What does smishing mean?

Smishing is a form of cyber attack that uses text messages to trick people into giving up personal or confidential information. The name is a combination of SMS and phishing. Attackers often pretend to be a trusted person or organization in order to manipulate victims into revealing their information.

What are some common types of smishing scams?

Smishing scams can take many forms, including messages that claim to be from a bank about suspicious activity, a delivery service with a tracking link, or an email service requiring account verification. Other types include texts promising rewards, threatening service cancellation, or impersonating an executive from a victim's workplace. Some scammers even send generic greetings or questions like 'Hi, how are you?' to see if a phone number is active and if the recipient will reply.

What's the difference between smishing and phishing?

Smishing is a specific type of phishing attack that occurs over text messages (SMS). Phishing is a broader term for any attempt to manipulate or defraud people into revealing personal or confidential information. Phishing is most common via email, but it can also happen through phone calls, QR codes, social media messages, and text messages.

How can I protect myself from a smishing attack?

If you receive a text you suspect is a smishing attack, do not click on any links. You should not reply to the message either, as this confirms to the attacker that your number is active. You should delete the message, block the number, and turn off read receipts to prevent attackers from knowing you have opened the text. You may also want to report the attack to your employer's security team to give them visibility into attacks targeting employees.

How can an organization defend against smishing campaigns?

Organizations can defend against smishing by training employees and contractors to recognize and report these messages. Using hard keys for two-factor authentication (2FA) is also a strong defense, as it makes it nearly impossible for an attacker to gain access to an account with just stolen login credentials. Adopting a zero trust security model can also help, as it assumes that threats may already be inside the network and limits the damage a successful attack can cause.

#main-nav-header { display:none; }

解决方案

产品

定价

资源

合作伙伴

为何选择 Cloudflare

注册

联系销售

支持

什么是短信钓鱼？

短信钓鱼是一种利用短信，瞄准受害者发起的网络攻击。“Smishing”一词源自“SMS”和“网络钓鱼”。

学习目标

阅读本文后，您将能够：

描述短信钓鱼的定义（通过短信进行网络钓鱼）
列出一些常见的短信钓鱼类型
了解如何防范短信钓鱼攻击

什么是短信钓鱼？

短信钓鱼是指利用短信，诱使用户泄露敏感信息或个人信息。短信钓鱼诈骗者使用操纵性的社会工程学方法，从受害者那里收集数据。

移动电话和智能手机通常会接受来自任何来源的短信。这使得诈骗者能够向世界上几乎任何人发送欺骗性短信。短信钓鱼诈骗者往往会假扮成受害者认识或信任的人员来行骗。诈骗者也可能会利用个人详细信息、威胁或其他策略，让受害者相信短信的合法性。

短信钓鱼的目的是让受害者提供自己的某些个人信息。为此，受害者可能在虚假网页中输入用户名和密码、将自己的个人身份信息发送给诈骗者，或与诈骗者通话。诈骗者可以利用其收集的信息来接管受害者的账户和身份，或者在地下市场上将这些信息出售给出价最高的买家。

短信钓鱼与网络钓鱼

短信钓鱼是几种网络钓鱼方式的其中之一。网络钓鱼是指试图操纵或欺骗他人泄露其个人信息或机密信息的行为。网络钓鱼最常见于电子邮件，但也已经扩展到其他渠道：短信（短信钓鱼）、电话（语音钓鱼）、二维码（二维码钓鱼），以及社交媒体消息。

生成式人工智能 (GenAI) 服务，例如大型语言模型 (LLM) 的广泛可用性，为诈骗者提供了额外的工具，使其网络钓鱼短信听起来更加逼真。大规模采用社交媒体和数据汇总使攻击者更容易针对目标发起个性化攻击。因此，虽然如今许多人更加警惕地将自己的数据交给陌生人，但网络钓鱼仍然是诈骗者窃取机密数据的一种流行且有利可图的方式。

