二、短信诈骗

短信诈骗使用短信“钓取”个人信息，诱骗用户下载木马、病毒或其他恶意软件至手机等移动设备。作为邮件钓鱼的变种，它如何实施？有何企图？我们又应该如何避免？

　　1.短信诈骗技术

有四种主要的短信诈骗技术：

(1)使用假链接将用户骗到设计好的钓鱼网站以窃取凭证。

下例中的短信有几个线索透露出它可能是诈骗短信：

 

• 　　沃尔玛的拼写有误，收信人以“客户”相称。在给客户发短信时，沃尔玛应该会根据用户信息记录直呼其名。
• 　　语法错误一度是判断诈骗短信的可靠依据，但是现在的钓鱼者越发聪明，钓鱼网络一般有语言专家，他们会设计看起来非常专业的消息。不过，尽管如此，他们还是会犯错。
• 　　切记在电话簿中查找公司的号码，用这个号码而不是可疑短信中的号码联系公司(见下面第2点)。
• 　　有时，重定向链接看着明显不像是有名气的大公司，如ngtov11.net，但专业的犯罪分子会很容易地隐藏这样的链接。在手机上不好确认链接真伪，在浏览器中输入地址，不要直接点击链接。

(2)提供电话号码，一旦用户拨打，会接通到钓鱼者，这人口齿特别伶俐，会想法设法套取用户的个人信息。现今，多数公司都有呼叫中心提供客户支持，人们一般不会质疑客服的真实性。

(3)下图场景中，使用的是较为隐蔽、更具杀伤力的技术。

 

这里，短信诈骗者：首先希望通过Facebook与用户建立联系，以便更深入了解用户、用户的联系人以及个人资料中的其他信息。然后，发动攻击，通过另一条短信或Facebook消息将用户骗到假冒网站，以便获取用户的Facebook凭证或将恶意软件下载到用户手机中。一旦用户在Facebook上的个人资料被黑，用户的联系人也会面临着钓鱼风险。短信诈骗者不仅假冒银行、IRS或企业一把手发送短信，还会假冒同事、其他部门甚或共同的朋友。

(4)第四种技术同样会诱骗用户点击恶意链接，但在用户进入假冒网站后，会提示用户下载实为木马的程序(见下例)。

 

短信诈骗者还会将木马、击键记录器或僵尸网络代码安装到用户在家里和单位使用的BYOD(携带自己的设备办公)手机中。短信诈骗者在从内部控制用户的手机后会获取到大量的信息(所以称为“木马”)。因为能在员工手机中安装恶意软件，短信诈骗对业务安全的潜在威胁更大，毕竟服务器有各种软硬件防火墙保护。

注意：还有一种较为隐蔽的短信诈骗技术，合法服务提供商常常也会使用这种销售伎俩，所以一般不易识别：让用户注册使用某种服务(如天气预报、每日箴言、占星等)，直接通过手机扣费。这些服务的费用看起来不高，但诈骗者若成功骗到多人，就会获得不错的被动收入。还有的技术让用户注册获得“优质”短信服务，这些短信费用高昂，很难取消订阅。当短信诈骗者贪婪地使用这些服务恶意攻击用户、诱使用户点击链接将恶意软件下载到手机、用户访问“优质”短信服务时输入个人详细信息时，情况就糟糕了。

　　2.策略

短信诈骗者有时看起来很愚蠢，但实际上他们很有手段，了解销售心理学，充满了市井智慧。他们有自己的工作网络，每个成员都有特定角色，包括设计可信文本模板的设计师、软件开发人员和销售人员。你还以为只有二手车销售员才诡计多端吗！？

任何信息，不管看起来多安全，对钓鱼者来说都有用账号侵权(ATO)策略ATO是二级策略。很不幸，它很难避免。要对付这种攻击，首先要提高自己的反钓鱼意识，避免自己的详细信息被劫持。我在

http://securityiq.infosecinstitute.com/注册了一个免费账号，尴尬的是，在同一周内两次钓鱼意识考试都没过。上当的绝不只是非专业人士。一边看着屏幕，一边看着会议记录，这时若点击了链接可能会造成灾难性后果。

