過去就曾有中國駭客組織進行大規模簡訊攻擊行動 Smishing Triad,如今也開始針對 iOS 訊息 iMessage 進行攻擊,蘋果表示如用戶回應釣魚簡訊,就會自成訊息安全機制被停用,能夠自動正常顯示訊息內網址連結,將會造成個資或信用卡資料遭竊取。
駭客詐騙新手法利用 iMessage 誘騙用戶啟用惡意連結
外媒 BleepingComputer 表示,目前 iMessage 釣魚簡訊正被駭客組織積極利用,偽裝成可信任的機構回應式訊息通知,像是快遞或交通局有罰單未繳通知,藉由簡訊或 Apple iMessage 來發送惡意簡訊,通常會先要求收件人回覆「Y」、「N」或「STOP」等常見的合法回應訊息,只要用戶回應後就會啟用傳送釣魚連結功能。
釣魚簡訊攻擊主要是誘導用戶回覆,繞過Apple限制未知聯絡人無法在 iMessage 訊息中加入連結,要是用戶回覆這些訊息或將聯絡人加入時,駭客集團就能積極進行釣魚攻擊,甚至能夠辨識這組電話號碼門號是處於活躍狀態,後續也會自動調整不同攻擊策略。
對於這些釣魚簡訊主要目標集中在年長者,或是對於騙手法比較不熟悉的用戶,目的是竊取用戶個資和信用卡資料。
全球性 Smishing Triad 釣魚簡訊攻擊方式
資安業者Resecurity研究人員發現,Smishing Triad攻擊行動駭客大多是從暗網取得外流的資料庫,並利用自動化工具進行大規模攻擊,當前不管是美國、歐洲或阿拉伯等國家,都發生大量民眾因惡意釣魚簡訊造成個人識別資訊、個資、身分證和信用卡資料遭竊取。
當用戶回應釣魚簡訊後,隨後會收到民眾地址包裹不正確造成無法送達,要求透過簡訊連結提供正確地址,要是 iMessage 連結無法點選,還會刻意留下要求用戶自己手動複製連結,並透過 Safari 網頁開啟。
通常只要用戶打開信件內的連結後,除了會用釣魚網頁騙取用戶個資外,流程還會帶入線上付款網頁,系統也會自動寄送簡訊要求提供信用卡詳細資料,用來支付寄送包裹產生的額外費用。
如何避免收到iPhone釣魚簡訊和保護自己?
1. 不要回應詢問式簡訊
當收到不明的詢問簡訊時,建議不要直接回應,可以透過「防詐騙查詢捷徑」來確認是否詐騙訊息。
2. 開啟iPhone訊息過濾功能
要是想阻擋這類型 iMessage 釣魚簡訊,也可以透過 iPhone 或 iPad 上啟用訊息過濾功能,能夠將來自非聯絡人的訊息歸類在同個清單中。
啟用iPhone訊息過濾方法
- 開啟iPhone內建「設定」App。
- 滑到底選擇「App」>「訊息」。
- 點入「未知與垃圾訊息」就能開啟「過濾未知的寄件人」。
在開啟iPhone 訊息的「過濾未知的寄件人」功能後,後續就會自動將不明聯絡人傳來的訊息放入「未知的寄件人」資料夾內。
也建議可以搭配第三方防詐APP「Whoscall」或「反詐戰警」來強化過濾簡訊功能,詳細可參考底下設定:
目前防詐戰警也還有免費贈送一年專業版資格,領取方式可詳見「台灣大哥大反詐戰警免費進階版一年免費送,防電話詐騙APP兌換教學看這裡」。
延伸閱讀:
喜歡這篇文章教學,後續想了解更多Apple資訊、iPhone、Mac、3C隱藏技巧,歡迎追蹤 瘋先生FB粉絲團、訂閱瘋先生Google新聞、Telegram、Instagram以及 訂閱YouTube頻道,將會有更多非常實用的技巧教學分享給大家。