短信钓鱼的工作原理：短信钓鱼攻击的步骤

短信钓鱼以手机为目标，尤其是智能手机，因为用户可以轻松打开超链接。短信钓鱼攻击的主要步骤如下所述：

选择目标：攻击者可以通过多种方式建立有效电话号码列表，例如在地下市场购买列表、使用机器人汇总联系人信息。一些短信钓鱼攻击会广撒网，尽可能多地向有效电话号码发送短信。其他攻击则具有高度针对性和个性化，攻击者会对短信收件人进行更深入的研究。
设置基础设施：某些钓鱼短信要求受害者点击链接，在这些情况下，诈骗者会设置虚假网站或应用来收集受害者的数据。攻击者发送这些短信需要使用虚假电话号码、短信网关或被入侵的手机，以便可以伪装短信来源并在其电话号码被屏蔽时快速切换。
撰写短信：钓鱼短信可长可短，可正式可私人；每次攻击使用的短信都有所不同。看似来自值得信赖的品牌的短信钓鱼信息可能听起来很正式，而声称来自受害者认识的人的短信钓鱼信息可能听起来更加随意。许多最有效的短信钓鱼信息都直截了当，例如“提醒注意！您的工作日程已更新，点击链接即可查看更改”（2022 年短信钓鱼攻击的真实示例）。根据使用的策略，一些短信钓鱼信息高度个性化，以迎合受害者的需求。其他短信钓鱼信息则旨在吸引尽可能多的人上当受骗。LLM 服务可以帮助攻击者撰写令人信服的短信。
与目标互动：有时，与目标受害者的互动很简单，只需发送短信，希望受害者点击链接或回复所需信息即可。而其他时候，攻击者可能会通过短信或电话，与受害者进行长时间的对话。
收集数据：诈骗者可能会试图诱使受害者在虚假的登录页面或表单中输入数据，或通过恶意应用输入数据。他们也可能通过与受害者进行对话来收集数据。
安装恶意软件：这个步骤只在某些短信钓鱼攻击中才有。用户加载攻击者的网页后，可能触发恶意软件下载，或诱导用户直接下载恶意应用。安装恶意软件可以让攻击者从受害者那里收集更多数据，将恶意软件传播到其他来源，或者只是在僵尸网络中使用受感染的智能手机。
使用或出售已收集的个人数据：攻击者可能会利用收集到的数据，执行上述任一操作或两种操作。

短信钓鱼的类型

钓鱼短信可能有多种形式：

账户验证：在这种短信钓鱼骗局中，受害者会收到一条假装来自其使用的电子邮件服务、社交媒体应用或流媒体服务的短信。该短信提示受害者通过点击链接并输入用户名和密码，在诈骗者控制的虚假登录页面中“验证账户”。
银行欺诈：诈骗者冒充受害者的银行，声称其账户出现可疑活动，并附上一个用于“验证”身份的链接，与其他账户验证骗局类似。
技术支持：钓鱼短信声称，受害者的设备或使用的其它已知服务存在问题。目标企业的员工可能会收到通知，告知其账户已被锁定，攻击者会伪装成该公司的 IT 团队成员。
奖励诈骗：短信告知收件人他/她赢得了奖励、彩票或抽奖活动，并且可以通过短信中的链接领取奖品，但链接却提示其输入个人信息。
服务取消：短信试图声称将取消收件人的服务订阅，以此来恐吓对方。
配送通知：此类钓鱼短信会伪装成快递公司发送的短信。他们可能会说某个包裹正在运送途中，并提供一个指向虚假网页的“追踪链接”，该链接用于收集用户的数据；或者声称某个重要包裹无法送达。
退税：此类钓鱼短信可能会声称，收件人欠某个政府税务机构的钱；或者反过来说，收件人需要申领退税。
来自高管的信息：短信钓鱼诈骗者可能会冒充收件人所在公司的首席执行官或其他高管。这些攻击可能在某种程度上有些个性化（称呼收件人的姓名，包含其真实工作地点，并且使用可以在网上找到的其它基本个人信息）。
夸张的虚假信息：对大多数收件人来说，许多钓鱼短信明显是捏造的虚假信息（例如，“我是一位外国王子，我的账户被冻结了，如果你给我汇款 200 美元，我会在有能力的时候还给你 100,000 美元”）。虽然一小部分人可能会上当受骗，但诈骗者也会利用这些信息，将联系人信息列表筛选分为易受骗的人与不易受骗的人。
未签名的消息：一些短信钓鱼消息几乎不包含任何细节，并且措辞听起来像是来自收件人认识的人（例如，“你在城里吗？”或者“你还在同一个地方工作吗？”）。其目的是让收件人误以为自己认识发件人，但忘记了发件人的号码，于是进行回复。此类消息可能会试图引诱受害者进行更长时间的对话，最终以索要数据结束。或者，攻击者可能只是尝试评估其联系人列表，以确认受害者的电话号码是否有效，以及收件人是否可能回复未知号码发送的短信。然后，攻击者使用其它号码，利用更具说服力的方案进行后续操作。回复此类信息并不是明智的做法，即使是以开玩笑的方式。

