短訊釣魚 vs 網絡釣魚 – 如何注意安全

可能一直被人忽略,但其實騙徒一直精於利用SMS取得釣行卡和網上銀行密碼,在美國意大利巴西等地都引起了媒體關注,德國更發出官方警告,顯示短訊釣魚其實不容忽視。

短訊釣魚的運作

短訊釣魚其實是經由SMS短訊發送的網絡釣魚(SMS+phishing=Smishing),有部份分類會把經由app發送訊息的網絡釣魚也歸類為短訊釣魚,而Kaspersky則分為另一個類別,所以不會在本文中討論。

短訊釣魚的目的和其他網絡釣魚一樣,就是騙取收訊息者的敏感資料,通常是網上銀行密碼或銀行卡資料。為了達到目的,騙徒發送關於派件、未繳費或封鎖帳號等假問題,要求收訊息者點擊連結,然後可能往兩個方向走,一個方向是偽裝成合法的應用程式感染用戶的裝置,而目的是取得重要的資料;另一個方向是把受害者帶到看似合法網站之上,同樣是要求重要資訊。

往哪個方向走取決於騙徒的慣用方法,是惡意程式還是假網站,對受害者而言結果並無分別。這類型的騙案在澳洲歐洲英國可造成數千元以上的盜竊。

短訊釣魚比網絡釣魚危險的原因

相信大家都對網約釣魚電郵都不陌生,很多人都知道分辨真偽的方法,而短訊是較意料之外的詐騙徒徑,很多人都以為短訊不會是騙局。此外,除了用戶較相信短訊之外,它的安全性也較電郵低,現時差不多過半數的電郵服務都有內置的過濾,雖然並不完美,但騙徒需要付出更多「腦力」去穿過過濾,相比起來流動訊息的過濾更顯得拙劣。

在使用習慣方面,用戶通常在路徒上或工作之間瀏覽短訊,加上沒有考慮短訊的潛在危險,令他們遍向對短訊較粗心大意,令攻擊更容易成功,這意味著很多人看到短訊都會較低心理上的警剔,然後隨便點擊提供的連結。

最後,SMS短訊顯示的較少資訊,令人更難發現蛛絲馬跡,當收到電郵,用戶可以查看送件者地址、內文的訊息和設計等線索,用戶有更多機會找到釣魚電郵的缺憾。換上短訊,由於正常短訊的內文訊息很多時也非常規,令用戶難以辨別真偽,騙徒只要再點技術技巧,以假的號碼取代真的發訊人號碼。

慎防掉入短訊釣魚騙局

與傳統的網絡釣魚一樣,大家需要慎防短訊釣魚!

  • 不要點擊或分享短訊中的連結,正如一般的守規,越少動作越好。
  • 盡可能使用雙重認證(如有),這樣即使密碼被盜,帳號也不會落入不法份子手中。
  • 如果發現帳號有可疑交易,立即通知銀行,銀行可以封鎖付款卡、更改密碼和提供其他建議。
  • 不要回覆詐騙短訊,期望從發送清單移除,因為回覆對方就能確定你的號碼有人使用。
  • 如果有懷疑訊息的真偽,直接聯絡銀行進行確定,並從官方途徑取得正確的電話號碼,無論如何也不要使用可疑短訊提供的資料。

資料來源:Kaspersky Blog