什麼是 Smishing?
網路釣魚是 SMS 短訊服務 (texting) 與 網路釣魚(phishing) 的結合,意指攻擊者發送文字訊息以獲取個人和敏感資訊。與魚叉式網路釣魚一樣,網路釣魚攻擊依賴於誘騙使用者點擊連結來提供敏感資訊,例如可用於存取目標系統,甚至存入 惡意軟體的登入憑證。
由於收集電話號碼的便利性、智慧型手機的普及,以及文字訊息比傳統電子郵件更容易推論出信任度,這種攻擊方式最近變得越來越流行。電子郵件可以包含任意數量的字母或特殊字符,但全球各地的電話號碼都遵循特定的模式,例如美國的 3-4-3 10 位數模式,攻擊者可以嘗試不同的組合,或向特定範圍發送爆破。此外,電話號碼通常與社交媒體相關聯,因此更容易找到,同時也提供攻擊者一個資訊儲存庫,讓網路釣魚嘗試更個人化。
詐騙者之所以能夠得逞,也是因為使用者與手機之間的關係。無論是在旅途中或是分心處理其他事情,使用者都更傾向於相信他們的智慧型手機,或是略過一則訊息,而非仔細閱讀。為了防範網路釣魚以及一般的網路釣魚詐騙,使用者必須仔細檢查電話號碼、仔細閱讀訊息,並且切勿點選不熟悉的連結。
如何識別釣魚嘗試
不幸的是,任何裝置都不乏網路釣魚攻擊。無論網路釣魚罪犯是在搜補信用卡、登入憑證或任何其他敏感資訊,SMS 網路釣魚企圖都是行動使用者需要防範的威脅。
常見的網路釣魚攻擊涉及銀行服務。這些簡訊冒充合法的金融機構,看似時間敏感,鼓勵受害者不經深思熟慮就登入。
圖 1:提醒受害者帳戶受損的文字訊息範例,鼓勵他們使用提供的連結登入
對於這些類型的訊息,最好的反應方式就是繞過連結,直接前往銀行本身。前往銀行網站、登入其應用程式,甚至致電當地分行,確認銀行帳戶是否有任何問題。
另一個網路釣魚攻擊的例子是利用多重要素驗證 (MFA)。攻擊者會傳送認證文字訊息給使用者,鼓勵他們登入。黑客會建立這些網頁,使其看起來像使用者熟悉的 真實憑證網站 。
圖 2:鼓勵受害者在所提供的連結上登入以驗證身份的文字訊息範例。
面對這樣的攻擊,使用者必須謹慎思考。他們最近有登入什麼網站嗎?這是他們驗證身份的正常方式嗎?與銀行機構一樣,最好直接前往來源進行驗證。值得注意的是,雖然有些攻擊者正在利用 MFA,但 MFA 所增加的安全性仍是對抗網路犯罪極為重要的防禦措施。
圖 3 是一個真實的範例,以我們的一位員工所收到的 smishing 訊息為基礎。
圖 3:釣魚嘗試的螢幕截圖,高亮顯示奇怪的號碼和不正確的連結
如何避免被 Smished
如前所述,避免被騷擾的最佳技巧之一就是對您收到的簡訊持批判的態度。切勿點擊您不熟悉的連結,也不要覺得有義務回覆您不認識的號碼所發出的陌生簡訊。如果您在美國收到釣魚短信,您可以向 reportfraud.ftc.gov舉報。
對於安全專業人員而言,實作使用者教育非常重要。訓練並測試貴公司如何識別網路釣魚和 smishing,將大大降低網路釣魚嘗試成功的可能性。
更進一步來說,這塊拼圖的另一個重要部分是在整個組織中採用 零信任的 立場。監控您的環境時必須了解,任何事情都不應該被隱含信任 - 您網路中的任何東西都可能被用來對付您。 端點偵測與回應 (EDR) 等產品可提供廣泛的可視性和以 機器學習 (ML)為基礎的偵測,以進行即時威脅分析。EDR 產品可搭配 安全協調、自動化與回應 (SOAR) 平台,以進行自動化的威脅回應。