短信钓鱼策略

短信钓鱼使用的许多策略与其他类型的网络钓鱼相同。与电子邮件网络钓鱼相比，短信钓鱼收集联系人信息和发送消息的过程略有不同，但除此之外，大多数的短信钓鱼攻击包括：

社会工程学：攻击者通过利用恐惧或贪婪等情绪来操纵受害者。操纵策略包括：营造紧迫感、冒充值得信赖的人员或品牌，以及假装权威人士。
模仿网页和应用：短信钓鱼攻击者设置虚假但令人信服的登录页面和应用，收集受害者的个人信息。
个性化：人们更有可能回复在开头提到自己姓名的短信。短信钓鱼攻击者可能利用从公共渠道获取、在地下市场购买，或在之前的短信钓鱼和网络钓鱼攻击中收集的个人信息，使其短信更具说服力。
伪装来源：短信钓鱼攻击者可能会通过其控制的一系列电话号码来发送消息。他们可以使用短信网关直接从电脑发送消息，而无需依赖于手机。发送消息并伪装其真实来源的过程，大部分可以自动完成。
跟踪多个渠道：短信可能是通过其它渠道（例如电子邮件或社交媒体）展开的大规模攻击活动的一部分。

如果收到疑似短信钓鱼信息，应该怎么做？

请勿点击任何链接：这适用于来自未知号码或意外来源的短信中的一切链接。此类链接可能会指向收集数据或托管恶意软件的页面或应用。相反，请单独访问来源的官方网站并加载页面；例如，如果短信附带服务取消通知，请单独访问服务提供商的网站并使用其登录页面，而不是点击短信中的链接。

请勿回复：攻击者通常只是为了核实号码是否有效，或者其掌握的关于收件人的个人信息是否正确。即使回复没有透露任何个人信息，也仍然会泄露太多信息。攻击者可能会将更多资源投入到那些阅读并回复其消息的人员身上，就像销售人员可能会多次跟进那些对产品表现出一时兴趣的消费者一样。

举报电话号码：虽然短信钓鱼诈骗者可能只是简单地切换或伪装其号码，但如果有足够多的人举报，移动运营商通常会屏蔽这些号码。

报告给 IT 团队或安全团队：安全团队需要尽可能清晰地了解针对员工的攻击。短信钓鱼攻击可能是旨在获取公司网络访问权限的更大规模威胁活动的一部分。

单独核实来源：使用已知来源的官方联系方式直接联系品牌或服务提供商，核实短信中的信息。如果信息被证实是短信钓鱼，请告知品牌或服务提供商，有人正针对其客户展开短信钓鱼活动。

删除消息并屏蔽号码：这样做可以杜绝上当受骗或意外点击链接的可能性。

请勿回复或点击任何链接：重复强调这一点！

关闭已读回执：某些短信服务会在收件人打开并阅读短信后向对方发送通知。在短信钓鱼攻击中，已读回执可以让攻击者知道目标受害者至少正在阅读短信，即使他们没有上当受骗或点击任何链接。默认关闭已读回执可以使攻击者更难获取这些信息。

