攻击的人可能会窃取其身份，清空银行帐户，或者最终在手机上安装恶意软件。

欺诈攻击的流行程度如何？

全世界的银行和反欺诈机构警告说，尽管很难获得证实这些说法的统计数字，但欺诈性短信正在变得越来越多和越来越复杂。

例如，伦敦市警察局只能向《每日新闻》提供“电话被记录为欺诈的促成因素”的数字，因此包括欺诈性的电话呼叫和欺诈攻击。

在 2019年1月1日至 2020年3月31日期间，英格兰，威尔士和北爱尔兰的公众向英国欺诈与网络犯罪举报中心 Action Fraud 报告了约 98,055 起电话欺诈和攻击事件。但是，这些数字不包括“信息报告”，即报告了欺诈行为，但报告欺诈行为的个人并未因此被欺诈。 

毫无疑问，SMS 消息通常与电子邮件，电话或上门欺骗相结合，在美国商业改善局（Better Business Bureau）在美国和加拿大记录的 20 万多起欺诈事件中也发挥了作用。

在 Verizon 的移动安全指数 2020 已经暗示了一个日益严重的问题，报告说，在移动设备上的攻击 85％都没有通过电子邮件直接。

在诸如自然灾害和大流行等严重紧急情况下，社会工程骗局总是不可避免地激增。

旨在利用公众的恐惧和焦虑，使受害者成为更容易的目标。

例如，2月，韩国政府发布了有关提供免费口罩的欺诈性邮件的警报，而 3月，美国发出了有关欺诈性运输警报的警告，指示受害者更新交货首选项并提供信用卡详细信息。

为何伪装流行的攻击方法？

大多数成年人-以及越来越多的儿童-始终都携带智能手机。研究表明，短信的平均打开率为 98％，而电子邮件仅为 20％。

Cyber​​crooks 可以轻松地自动将 SMS 消息发送到成千上万个电话号码组合。

与电子邮件相比，用户显然没有可行的方法来阻止或标记可疑的 SMS 消息。

设计自动化公司 Synopsys 的首席安全顾问 Larry Trowell 告诉 The Daily Swig，也无法通过倒转数字来确定所宣称的发件人是否“合法”，也无法接收到警报，如果传入的 SMS 被怀疑是骗局。

                                                                                                             Smishing 使用社会工程手段欺骗受害者交出证书

抹黑如何工作？

在典型的骗局中，受害人被指示采取各种自我破坏的行动，误导他们是在得到有用的东西（例如激活信用卡），令人兴奋的东西（奖品或独家要约）或保护自己免受某些直接伤害威胁（例如警告，警告说他们已经感染了恶意软件）。

这些动作可以包括：

• 用特定的个人信息回复短信


• 单击下载恶意软件或将其定向到信誉良好的网站的链接，以披露个人详细信息


• 拨打保费率“客户服务”号码


• 将钱汇入罪犯的银行帐户

网络骗子冒充各种各样的组织，例如银行，医疗保健机构或快递公司。

攻击者通常会发出紧迫感（“要价今天到期！”或“立即行动，否则您的帐户将被暂停！”），如果他们花费了更多的时间思考，就会使目标受到某些可能引起怀疑的指示的恐惧。

鱼叉式网络钓鱼（Spear-phishing）可以向特定的个人或组织自定义消息，从而使此类技巧更加可信。

多管齐下的攻击-SMS 结合电话和 / 或具有真实外观的网站-也使邪恶的计划更加可信。

“他们可能会通过 SMS 消息告诉受害者注意电子邮件，从而使受害者发火，”安全意识培训提供商 KnowBe4 的安全意识倡导者 Javvad Malik 告诉 The Daily Swig。

“通过同时通过不同的渠道，人们常常被认为只有合法的组织才能拥有所有的细节。”

污迹的例子

由于消息的特点是拼写错误，语法不正确以及难以采取行动，因此很容易发现一些虚假消息。

但是，许多标记具有很高的说服力，并且危险标记（几乎总是存在危险标记，无论多么微妙）都很难检测到。

近年来报告的三种特别复杂的方案包括：

Covid-19 大流行期间的邮件敦促收件人进行自我隔离，因为它们可能与发件人保持了密切联系，发件人声称已对该病毒进行了阳性检测。

2018年，总部位于俄亥俄州的第五银行的 125 位客户将其帐户凭据输入到一个欺骗的网站中以解锁其帐户-而是，网络骗子劫持了他们的帐户，并从 17 个“无卡式” ATM 机中提取了 68,000 美元

