什么是短信网络钓鱼以及如何预防
Posted: Wed Dec 04, 2024 7:45 am
2022 年,美国联邦贸易委员会 (FTC) 报告称,美国消费者因欺诈性短信损失了 3.3 亿美元。受影响的不仅仅是个人;全球有74% 的组织报告称遭遇了短信网络钓鱼。2023 年,瓦莱塔银行 (BOV)甚至被指控犯有一起短信网络钓鱼诈骗案,导致其客户蒙受损失。
这表明短信诈骗是当今移动行业面临的最大威胁之一。了解短信诈骗是什么以及其运作方式至关重要,但知道如何预防也同样重要。
如果您已经熟悉短信网络钓鱼,则可以直接跳至此处的预防章节。
短信网络钓鱼解释
短信网络钓鱼在网络犯罪分子中越来越受欢迎,主要有两个原因:
用户对短信的信任:短信的打开率和响应率分别高达 98% 和 45%。网络犯罪分子利用这种信任短信的倾向诱骗用户执行危害安全的操作。
电子邮件过度饱和:收件箱中充斥着促销优惠和垃圾邮件,使人们对电子邮件更加怀疑,这反过来又使其成为欺诈者有效媒介的劣化。
短信网络钓鱼的运作方式
有效的短信网络钓鱼攻击依赖于收件人 采取的行动,例如点击短信中的链接进入虚假登陆页面或通过回复短信提交私人信息。
短信网络钓鱼信息的说明性示例。
常见的诈骗手段包括冒充可信品牌 或使用多阶段 社会工程手段 来利用收集的数据或信息,这些数据或信息可能是姓名、地址或帐号等任何内容。
诈骗者还非常善于适应,他们肆无忌惮地利用乌克兰战争或加密货币崩溃等时事来使他们的骗局合法化。
短信网络钓鱼攻击的类型
短信网络钓鱼攻击大致有 三种类型,从非法游击营销策略到可能对受害者造成重大经济影响的复杂的多阶段犯罪攻击。
1. 模仿营销
2.恶意软件攻击
3. 虚假登陆页面
短信网络钓鱼攻击示例
所有短信网络钓鱼攻击都有一个共同点,那就是 强烈提示收件人迅速采取行动。通常,他们会提供一些有吸引力的东西,或者提醒收件人一些不好的事情,如果不尽快采取行动,可能会付出高昂的代价或造成尴尬。紧迫感鼓励受害者立即采取行动,而无需多加考虑。
你赢得了一场比赛!(你从未参加过)
从不太复杂(也不太可信)的方面开始,我们都收到过承诺银行存款意外增加的消息。这些消息包括彩票中奖、从不知名的亲戚那里继承遗产,甚至是尼日利亚皇室。大笔收入的诱惑往往足以让人们放松警惕,点击链接或提供个人信息。
沃尔玛礼品卡短信诈骗示例
仅从这张截图就可以看出这些类型的短信诈骗有多古老。 来源:联邦政府严厉打击短信垃圾邮件发送者(nbcnews.com)
虚假送货通知
在过去两年中,随着越来越多的人在网上购物,零售商纷纷推出新的 澳洲海外华人电话号码数据 短信通知用例,这种方法变得越来越突出。欺诈者迅速利用了这个机会,从零售商和快递公司那里制作出非常逼真的消息,标明“您的快递有问题”。他们可能会要求收件人支付额外的快递费或输入他们的登录凭据以获取有关问题的更多信息。
皇家邮政发送送货通知的短信钓鱼诈骗示例
皇家邮政发送投递通知的短信钓鱼诈骗示例。来源:需要警惕的典型网络诈骗 | 皇家邮政集团有限公司
虚假银行信息
讽刺的是,最成功的短信诈骗手段之一是骗子模仿银行发来的消息,标记客户账户上的异常活动。这些消息很容易复制,因为它们遵循一致的格式,而且由于零售银行数量有限,收件人很可能会认出他们自己的银行是发件人。
冒充美国银行的短信钓鱼信息示例。如果用户回复该信息,他们可能会面临危险。来源:假的还是真的?如何知道银行发来的短信是否合法 - CNET
该消息可能会鼓励用户更改密码,以防止进一步的欺诈活动。点击消息中的链接会将用户带到一个 虚假的登录页面 ,要求他们提供登录凭据以更改密码。