短信钓鱼是更大规模攻击活动的一部分

高级持续性威胁 (APT) 并非仅仅针对个人，也可能采用多步骤攻击活动来入侵大型企业。他们可能会利用短信钓鱼来接管已知员工或承包商的账户，然后跳转到其它账户或系统。一旦获得访问权限，攻击者可以窃取敏感数据、监视企业的活动、使用勒索软件感染企业系统，或以其它方式破坏业务运营。因此，短信钓鱼是大型企业需要防范的一种重要攻击手段。

企业如何抵御短信钓鱼攻击

使用硬件密钥进行双因素身份验证 (2FA)：抵御短信钓鱼攻击的最强安全方法之一是使用 2FA，如此一来，仅靠一组登录凭据不足以获得对某个账户的访问权限。具体来说，使用符合 FIDO2 标准的硬件密钥（插入 USB 端口或使用蓝牙的硬件令牌）可以将成功实施短信钓鱼攻击的可能性降至几乎为零。（软件令牌可能会被拦截。）
用户培训：应该教会员工和承包商如何识别网络钓鱼和短信钓鱼。应即时且轻松便捷地报告此类信息。
Zero Trust 安全：这是一种安全模型，假设受保护的网络内部可能已存在威胁，即使是已知的用户和设备也可能遭到入侵。如果短信钓鱼得逞，Zero Trust 架构通过使用微分段来防止威胁横向移动和权限提升，从而帮助限制损失。双因素身份验证也是 Zero Trust 安全的核心组成部分。Cloudflare 解决方案如何利用双因素身份验证和 Zero Trust 安全缓解了一次复杂的短信钓鱼攻击活动。

常见问题解答

短信钓鱼是什么意思？

短信钓鱼是一种网络攻击形式，利用短信诱骗受害者泄露个人信息或机密信息。这个名称由 SMS（短信）与 phishing（网络钓鱼）组成。攻击者经常伪装成值得信赖的个人或企业，操纵受害者泄露其信息。

常见类型的短信钓鱼诈骗有哪些？

短信钓鱼骗局可能采取多种形式，包括声称来自银行的可疑活动信息、随附跟踪链接的快递服务信息，或要求账户验证的电子邮件服务。其它类型的短信包括：承诺奖励的短信、威胁取消服务的短信，或假冒受害者所在公司高管的短信。某些诈骗者甚至会发送通用问候语或问题，比如“嗨，你好吗？”，以核实电话号码是否有效，以及收件人是否会回复。

短信钓鱼与网络钓鱼之间的区别是什么？

短信钓鱼是一种通过短信 (SMS) 进行的特定类型的网络钓鱼攻击。网络钓鱼是一个更宽泛的术语，指任何试图操纵或欺骗他人泄露个人信息或机密信息的行为。网络钓鱼最常见的方式是电子邮件，但也可能通过电话、二维码、社交媒体消息和短信等渠道。

个人如何保护自己免受短信钓鱼攻击？

如果您收到一条疑似短信钓鱼攻击的消息，请勿点击任何链接。也不要回复消息，因为这会让攻击者知道您的号码依然有效。正确的做法是删除短信、屏蔽号码并关闭已读回执，以防止攻击者知道您已打开该短信。您可能还需要向所在公司的安全团队报告此次攻击事件，以便他们了解针对员工的攻击行为。

企业如何抵御短信钓鱼攻击？

企业可以通过培训员工和承包商来识别并举报短信，抵御短信钓鱼攻击。使用硬件密钥进行双因素身份验证 (2FA) 也是一种强有力的防御措施，因为它让攻击者几乎无法仅凭窃取的登录凭证来访问账户。采用 Zero Trust 安全模型也有帮助，因为它假设网络内部可能已存在威胁，并限制成功的攻击可能造成的损失。

入门

关于访问管理

关于零信任

VPN 资源

学习中心导航