钓鱼短信详解

2018-08-07 16:36:14

说起钓鱼攻击，对于IT工作人员来说都不陌生，但是现在还有一种新型钓鱼攻击方式，即使在IT界也很少有人知晓，那就是短信钓鱼攻击。以下是关于短信钓鱼攻击5个需要了解的方面：

1、短信钓鱼攻击是一种特殊的漏洞

和它的近亲电邮钓鱼攻击类似，短信钓鱼攻击也会诱使用户输入个人隐私信息，然后盗取绑定个人信息的账户或信用卡。由于电邮钓鱼攻击会受到电脑上各种安全软件的阻止，但短信钓鱼攻击目前还没有针对性的安全机制来防护，因此这种钓鱼攻击方式越来越受到黑客欢迎。

短信钓鱼利用的是人们对手机的信任感发起攻击行为，一般人收到陌生电邮都会提高警惕，但是对收到的陌生短信不会有防备心理。去年BBC报道了有黑客利用社会工程学净赚了10亿美元。

2、钓鱼短信常会伪装成银行发送的短信

最常见的钓鱼欺诈短信是伪装成银行给用户发送账户提示短信，要求用户提供个人信息来验证手机银行账户的安全。而且钓鱼短信的文字内容错误百出，经常会出现错别字，口气十分强硬。一般都是警告用户的银行账户出现了安全问题，诱使用户点击短信中的链接地址来解决。

很多用户之前都收到过类似的钓鱼邮件，一些用户会拨打银行的官方热线电话来确认自己账户是否真的存在问题。不过随着诈骗短信发送者的经验值上升，这些诈骗短信变得越来越逼真。

3、钓鱼短信字数不会超过短信字数的上限

由于手机中短信字数的限制，因此钓鱼短信需要突出内容重点，诱使用户点击链接或下载某个恶意软件。而且由于短信一般不会收到安全软件的检测，因此一般用户很难分辨短信内容的真假。而且用手机或平板设备很难确定打开的网站链接是否是正规网站。

4、钓鱼短信会链接到一个高仿的正规网站

这个高仿网站从表面上看不论是图标还是页面设计和官方网站一样，给用户造成一种假象，觉得这个网站没问题。接着就是要求用户提供尽可能多的个人信息。即使用户有些信息没有填写，但每填写一种个人信息，诈骗犯就多一份成功的可能性。有些网站上甚至还有假冒的多因素身份认证，就和银行官方网站一样，整个用户体验和正规银行网站一模一样。

5、钓鱼短信会隐藏发送者信息

一般的短信接收到后，会在手机上显示对方的号码。钓鱼短信诈骗会刻意隐藏短信发送号码，一般都是使用短信群发机来隐藏真实号码。所以当用户在手机上收到未知号码短信或陌生号码短信时就需要特被提高警惕。