有了这些详细信息,犯罪分子就有机会在受害者注意到之前登录并从账户中转移资金。许多银行对这种策略越来越了解,并 在从新设备访问账户或请求金额超过特定阈值时加入 2FA 检查。
共同的朋友/同事骗局
这种方法使用了一些非常基本的社会工程学策略,可以成倍地提高短信钓鱼攻击的有效性。如果一条消息包含我们认识和信任的人的姓名和详细信息,那么我们更有可能相信它是合法的。
诈骗者只需搜集受害者的社交媒体账户,找出他们的密友或商业熟人。然后他们利用这些信息,或许向受害者提供工作机会、不容错过的商业机会,或邀请他们参加他们感兴趣的活动。
来自新“朋友”的短信钓鱼信息示例。来源:您应该立即删除的 7 条垃圾和诈骗短信 (rd.com)
虚假社交媒体警报
当人们意识到自己在网上的照片可能不好看时,他们似乎会失去判断力。一种非常成功的策略是发送短信,声称来自社交媒体撒玛利亚人,提醒人们注意他们不喜欢的事情:“你不会相信约翰在 Facebook 上标记你的照片!看看这个……。”
捐款骗局
当新闻中发生重大事件时,例如选举、自然灾害、战争或难民危机,诈骗者就会利用它来诱骗人们捐款或提供个人信息,然后利用这些信息进行欺诈。
要求政治捐款的短信诈骗示例。 来源:《当竞选活动掌握你的号码时》——《纽约时报》(nytimes.com)
如何防止短信诈骗
短信网络诈骗的预防从移动运营商 (MNO) 开始,他们可以部署各种反欺诈解决方案来保护其网络免受各种类型的短信欺诈。他们在保障移动用户的安全方面发挥着至关重要的作用。
例如,在波兰,有一项名为《打击电子通信滥用法案》(CAECA)的法律,于 2023 年生效。该法案要求移动运营商:
拦截符合短信网络钓鱼规定的短信
屏蔽声称来自公共机构的短信(根据发件人姓名)
阻止向最终用户隐藏来电者的来电
不履行这些义务可能会导致罚款,罚款金额最高可达其上一历年收入的 3%。
在英国,领先的电信提供商和政府正在根据《电信欺诈行业宪章》共同打击欺诈行为,通过协调行动和解决方案遵守法律和数据保护义务。宪章定义的行动包括实施其他技术来阻止短信网络钓鱼:
这表明短信诈骗是当今移动行业面临的最大威胁之一。了解短信诈骗是什么以及其运作方式至关重要,但知道如何预防也同样重要。
如果您已经熟悉短信网络钓鱼,则可以直接跳至此处的预防章节。
短信网络钓鱼解释
短信网络钓鱼在网络犯罪分子中越来越受欢迎,主要有两个原因:
用户对短信的信任:短信的打开率和响应率分别高达 98% 和 45%。网络犯罪分子利用这种信任短信的倾向诱骗用户执行危害安全的操作。
电子邮件过度饱和:收件箱中充斥着促销优惠和垃圾邮件,使人们对电子邮件更加怀疑,这反过来又使其成为欺诈者有效媒介的劣化。
短信网络钓鱼的运作方式
有效的短信网络钓鱼攻击依赖于收件人 采取的行动,例如点击短信中的链接进入虚假登陆页面或通过回复短信提交私人信息。
短信网络钓鱼信息的说明性示例。
常见的诈骗手段包括冒充可信品牌 或使用多阶段 社会工程手段 来利用收集的数据或信息,这些数据或信息可能是姓名、地址或帐号等任何内容。
诈骗者还非常善于适应,他们肆无忌惮地利用乌克兰战争或加密货币崩溃等时事来使他们的骗局合法化。
短信网络钓鱼攻击的类型
短信网络钓鱼攻击大致有 三种类型,从非法游击营销策略到可能对受害者造成重大经济影响的复杂的多阶段犯罪攻击。
1. 模仿营销
2.恶意软件攻击
3. 虚假登陆页面
短信网络钓鱼攻击示例
所有短信网络钓鱼攻击都有一个共同点,那就是 强烈提示收件人迅速采取行动。通常,他们会提供一些有吸引力的东西,或者提醒收件人一些不好的事情,如果不尽快采取行动,可能会付出高昂的代价或造成尴尬。紧迫感鼓励受害者立即采取行动,而无需多加考虑。
