網路釣魚簡訊是一種以手機簡訊為平台的網路釣魚攻擊手法。歹徒的攻擊目的是要蒐集個人資訊,包括:身分證號碼或信用卡卡號。網路釣魚簡訊是經由手機文字簡訊 (SMS) 來發送,因此才會叫作「SMiShing」。
網路釣魚簡訊是經由手機簡訊 (SMS) 來發動攻擊,也就是一般所知的文字簡訊。這類攻擊之所以越來越普遍,是因為人們現在大多比較相信手機應用程式所傳來的訊息,而不信任來自電子郵件的訊息。
儘管許多受害者不覺得這些個人文字簡訊是網路釣魚詐騙,但事實上,駭客要猜出您的電話號碼,比猜出您的電子郵件地址容易得多。電話號碼的數字有限,在美國,電話號碼是 10 個數字。
但電子郵件地址就不同,儘管郵件地址中可出現的字元類型有一定的限制,但卻沒有長度的限制。而且電子郵件地址可包含數字、字母和符號 (例如 !、#、% 等等)。所以,要經由一串隨機產生的十個數字來聯絡上一名受害者,比經由隨機產生的電子郵件地址更加容易。
駭客可以隨意發送簡訊到任何數字組合的電話號碼,只要長度正確就行。所以他們可以嘗試任意及所有的數字組合,不會造成傷害,也不違反法令。根據 Gartner 的報告指出,有 98% 的使用者會閱讀文字簡訊,而且有 45% 會回覆簡訊。所以對駭客來說,使用文字簡訊作為攻擊途徑再自然不過了,尤其,根據 Gartner 的報告,只有 6% 的電子郵件會獲得回應。
透過文字簡訊,駭客可以做的事其實很多,包括假冒銀行行員的名義,騙取您的個人資料。此外,他們還會試著引誘您點選文字簡訊中的連結,將您帶到銀行網站來確認某筆近期的可疑消費。他們也可能謊稱您最近有一筆可疑的消費,或是帳戶可能被盜,要求您撥打他們的客服電話來跟他們確認,當然,電話號碼就很順便地附在訊息內。
駭客還會試著利用您的同情心來蒐集一些敏感資訊,例如,他們會假冒為某次的風災募款,要求您捐款。駭客會要您點選隨附的連結,然後輸入信用卡資訊、地址以及您的身分證字號。一旦駭客取得您的信用卡卡號,他們甚至可能會定期每月從您的信用卡扣款,以避免讓您起疑。
另一種網路釣魚簡訊的範例是假冒您電信業者提供的折扣方案或手機升級方案。這類訊息會引誘您點選隨附的連結來啟用這項方案。一旦您連上了駭客假冒您電信業者的網頁,該網頁就會要求您提供信用卡卡號、地址,也許再加上身分證號碼,來確認您的身分。請記住,凡是那種看起來好到讓人不敢相信的好康,通常都是假的。
使用免費的即時通訊平台 (如 Facebook messenger 或 WhatsApp) 來發送訊息的網路釣魚,技術上雖不算 Smishing,但卻相當類似。駭客利用的是今日使用者對於社群媒體平台的陌生訊息越來越沒有戒心,因此較會開啟並回覆這類訊息。
如同真正的網路釣魚詐騙,駭客的目的是要您提供一些個人資料,例如:密碼和信用卡卡號。為了騙取這些資訊,駭客可能會提供您某種好康優惠,或是有價值的東西,這類好康通常會伴隨著一個連結讓您點選。
如果是來自陌生人、而且又要求提供資訊的訊息,通常就是網路釣魚的徵兆,這類訊息會假冒來自您認識或已經熟識的人。這樣的情況通常發生在某人的社群媒體帳號遭駭客入侵或被盜之後。