什麼是簡訊釣魚以及如何防禦

簡訊釣魚定義

簡訊釣魚是一種透過手機簡訊進行的網路釣魚網路安全攻擊，也稱為簡訊網路釣魚。

簡訊釣魚為網路釣魚的一種形式，受害者受到欺騙而向假冒他人的攻擊者提供敏感資訊。簡訊網路釣魚可透過惡意軟體或詐騙網站的方式進行，並出現在許多手機簡訊平台上，其中也包括非傳統簡訊的方式，例如：使用網路數據的手機通訊應用程式。

什麼是簡訊釣魚？

顧名思義，簡訊釣魚為透過簡訊進行的網路釣魚。簡訊釣魚被歸類為利用人類信任而非技術漏洞的社會工程攻擊。

進行「網路釣魚」時，網路犯罪份子會傳送詐騙電子郵件，試圖誘騙收件者點擊惡意連結，而簡訊釣魚則使用簡訊而非電子郵件。

網路犯罪份子進行此類攻擊的目的是竊取個人資料，再以其進行詐騙或其他網路犯罪，通常以竊取受害者的金錢為主，但有時也包括受害者的公司。

下列為網路犯罪份子竊取資料常使用的兩種方法：

1. 惡意軟體：詐騙 URL 連結會誘騙使用者下載惡意軟體，並將其自行安裝到手機上。簡訊惡意軟體可能會偽裝成合法應用程式，誘騙使用者輸入機密資訊並將其傳送給網路犯罪份子。
2. 惡意網站：簡訊釣魚訊息中的連結會將使用者重新導向至假冒網站並要求使用者輸入敏感個人資訊。網路犯罪份子利用客製化的惡意網站，模仿信譽良好的網站，讓竊取資訊更為容易。

簡訊釣魚的內容通常會聲稱來自受害者有來往的銀行，並要求提供個人或財務資訊，例如：帳戶或提款機密碼。受害者提供資訊後相當於將銀行帳戶的鑰匙交給竊賊。

隨著越來越多的人將個人智慧型手機用於工作（稱為 BYOD 或「自帶裝置」的趨勢），簡訊釣魚正成為商業威脅和消費者威脅，毫不令人意外地，簡訊釣魚已成為惡意簡訊的主要形式。

隨著行動裝置使用的增加，針對行動裝置的網路犯罪也不斷增加。傳送簡訊除了是智慧型手機最常見的用途之外，其他一些因素也使其成為特別危險的安全威脅。為了解釋這一點，讓我們來了解一下簡訊釣魚的原理。

簡訊釣魚的原理為何？

詐欺和詐騙是所有簡訊網路釣魚攻擊的核心組成部分。攻擊者假冒成是受害者容易信任的人士或單位，讓受害者更有可能聽從他們的指示。

網路釣魚攻擊者使用社會工程手法引導受害者採取動作。其透過三項要素進行欺騙：

1. 信任：透過假冒合法的人士和組織，網路犯罪份子能讓受害者放下戒心。簡訊為一種更個人化的溝通管道，自然也會降低人們對威脅的警戒心。
2. 狀況：攻擊者能以受害者的相關情況進行有效的假冒。簡訊中會有個人化的內容，避免被認為是垃圾郵件。
3. 情緒：透過增強受害者的情緒，攻擊者影響受害者的判斷力，促使受害者迅速採取行動。

攻擊者使用此類手法編寫訊息內容，誘使收件者採取行動。

通常，攻擊者希望收件人點擊簡訊中的 URL 連結而被導向至網路釣魚工具並提供私人資訊，而此類網路釣魚工具通常為假冒的網站或應用程式。

攻擊者選擇目標的方式有很多種，但通常是根據受害者與某組織或區域位置的關係。特定機構的員工或客戶、行動網路使用者、大學生，甚至特定區域的居民都可能成為目標。

攻擊者通常會假冒成受害者希望有所接觸的機構，或假冒成任何能幫助他們獲取受害者身份或財務資訊的人士或單位。

攻擊者可以使用欺騙手法，隱藏真實的電話號碼並顯示假的電話號碼。網路釣魚攻擊者也可能使用廉價的預付「一次性手機」來進一步隱藏攻擊的來源。攻擊者也時常使用電子郵件轉文字服務作為隱藏號碼的另一種方法。

攻擊者的攻擊可分為數個主要階段：

• 傳送簡訊「魚餌」給目標。
• 取得受騙者的訊息。
• 執行受害者的資訊所能用於的竊盜。

在攻擊過程的最後階段，攻擊者會使用受害者的私人資訊進行盜竊，其中可能包括但不限於直接竊取銀行帳戶、盜用身份來非法申請信用卡或洩露私密公司資料。



簡訊釣魚的傳播方式為何？

正先前所述，簡訊釣魚攻擊能透過傳統簡訊和非傳統簡訊的應用程式進行。然而，簡訊網路釣魚攻擊因其具有高度欺騙性而能不斷散播且不容易察覺。

使用者對簡訊安全抱持錯誤的信心也讓簡訊釣魚更加猖獗。

首先，大多數人都知道電子郵件詐騙的危險。使用者可能已知道要對寫著「您好，請點擊此連結」的電子郵件保持謹慎。內容中沒有真正針對使用者個人的訊息往往是垃圾郵件詐騙的警訊。

