短訊釣魚是利用手機作為攻擊平台的釣魚攻擊,歹徒的目的是要搜集包括社會保障號碼或是信用卡號碼等個人資料。短訊釣魚透過文字訊息或手機短訊進行詐騙,因此其英文名字被稱為「SMiShing」。
短訊釣魚攻擊利用簡短的文字訊息或手機短訊進行詐騙,而這攻擊亦日趨盛行,因為與電郵訊息比較,人們一般都更會相信來自手機通訊應用程式的訊息。
雖然很多受害者都不會將釣魚詐騙及個人文字訊息關聯在一起,但事實上歹徒取得您的電話號碼比取得您的電郵地址更容易。電話號碼一般都有很大限制,例如美國的電話號碼就只有 10 個數字。
雖然有些字母是必定出現的,但電郵地址的字數卻沒有限制,更可包含數字及符號(!、#、% 等),隨機組合 10 個數字來尋找受害者明顯比透過電郵更簡單。
黑客只須發送訊息至不同組合的數字即可,並可嘗試不同組合數字以達成目的。Gartner 報告指出,98% 的文字訊息都會被讀取,而 45% 更會得到回應,而電郵的回應率只有 6%,因此歹徒利用文字訊息作攻擊媒體是非常合理的。
黑客會嘗試透過文字短訊達致他們的目的,包括假扮為銀行職員試圖盜取您的個人資料,一般手法是要求用戶點擊短訊內的連結以登入銀行網站來確認一宗可疑交易,或是要求用戶致電短訊內的客戶服務熱線以討論一宗可疑收費或被入侵的戶口。
歹徒也會嘗試利用人們的同情心來獲取敏感資料,例如藉口颱風救災來要求您作慈善捐款,假如您依照指示點擊連結及輸入信用卡資料、地址等個人資料,歹徒就可以取得這些資料,甚至可以按月向信用卡收款而避過驚動您。
另一個短訊釣魚的例子就是假裝為服務商提供服務或新手機優惠進行,您會收到短訊要求點擊連結來接受優惠,當進入一個貌似服務商網站時,他們會要求您確認信用卡號碼、地址及其他資料。請緊記,如果優惠好得難以置信,那就很可能是假的。
利用 Facebook Messenger 或 WhatsApp 等即時訊息程式進行的釣魚攻擊並未有自己的獨特名稱,雖然技術上它並不歸類為手機釣魚,但兩者的關係非常密切。歹徒利用人們會回應社交平台的公開訊息的習慣來進行詐騙,
像其他釣魚攻擊一樣,歹徒的目標都是您的個人資料,如密碼、信用卡號碼等。為取得這些資料,歹徒會為您提供一些優惠,並附上取得優惠的連結。
當有陌生人向您發出要求某些資料的訊息,這通常都是一個即時訊息釣魚行為,而這些攻擊亦可能是來自您認識或有聯繫的人,其原因可能是這些帳號已經被入侵。