　　3.直销

无意冒犯诚实的直销者，但短信诈骗确确实实使用了类似直销的技术诱捕受害者：

与直销者一样，他们指望有一小部分人回应。他们发送数以万计的短信，期望有几个能上钩。在收到显然不是针对自己的短信后，你很想回复几句粗口。但记住，回复的话，骗子就知道号码确实存在，会将你添加到数据库中。此外，他们还知道了一些其他信息，比如，你没有沃尔玛账号。进行回复说明号码有效。

与直销者一样，他们知道如何利用人们的脆弱之处、虚荣心以及贪婪和恐惧心理。

与直销者一样，他们发动大规模活动，精心构建响应数据库，认真分析活动的响应率(若不高，则会改变风格、格式、内容或发送者的姓名/公司)。

智能手机缘何成为明显目标？

每天，全世界发出的短信有上万亿条，存在着大量的潜在受害者。

在收到短信后，人们一般很快就会查看信息内容(统计结果是15分钟以内)。这意味着短信诈骗者能很快获得回应，因为短信让用户有紧迫感，他们会急于回复。

无论是正常的还是诈骗性的短信活动都很容易组织，且成本效益高。再者，诈骗信息会很简短。显然，内容是越少越好。

多数人知道邮件诈骗，但对手机诈骗的危险却认识不足。最常用的Web浏览器有内置钓鱼防护措施，会提醒用户注意可疑网站，用户一般会将鼠标悬停在链接上显示真实URL，但是手机一般没有类似防护。

　　4.千万不要上当

骗子常冒充知名公司欺骗受害者。小心以下骗局：

• 　　冒充Apple发送短信，通知用户登录验证并更新其AppleID，否则将无法继续购买APP。触发响应的原因：受害人担心失去特权。
• 　　常见的虚假PayPal消息如下：“您在TheHomeShop消费了1993.27美元。若您没有进行该笔交易，请立即致电1-408-123-4567联系我们。谢谢！”触发响应的原因：受害者担心自己已经成为受害者，认为没有比这更糟的情况了。
• 　　假冒Barclays警告用户账号有“可疑活动”，要求用户点击看似安全的Barclays链接，更新安全软件，以提高其账户安全性。触发响应的原因：谢天谢地，有人为我着想。
• 　　上述这些情况中，输入公司的已知真实URL进行登录。始终使用HTTPS(安全)连接，这种连接会在地址栏显示锁的图标。若需要打电话，从电话簿里查找号码。

几个特别狡猾的骗局：

• 　　受害者收到短信，要求他们履行陪审员职责，若拒绝，则要求通过短信提供社保号进行验证。许多受害人急于推脱，因而毫不犹豫地提供了社保号。千万别这么做！
• 　　“我们确认，您已注册我们的BDSM约会服务。每天，您须为此缴纳2美元。若取消，请点击SMiShinglink.com。”想点击这个链接是完全可以理解的，但千万别这么做！

　　5.关键教训

• 　　及时更新手机软件；
• 　　不要被所谓的账号安全威胁吓倒并按提示采取防护措施；
• 　　别想当然地认为“知名公司”发给你的信息一定合法；
• 　　不要下载任何软件，除非可以确认来源可靠(官方APP下载商店)，且主动请求过。
• 　　若短信催促你立即行动或响应，记住，这是网络犯罪分子常用的一个关键策略，目的是不让你有思考的时间。
• 　　直接上官网，不要点击链接。
• 　　从电话簿里查询电话号码，联系公司，确认短信真假。

　　6.总结

好消息是，若点击链接时小心谨慎，并且及时更新软件，可以避免多数骗局。Infosec研究院之类的安全专家有很多资源，可帮助你了解短信诈骗以及其他的网络犯罪活动，防止受骗。

登录http://securityiq.infosecinstitute.com/，注册免费账号，可观看其相关视频、博客和新闻。或者像我一样，测试一下自己是否足够精明，能够识别钓鱼骗局。

(责任编辑：安博涛)