什么是 Smishing?
网络钓鱼是 SMS 短信息服务(或称短信)和 网络钓鱼的结合体,指攻击者为获取个人信息和敏感信息而发送的短信。与鱼叉式网络钓鱼一样,网络钓鱼攻击也是通过诱骗用户点击链接来提供敏感信息,如 登录凭据 ,这些 凭据 可用于访问目标系统,甚至存入 恶意软件 。
这种攻击方式近来变得越来越流行,原因是电话号码易于收集、智能手机的普及以及短信比传统电子邮件更容易获得信任。电子邮件可以包含任意数量的字母或特殊字符,而全球各地的电话号码则遵循特定的模式,如美国的 3-4-3 10 位数模式,攻击者可以尝试不同的组合或向特定范围发送爆炸信息。此外,电话号码通常与社交媒体相关联,因此更容易找到,同时也为攻击者提供了一个信息库,使网络钓鱼尝试更加个性化。
用户与手机之间的关系也是骗子得逞的原因。无论是在旅途中,还是在分心处理其他事情时,用户都更倾向于相信智能手机或略读信息,而不是仔细阅读。为了更好地防范网络钓鱼和一般的网络钓鱼诈骗,用户必须仔细检查电话号码,认真阅读信息,切勿点击陌生链接。
如何识别钓鱼企图
遗憾的是,任何设备上都不乏网络钓鱼攻击。无论网络罪犯是在追踪信用卡、登录凭证还是其他敏感信息,短信钓鱼企图都是移动用户需要防备的威胁。
常见的网络钓鱼攻击涉及银行服务。这些短信冒充合法金融机构,可能会显示出时间敏感性,鼓励受害者不假思索地登录。
图 1:提醒受害者账户被盗的短信样本,鼓励他们使用提供的链接登录
对这类信息做出反应的最佳方式是绕过链接,直接访问银行本身。访问银行网站、登录其应用程序,甚至致电当地分行,以核实银行账户是否存在任何问题。
网络钓鱼攻击的另一个例子是利用多因素身份验证(MFA)。攻击者会向用户发送凭据短信,鼓励他们登录。黑客会将这些网页制作成用户熟悉的 真实证书网站 的样子。
图 2:鼓励受害者登录所提供链接以验证身份的短信样本。
面对这样的攻击,用户必须慎重考虑。他们最近登录过什么系统吗?这是他们核实身份的正常方式吗?与银行机构一样,最好直接向消息来源核实。值得注意的是,虽然一些攻击者正在利用 MFA,但 MFA 的附加安全性仍然是抵御网络犯罪的重要手段。
图 3 是一个基于我们的一名员工收到的钓鱼邮件的真实示例。
图 3:钓鱼尝试的截图,其中突出显示了陌生号码和错误链接
如何避免被盗
如前所述,避免被 "诽谤 "的最佳技巧之一就是对收到的短信持批判态度。切勿点击不熟悉的链接,也不要觉得有义务回复不认识号码发来的陌生短信。如果您在美国收到钓鱼短信,可以向 reportfraud.ftc.gov 举报。
对于安全专业人员来说,实施用户教育非常重要。对贵公司进行如何识别网络钓鱼和网络钓鱼的培训和测试,将大大降低网络钓鱼尝试成功的可能性。
更进一步说,这块拼图的另一个重要部分是在整个组织范围内采取 零信任的 立场。重要的是,在监控环境时要认识到,任何东西都不应被隐含地信任--网络中的任何东西都可能被用来对付你。 端点检测和响应(EDR)等产品可提供广泛的可见性和基于 机器学习(ML)的检测,以进行实时威胁分析。EDR 产品可与 安全协调、自动化和响应(SOAR) 平台搭配使用,以实现基于自动化的威胁响应。