但當人們使用手機時，警覺性時常會降低，因為許多人認為智慧型手機比電腦更安全。但智慧型手機的安全性有其限制，並不能直接防止簡訊釣魚。

無論實際使用的手法為何，攻擊者其實只需要受害者的一點信任並做出錯誤判斷就能成功。因此，簡訊釣魚會攻擊任何具有簡訊功能的行動裝置。

雖然 Android 裝置是市場主流平台，也是惡意軟體簡訊的理想目標，但 iOS 裝置也同樣會成為目標。Apple 的 iOS 手機技術在安全性方面享有盛譽，但沒有任何手機作業系統本身能保護使用者避免網路釣魚式攻擊。無論平台如何，錯誤的安全感都會使用者特別容易受到攻擊。

另一個造成風險的因素是使用者經常在分心或匆忙時使用智慧型手機，當收到要求提供銀行資訊或可兌換優惠券的訊息時，很可能會沒有警戒心並不假思索就進行回覆。

簡訊釣魚的類型

簡訊釣魚攻擊使用的手法大同小異，但形式可能會有所差別。攻擊者能不斷變化其所假冒的身份或說詞來進行新型的簡訊攻擊詐騙。

由於這些攻擊的不斷推陳出新，幾乎不可能列出所有的網路釣魚類型。讓我們看看一些常用的詐騙說詞並以此了解簡訊釣魚的慣用伎倆，避免受騙。

以下為簡訊釣魚常見的說詞：

COVID-19 簡訊釣魚

COVID-19 假冒政府、醫療保健和金融組織的 COVID-19 疫情援助計劃。

攻擊者透過假冒的計劃並利用受害者對健康和財務的擔憂以進行詐騙。警訊包括：

• 要求提供敏感資訊（身分證字號、信用卡號碼等）以追蹤接觸者
• 稅收性的紓困補助，如：振興經濟補助。
• 公共衛生安全最新消息。
• 要求提供人口普查資訊。

金融服務簡訊釣魚

金融服務簡訊釣魚攻擊會假冒成來自金融機構的通知。幾乎每個人都會使用銀行和信用卡服務，很容易收到一般常見的資訊和特定機構的資訊。貸款和投資也是此類別的常見說詞。

攻擊者會假冒銀行或其他金融機構進行金融詐騙。金融服務詐騙的特徵包括需要緊急解鎖帳戶、需要驗證可疑帳戶活動等等。

免費贈品簡訊釣魚

免費贈品簡訊釣魚會聲稱提供免費服務或產品，並通常來自信譽良好的零售商或其他公司，聲稱使用者因競賽、購物回饋或其他免費優惠而獲得了免費贈品。攻擊者透過「免費」一詞來提高使用者的興奮感，干擾使用者的邏輯思考並使其盡快採取行動。此類攻擊的跡象包括限時優惠或獨家免費禮品卡。

發票或訂單確認簡訊釣魚

訂單確認簡訊釣魚為詐騙者假冒消費確認或發票確認，其中可能會有後續服務的連結，以利用使用者好奇心，或利用使用者對額外支付費用的恐懼，誘導使用者立即採取行動。此手法的跡象包括訂單確認文字或缺少公司名稱。

客戶服務簡訊釣魚

客戶服務簡訊釣魚攻擊者會假冒可信任公司的服務人員，並聲稱會幫助使用者解決問題。Apple、Google 和 Amazon 等大型科技和電子商務公司是攻擊者常假冒的對象。

通常，攻擊者會聲稱使用者的帳戶出現錯誤，並會協助使用者逐步解決問題。簡單的手法包括引導使用者使用詐騙登入頁面，而更為複雜的手法可能會要求使用者提供帳戶恢復代碼以協助重設密碼。客戶服務的簡訊釣魚手法的跡象包括帳單、帳戶存取、異常活動或為使用者解決最近客戶投訴的問題。

簡訊釣魚例子

由於幾乎所有擁有手機的人能使用簡訊，因此簡訊釣魚攻擊遍及全球。以下是一些需要注意的簡訊釣魚攻擊例子。

搶先體驗 Apple iPhone 12 詐騙事件－訂單確認和免費贈品簡訊釣魚

2020 年 9 月發生了一起簡訊釣魚詐騙，誘騙人們提供信用卡資訊以獲取免費 iPhone 12。

該手法以確認訂單為說詞，並在簡訊中聲稱包裹已被配送到錯誤的地址。簡訊內的 URL 連結將受害者導向至假冒 Apple 聊天機器人的網路釣魚工具。該釣魚工具聲稱受害者能參與早期試用計畫的一部分，並引導受害者完成領取免費 iPhone 12 的流程，但卻要求受害者提供信用卡資訊以支付少量運費。