桑坦德银行的英国客户在向曾与桑坦德银行建立较早真实联系的一个欺骗的银行电话号码中透露了自己的“一次性密码”后，于 2016年被骗取 22,700 英镑

smishing 和 vishing 有什么区别？

许愿攻击旨在通过语音电话欺骗受害者。

攻击者经常使用 IP 语音（VoIP）服务（例如 Skype），因为它们可以轻易地欺骗受信任组织的呼叫者 ID。人们经常使用自动电话呼叫，而深沉的虚假音频的出现增加了受害者被他们认识和信任的人的声音所欺骗的风险。

受害者的心理

“每个人都容易受到恶意电子邮件和恶意 SMS 的攻击，”与他人合着并提交给英国政府的关于网络安全行为方面的学术论文的乔治亚·克罗斯兰（Georgia Crossland）告诉《每日新闻》。

这位伦敦大学的博士生补充说：“研究表明，甚至专家也可能被赶上，要么是因为袭击特别令人信服，要么是由于环境原因，例如工作压力，或者是在安全性与生产力之间进行权衡。”

INSIGHT  SIM 交换欺诈–解释器

她说，认知偏见 “影响我们的脆弱性”。她列举了乐观偏见，即个人认为自己比其他人不容易受到影响，因此“不太可能采取预防措施”。

Crossland 说，Robert Cialdini 博士在 1980年代流行的说服技术通常可以在网络钓鱼攻击中找到，例如“稀缺性”（例如“点击一下就为时过晚”）或“喜欢”（我们倾向于信任我们所信任的人或组织）喜欢）。

Crossland 承认：“例如，我在 WhatsApp 上从三个单独的“朋友” 那里收到了 Whole Foods 代金券骗局，几乎点击了该链接。”

如何停止欺骗缠扰您的短信

虽然无法完全消除垃圾邮件，但您可以采取一些行动来确保您不会迷恋它们。

安全专家在决定是否响应 SMS 消息时通常会讲安全第一的思想。

Synopsys 的 Larry Trowell 说：“如果您不确定是谁发送了消息，请不要单击任何链接。” “看似品牌信息也是如此。例如，如果您没有注册以收到包裹递送通知，则不要单击该链接。

“如果一家公司向您发送短信以下载其最新应用程序或获取折扣代码似乎很不寻常，请相信您的直觉。”

此清单包含有关发现和处理可疑 SMS 的专家建议：

不要点击链接或在未经请求的短信中拨打电话，也不要提交个人信息作为回应

通过在线查找声称的发件人网站和官方联系方式来验证邮件的真实性

如果看起来好得令人难以置信，那可能是

删除所有可疑文本

阻止来自未知号码的短信-您可以在 iPhone 和 Android 手机上执行此操作

“ 5000”数字表示邮件是通过电子邮件发送的，可能是恶意的

发短信“ STOP”以防止将来发送消息可能只会确认您的电话号码正在使用中并邀请其他消息

 

安全意识培训

KnowBe4 的 Javvad Malik 说：“通常不存在用于 SMS 消息的电子邮件网关。” “因此，组织几乎完全依赖于员工能够发现（而不是成为）卑鄙的攻击的受害者。”

因此，有效的培训和明确的安全策略至关重要。

但是佐治亚·克罗斯兰（Georgia Crossland）曾是大西洋理事会（Atlantic Council）首届英国网络 9/12 学生挑战赛获胜团队的一员，他警告说，基于恐惧的意识运动“常常使人们认为他们无能为力，可以减少个人威胁，领导人们不要尝试。

她补充说：“我们需要进行更多的定性研究，以更好地了解信息安全中的人为因素。”

但是，技术解决方案仍可以是解决方案的一部分。例如，截至 2020年4月，英国的 SMS SenderID 保护注册中心通过允许组织注册和保护其消息标题，阻止了 400 多种骗局变种。

如何举报垃圾邮件

如果收到的可疑短信似乎冒充了组织，则可以直接向他们发出警报。

另外，如果您所在的国家 / 地区（例如美国的 7726）存在该服务，也可以将其转发给反欺诈短信服务，或者通过 Google“举报垃圾邮件”以找到您所在国家 / 地区的相关权限（例如澳大利亚的 Scamwatch） 。

如果您已对怀疑是欺诈性 SMS 的答复做出了回应，则还应该提醒您的银行和电话提供商，这可以设置安全警报。

本文由机器译制