隨著及時(shí)通訊軟件的發(fā)展，人們使用短信交流的場(chǎng)景逐步減少，但短信功能依舊是不可缺少的存在。除了方便用戶(hù)使用外，短信也是網(wǎng)絡(luò)犯罪的多發(fā)地帶。前不久，美國(guó)兩家公司就對(duì)外表示，遭遇到了“釣魚(yú)短信”攻擊。

根據(jù)外網(wǎng)消息，美國(guó)云通訊巨頭Twilio表示，有攻擊者利用網(wǎng)絡(luò)釣魚(yú)短信攻擊竊取了員工憑證，并潛入內(nèi)部系統(tǒng)泄露了部分客戶(hù)數(shù)據(jù)。

通過(guò)調(diào)查發(fā)現(xiàn)，攻擊者把自己偽裝成公司內(nèi)部的IT人員，并用此身份來(lái)向員工發(fā)送釣魚(yú)短信。其中短信內(nèi)容就是表示他們的系統(tǒng)密碼已過(guò)期，需要通過(guò)短信中的URL進(jìn)行修改。之后有多少人點(diǎn)了該軟件、多少客戶(hù)數(shù)據(jù)受到泄露影響，目前尚未得知。

經(jīng)過(guò)一系列的研究發(fā)現(xiàn)，該URL帶有“Twilio”、“Okta”和“SSO”等具有高仿真性的字段，受害員工一旦點(diǎn)擊便會(huì)跳轉(zhuǎn)到一個(gè)克隆的 Twilio 登錄頁(yè)面，從而導(dǎo)致大范圍的數(shù)據(jù)泄露。

隨后，一家美國(guó)的跨國(guó)科技企業(yè)Cloudflare在官方博客上發(fā)布，Coudflare的員工在Twilio受到攻擊時(shí)也遭受到了非常相似的攻擊，至少有76名員工的個(gè)人或工作手機(jī)收到了釣魚(yú)短信，一些短信也發(fā)給了員工的家人。

雖還無(wú)法確定攻擊者是以何種方式收集到了員工手機(jī)號(hào)碼，但得益于Cloudflare采用了符合FIDO2標(biāo)準(zhǔn)的安全密鑰，即使攻擊者拿到了員工賬戶(hù)，在嘗試登陸時(shí)均被成功阻止。

什么釣魚(yú)短信？

釣魚(yú)短信是一個(gè)惡意的程序，主要是通過(guò)用一個(gè)足夠引人注目的事由，在內(nèi)容上附上鏈接，誘導(dǎo)你點(diǎn)進(jìn)鏈接，專(zhuān)門(mén)竊取一系列的數(shù)據(jù)信息。進(jìn)入后，會(huì)彈出各種窗口，讓你填寫(xiě)姓名、身份證號(hào)碼、手機(jī)號(hào)碼、銀行卡號(hào)碼、手機(jī)驗(yàn)證碼等相關(guān)信息，一按照要求進(jìn)行操作，銀行卡上的錢(qián)將立即被盜。這類(lèi)短信統(tǒng)稱(chēng)為“釣魚(yú)短信”。

如何防范釣魚(yú)短信？

• 查看短信是否真實(shí)

以銀行名義欺詐的短信會(huì)降低消費(fèi)者的警惕性，所以要注意辨別真假，尤其不能盲目相信異常號(hào)碼發(fā)送的短信。如果消費(fèi)者不確定短信是否真實(shí)，可以咨詢(xún)銀行營(yíng)業(yè)網(wǎng)點(diǎn)或其官方客服。

• 查看網(wǎng)站鏈接和頁(yè)面是否為官方渠道

詐騙短信提供的網(wǎng)頁(yè)鏈接可能是假冒手機(jī)銀行或網(wǎng)上銀行網(wǎng)頁(yè)的釣魚(yú)鏈接，也可能是木馬病毒，不能輕易點(diǎn)擊操作。建議用戶(hù)在登錄手機(jī)銀行或個(gè)人網(wǎng)上銀行時(shí)，盡可能不要點(diǎn)擊第三方平臺(tái)所提供的網(wǎng)站鏈接操作，以防被不法分子詐騙。

• 查看對(duì)方索要信息是否為個(gè)人重要敏感信息

當(dāng)?shù)谌揭筇峁┗蜉斎胄畔r(shí)，個(gè)人的身份證號(hào)碼、銀行卡號(hào)碼、賬戶(hù)密碼、短信驗(yàn)證碼、付款碼等都是重要而敏感的個(gè)人信息。不要輕易向他人提供重要的敏感信息，不要點(diǎn)擊未知的網(wǎng)站鏈接，不要在除銀行官方渠道外的網(wǎng)頁(yè)上隨意填寫(xiě)重要的敏感信息。如發(fā)現(xiàn)自己上當(dāng)受騙，請(qǐng)立即聯(lián)系銀行凍結(jié)銀行賬戶(hù)，保存證據(jù)，及時(shí)報(bào)警。

免責(zé)聲明：素材源于網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系刪稿。

cc

收藏 海報(bào)分享