USPS 和 FedEx 詐騙－訂單確認和免費贈品簡訊釣魚

2020 年 9 月，假冒 USPS 和 FedEx 包裹遞送的簡訊詐騙開始流傳。該簡訊攻擊嘗試竊取使用者各種服務的帳戶登入憑證或信用卡資訊。

郵件內容聲稱包裹遺失或投遞錯誤，並提供了一個假冒 FedEx 或 USPS 贈品問卷調查的網站網路釣魚工具連結。雖然這些網路釣魚網站的內容可能有所不同，但其中許多網站已被發現會試圖收集 Google 等服務的帳戶登入資訊。

網路 COVID-19 強制檢測詐騙－COVID-19 簡訊釣魚

2020 年 4 月，商業改進局收到越來越多的報告表示有人假冒美國政府簡訊，要求人們透過簡訊連結中的網站進行強制性的 COVID-19 檢測。

當然，由於 COVID-19 沒有所謂的線上檢測，許多人立即意識到該簡訊為詐騙簡訊。然而，因為大眾很容易因對疫情的恐懼而受到詐騙，簡訊釣魚攻擊換個說詞就能重新出現。

如何預防簡訊釣魚

好消息是，此類攻擊的潛在後果很容易防範。使用者只要什麼都不要做就能確保自己的安全，因為此類攻擊本質上需要使用者自行上鉤才能造成傷害。

雖然如此，許多零售商和機構會使用簡訊作為聯繫方式，因此無法忽略所有簡訊，但仍應謹慎行事。

以下注意事項能幫助使用者保護自己避免此類攻擊。

• 請勿回覆。回覆簡訊來「取消訂閱」也可能讓此電話號碼被判斷成有人使用的活躍電話號碼。攻擊者利用使用者對其說詞的好奇或焦慮來進行攻擊，但使用者可以拒絕配合。
• 如果簡訊中的內容具有緊急性，也請放慢腳步。需要緊急更新帳戶或有限時優惠等都有可能是詐騙的警訊。保持警戒心並謹慎行事。
• 請直接致電洽詢銀行或商家。合法機構不會透過簡訊要求進行帳戶更新或提供登入資訊。此外，任何緊急通知都可以直接使用線上帳戶或透過官方服務熱線進行驗證。
• 避免使用簡訊中的任何連結或聯絡資訊。避免使用簡訊中可疑的連結或聯絡資訊。請盡量直接透過官方聯絡管道。
• 檢查電話號碼。看起來奇怪的電話號碼（例如 4 位數的電話號碼）可能是電子郵件轉簡訊服務的跡象，是詐騙者用於隱藏真實電話號碼的多個手法之一。
• 請勿在手機上儲存信用卡號碼。防止數位錢包中的財務資訊受到盜用的最佳方法就是不要將其置於其中。
• 使用多因素驗證（MFA）。受到入侵的帳戶如果需要第二個「鑰匙」進行驗證，則單有密碼對於網路釣魚攻擊者來說可能仍然毫無用處。使用多因素驗證最常見的形式是雙因素認證（2FA），並通常使用簡訊驗證碼。更具安全性的形式包括使用驗證專用的應用程式（例如：Google Authenticator）。
• 請勿透過簡訊提供密碼或帳戶恢復代碼。密碼和簡訊雙因素認證（2FA）恢復代碼如果落入壞人之手，則可能會危及帳戶安全。請勿將該資訊提供給任何人，並且僅在官方網站上進行使用。
• 下載防惡意軟體應用程式。卡巴斯基安全軟體 Android 版等產品能防禦惡意應用程式以及簡訊網路釣魚連結。
• 向相關機構通報簡訊網路釣魚的狀況。

與電子郵件網路釣魚一樣，網路釣魚也是一種詐騙犯罪，其誘騙使用者點擊連結或提供資訊並進一步引導其配合。抵禦此類攻擊的最簡單的防護措施就是什麼都不做。無視惡意簡訊，惡意簡訊就什麼也做不了。

如果受到簡訊釣魚攻擊該怎麼辦

網路釣魚攻擊很狡猾，如果意外受害則需要擬定復原計劃。

請採取以下重要措施來防止網路釣魚的傷害擴大：

1. 通報可疑的攻擊，尋求相關機構的協助。
2. 凍結信用紀錄，防止受到身份盜用。
3. 變更所有的密碼和帳戶 PIN 碼。
4. 監控財務、信用和各種線上帳戶是否有可疑的登入位置和其他活動。

上述每項對遭受網路攻擊後的保護都非常重要。然而，通報攻擊不僅能幫助您復原，還可以防止他人也成為受害者。