網路釣魚簡訊是一種以手機簡訊為平台的網路釣魚攻擊手法。歹徒的攻擊目的是要蒐集個人資訊,包括:身分證號碼或信用卡卡號。網路釣魚簡訊是經由手機文字簡訊 (SMS) 來發送,因此才會叫作「SMiShing」。

釣魚簡訊(Smishing或SMS phishing)是一種網路釣魚手法,試圖用簡訊來誘騙受害者給出個人資訊。釣魚簡訊已經成為越來越受網路犯罪分子歡迎的一種策略,所以認識這種攻擊是件相當重要的事情。
偽裝成行動認證服務的假銀行應用程式 Movil Secure, 會收集簡訊和電話號碼。當安裝者手機收到新簡訊時– 包含行動銀行應用程式用來確認或授權銀行交易的簡訊,它會將簡訊寄件者和訊息內容傳送到C&C伺服器和一支特定的電話號碼。趨勢科技懷疑取得的資料會被用在進一步的簡訊釣魚(SMiShing)攻擊,或被用來從銀行客戶身上收集銀行帳密。
有許多銀行都在為自家的行動應用程式提供更多功能及升級,而且也因為銀行應用程式所帶來的便利性,讓全世界有越來越多用戶使用行動銀行服務。不過隨著新金融技術的大量使用以及使用者會尋找自己銀行的應用程式和服務,也為詐騙份子帶來了更多機會。最新的一個例子是應用程式Movil Secure。我們在10月22日在Google Play上發現這個惡意應用程式,是針對西班牙語系用戶的簡訊釣魚(SMiShing)詐騙的一部分。
Movil Secure是個假銀行應用程式,會偽裝成行動認證服務。開發者下了很大的功夫來讓使用者認為這是個合法軟體,包括具備專業外觀的品牌及精細的使用者介面。我們還發現此一個開發者名下有其他三個類似的假應用程式。Google確認了這些應用程式已經從Google Play移除。
Movil Secure在10月19日上架,六天內被下載了超過100次。這可能是因為它聲稱跟跨國的知名西班牙銀行集團Banco Bilbao Vizcaya Argentaria(BBVA)有關,該銀行以專業技術聞名,正版的行動銀行應用程式被認為是業界最好的之一。
假應用程式(見下圖1)充分利用了BVVA的知名度,偽裝成該銀行服務用於身份管理和交易授權的行動認證服務。但仔細檢查後發現它並不具備這些功能。
圖1、該應用程式聲稱它是行動認證應用程式
簡訊網路釣魚 (稱為 SMS phishing 或 SMiShing) 同樣也是一種 網路釣魚攻擊 ,它會利用社交工程誘餌來誘騙簡訊接收者點選會下載惡意程式的連結。趨勢科技 發現有一波惡意攻擊利用”SMiShing簡訊釣魚”詐騙手法散播,一隻名為 FakeSpy(ANDROIDOS_FAKESPY.HRX)的 Android簡訊釣魚病毒,不但會竊取中毒手機的簡訊,帳號資料、聯絡人和通話記錄,還會置換手機內的銀行應用程式藉以竊取資料,另外也會檢查虛擬貨幣交易和電子商務應用程式。
受害者先收到一則偽裝成合法訊息的簡訊,比如一家物流公司誘使收件者點入簡訊內的惡意連結。目前該簡訊病毒,會偽裝成運輸、物流、快遞、電子商務、行動電信服務和服裝賣場或是消費金融服務公司的應用程式。
除了竊取資料外,FakeSpy 還會檢查手機內安裝的銀行相關應用程式。如果找到目標應用程式,就會置換成模仿合法應用程式介面的山寨版本。發出假警告通知,要使用者輸入帳號密碼來更新應用程式,以免資料外洩。除此之外,它還會檢查虛擬貨幣交易和電子商務應用程式。
雖然該惡意軟體目前的僅限於日語和韓語使用者,但是因為FakeSpy相當積極地發展各項功能,其他語系的使用者也該提高警覺。