你赢得了一场比赛!(你从未参加过)
从不太复杂(也不太可信)的方面开始,我们都收到过承诺银行存款意外增加的消息。这些消息包括彩票中奖、从不知名的亲戚那里继承遗产,甚至是尼日利亚皇室。大笔收入的诱惑往往足以让人们放松警惕,点击链接或提供个人信息。
沃尔玛礼品卡短信诈骗示例
仅从这张截图就可以看出这些类型的短信诈骗有多古老。 来源:联邦政府严厉打击短信垃圾邮件发送者(nbcnews.com)
虚假送货通知
在过去两年中,随着越来越多的人在网上购物,零售商纷纷推出新的 澳洲海外华人电话号码数据 短信通知用例,这种方法变得越来越突出。欺诈者迅速利用了这个机会,从零售商和快递公司那里制作出非常逼真的消息,标明“您的快递有问题”。他们可能会要求收件人支付额外的快递费或输入他们的登录凭据以获取有关问题的更多信息。
皇家邮政发送送货通知的短信钓鱼诈骗示例
皇家邮政发送投递通知的短信钓鱼诈骗示例。来源:需要警惕的典型网络诈骗 | 皇家邮政集团有限公司
虚假银行信息
讽刺的是,最成功的短信诈骗手段之一是骗子模仿银行发来的消息,标记客户账户上的异常活动。这些消息很容易复制,因为它们遵循一致的格式,而且由于零售银行数量有限,收件人很可能会认出他们自己的银行是发件人。
冒充美国银行的短信钓鱼信息示例。如果用户回复该信息,他们可能会面临危险。来源:假的还是真的?如何知道银行发来的短信是否合法 - CNET
该消息可能会鼓励用户更改密码,以防止进一步的欺诈活动。点击消息中的链接会将用户带到一个 虚假的登录页面 ,要求他们提供登录凭据以更改密码。
有了这些详细信息,犯罪分子就有机会在受害者注意到之前登录并从账户中转移资金。许多银行对这种策略越来越了解,并 在从新设备访问账户或请求金额超过特定阈值时加入 2FA 检查。
共同的朋友/同事骗局
这种方法使用了一些非常基本的社会工程学策略,可以成倍地提高短信钓鱼攻击的有效性。如果一条消息包含我们认识和信任的人的姓名和详细信息,那么我们更有可能相信它是合法的。
诈骗者只需搜集受害者的社交媒体账户,找出他们的密友或商业熟人。然后他们利用这些信息,或许向受害者提供工作机会、不容错过的商业机会,或邀请他们参加他们感兴趣的活动。
来自新“朋友”的短信钓鱼信息示例。来源:您应该立即删除的 7 条垃圾和诈骗短信 (rd.com)
虚假社交媒体警报
当人们意识到自己在网上的照片可能不好看时,他们似乎会失去判断力。一种非常成功的策略是发送短信,声称来自社交媒体撒玛利亚人,提醒人们注意他们不喜欢的事情:“你不会相信约翰在 Facebook 上标记你的照片!看看这个……。”
捐款骗局
当新闻中发生重大事件时,例如选举、自然灾害、战争或难民危机,诈骗者就会利用它来诱骗人们捐款或提供个人信息,然后利用这些信息进行欺诈。
要求政治捐款的短信诈骗示例。 来源:《当竞选活动掌握你的号码时》——《纽约时报》(nytimes.com)
如何防止短信诈骗
短信网络诈骗的预防从移动运营商 (MNO) 开始,他们可以部署各种反欺诈解决方案来保护其网络免受各种类型的短信欺诈。他们在保障移动用户的安全方面发挥着至关重要的作用。
例如,在波兰,有一项名为《打击电子通信滥用法案》(CAECA)的法律,于 2023 年生效。该法案要求移动运营商:
拦截符合短信网络钓鱼规定的短信
屏蔽声称来自公共机构的短信(根据发件人姓名)
阻止向最终用户隐藏来电者的来电
不履行这些义务可能会导致罚款,罚款金额最高可达其上一历年收入的 3%。
在英国,领先的电信提供商和政府正在根据《电信欺诈行业宪章》共同打击欺诈行为,通过协调行动和解决方案遵守法律和数据保护义务。宪章定义的行动包括实施其他技术来阻止短信网络钓鱼: