什么是短信钓鱼(Smishing)?识别和防范短信诈骗指南
了解短信钓鱼的定义、常见诈骗手法,以及如何识别和防范SMS钓鱼攻击。
什么是短信钓鱼(Smishing)?识别和防范短信诈骗指南
"【顺丰快递】您的包裹因地址不详无法派送,请点击确认地址:[链接]"——收到过这样的短信吗?如果你恰好在等包裹,很可能会不假思索地点开链接。这就是短信钓鱼(Smishing)。
在中国,通过短信和微信实施的诈骗活动日益猖獗。一次点击就可能导致个人信息泄露、银行账户被盗刷。
什么是短信钓鱼
短信钓鱼(Smishing)是 SMS 和 Phishing(钓鱼)的合成词。攻击者通过发送伪装成可信机构的短信,诱导你点击恶意链接或提供个人信息。
他们冒充快递公司、银行、运营商、政府机构等,目的始终相同:窃取你的个人信息、金融数据,或在你的设备上安装恶意软件。
常见短信钓鱼类型
快递包裹类
"【中通快递】您的包裹已到达,因无法联系到您,请点击查看详情:[链接]"
这是国内最常见的短信钓鱼手法。冒充顺丰、中通、圆通、韵达等快递公司,尤其在双十一、618等购物节期间大量出现。
银行金融类
"【工商银行】您的账户存在异常交易,请立即验证身份:[链接]"
冒充银行或支付平台(支付宝、微信支付),以异常交易、账户冻结为由制造恐慌。
运营商话费类
"【中国移动】您的话费已欠费,为避免停机请立即充值:[链接]"
冒充三大运营商,以欠费停机、积分兑换为诱饵。
政府机关类
"【税务局】您有一笔退税款待领取,请在到期前申请:[链接]"
冒充税务局、社保局、公安局等。中国的政府机关不会通过短信链接要求你输入个人信息。
微信冒充类
"您的微信账号在异地登录,如非本人操作请点击验证:[链接]"
微信是中国最主要的通讯工具,因此冒充微信官方的钓鱼短信格外有效。
如何识别钓鱼短信
检查发送号码
钓鱼短信通常来自陌生的手机号码或境外号码。如果自称银行却用普通手机号发送,基本可以确定是诈骗。
警惕紧迫性措辞
"立即"、"马上"、"24小时内"、"否则账户将被冻结"——这些表述是为了让你来不及思考就采取行动。
仔细检查链接
| 危险信号 | 示例 |
|---|---|
| 仿冒域名 | sf-express-check.com(官方:sf-express.com) |
| 可疑顶级域名 | icbc-bank.xyz |
| 使用IP地址 | http://203.xxx.xxx.xx/verify |
| 额外子域名 | alipay.com.fake-verify.net |
注意文字细节
正规机构的短信格式固定、用词规范。如果短信中有错别字、标点符号异常或排版混乱,很可能是钓鱼短信。
收到可疑短信的处理方法
- 不要点击任何链接。 即使是"看看是什么"也不行。
- 不要回复。 回复会让攻击者确认你的号码有效。
- 举报该短信。 可以通过12321网络不良与垃圾信息举报受理中心举报。
- 拉黑发送号码。 使用手机自带的拦截功能。
- 直接联系相关机构。 通过官方APP或官方客服电话核实。
如果已经点击了链接
- 立即修改密码 —— 尤其是相关账户的密码。
- 开启双重验证。
- 如果输入了银行信息,立即联系银行冻结账户。
- 检查手机是否安装了可疑应用,运行安全扫描。
- 检查话费和支付账单,确认是否有异常消费。
- 如果个人信息可能泄露,可向当地公安机关报案。
防范短信钓鱼清单
- 不点击来历不明的短信链接
- 可疑短信通过官方渠道直接核实
- 安装正规手机安全软件
- 开启运营商的垃圾短信过滤功能
- 只从官方应用商店下载应用
- 不允许安装来源不明的应用
- 重要账户设置双重验证
- 定期检查支付账单和话费账单
为什么短信钓鱼越来越难防
AI技术让钓鱼短信的质量大幅提升。以前靠错别字和蹩脚的表达就能识别,现在的钓鱼短信在文字水平上几乎与正规短信无异。
攻击者还利用泄露的个人数据,发送包含你姓名、银行、近期消费记录的定制化短信,让欺骗性更强。
安全地分享链接
当你需要通过微信分享敏感信息——密码、私密链接、机密备忘——请使用专为安全分享设计的工具。LOCK.PUB 可以创建密码保护的链接,接收者始终通过 lock.pub 域名访问内容。
与钓鱼链接不同,LOCK.PUB 链接不会要求任何个人信息。输入密码后,只会显示你分享的内容。这是安全分享重要信息的可靠方式。