cc 随着及时通讯软件的发展,人们使用短信交流的场景逐步减少,但短信功能依旧是不可缺少的存在。除了方便用户使用外,短信也是网络犯罪的多发地带。前不久,美国两家公司就对外表示,遭遇到了“钓鱼短信”攻击。
根据外网消息,美国云通讯巨头Twilio表示,有攻击者利用网络钓鱼短信攻击窃取了员工凭证,并潜入内部系统泄露了部分客户数据。
通过调查发现,攻击者把自己伪装成公司内部的IT人员,并用此身份来向员工发送钓鱼短信。其中短信内容就是表示他们的系统密码已过期,需要通过短信中的URL进行修改。之后有多少人点了该软件、多少客户数据受到泄露影响,目前尚未得知。
经过一系列的研究发现,该URL带有“Twilio”、“Okta”和“SSO”等具有高仿真性的字段,受害员工一旦点击便会跳转到一个克隆的 Twilio 登录页面,从而导致大范围的数据泄露。
随后,一家美国的跨国科技企业Cloudflare在官方博客上发布,Coudflare的员工在Twilio受到攻击时也遭受到了非常相似的攻击,至少有76名员工的个人或工作手机收到了钓鱼短信,一些短信也发给了员工的家人。
虽还无法确定攻击者是以何种方式收集到了员工手机号码,但得益于Cloudflare采用了符合FIDO2标准的安全密钥,即使攻击者拿到了员工账户,在尝试登陆时均被成功阻止。
什么钓鱼短信?
钓鱼短信是一个恶意的程序,主要是通过用一个足够引人注目的事由,在内容上附上链接,诱导你点进链接,专门窃取一系列的数据信息。进入后,会弹出各种窗口,让你填写姓名、身份证号码、手机号码、银行卡号码、手机验证码等相关信息,一按照要求进行操作,银行卡上的钱将立即被盗。这类短信统称为“钓鱼短信”。
如何防范钓鱼短信?
- 查看短信是否真实
以银行名义欺诈的短信会降低消费者的警惕性,所以要注意辨别真假,尤其不能盲目相信异常号码发送的短信。如果消费者不确定短信是否真实,可以咨询银行营业网点或其官方客服。
- 查看网站链接和页面是否为官方渠道
诈骗短信提供的网页链接可能是假冒手机银行或网上银行网页的钓鱼链接,也可能是木马病毒,不能轻易点击操作。建议用户在登录手机银行或个人网上银行时,尽可能不要点击第三方平台所提供的网站链接操作,以防被不法分子诈骗。
- 查看对方索要信息是否为个人重要敏感信息
当第三方要求提供或输入信息时,个人的身份证号码、银行卡号码、账户密码、短信验证码、付款码等都是重要而敏感的个人信息。不要轻易向他人提供重要的敏感信息,不要点击未知的网站链接,不要在除银行官方渠道外的网页上随意填写重要的敏感信息。如发现自己上当受骗,请立即联系银行冻结银行账户,保存证据,及时报警。
免责声明:素材源于网络,如有侵权,请联系删稿。
