Smishing 短信钓鱼
SMS + Phishing。用短信骗用户交出敏感信息,或冒充已知来源(银行、快递、税务局)诱导点击恶意链接。
属于 Social Engineering 的一种,跟 Phishing、Vishing 是亲兄弟,只是载体不同。
为什么 smishing 比邮件 phishing 更阴
- 短信没有富文本 —— 看不到链接预览,域名一眼骗过去
- 手机屏幕小 —— 用户更容易忽略可疑细节
- 信任度高 —— 大多数人潜意识觉得”短信比邮件更私人”
- 短链泛滥 —— bit.ly / t.co 一缩,真假难辨
常见套路
| 伪装身份 | 钩子 |
|---|---|
| 银行 | ”你的卡被冻结,点这里验证” |
| 快递 | ”包裹无法投递,请更新地址” |
| 税务局 / ATO | ”您有一笔退税未领取” |
| 运营商 | ”话费账单异常” |
| 老板(配合 BEC) | “我在开会,帮我买几张礼品卡” |
防御
- 任何短信里的链接,默认当成钓鱼
- 银行/政府的真实通知会让你自己登录官网,不会塞链接
- 可疑短信转发到运营商(澳洲:7726)