攻击与威胁
短信钓鱼 (Smishing)
别称: SMS 钓鱼
定义
通过 SMS 等移动消息渠道实施的钓鱼攻击,诱导受害者点击恶意链接、拨打欺诈电话或泄露信息。
短信钓鱼是通过短信(以及越来越多的 RCS、WhatsApp、iMessage 等消息应用)实施的社会工程攻击。常见伪装包括快递投递通知、银行欺诈提醒、退税信息、二次验证码索取、过路费缴纳骗局等。移动场景对攻击者有利:链接会被截断、发件号码可被伪造、用户也常处于分心状态。防御措施包括运营商侧过滤、手机端的反钓鱼客户端、用 FIDO2 或应用型多因素认证取代 SMS 验证码,以及对所有紧急短信进行带外核实的用户教育。
示例
- 短信声称"快递投递失败 — 请在 hxxps://express-redeliver[.]link 支付 1.99 元再投递费"。
- 伪装的银行警报敦促用户拨打反欺诈热线,然后被索要完整卡号和一次性验证码。