اسمیشینگ: چرا آن پیامک از «بانک شما» احتمالاً یک کلاهبرداری است

بیاموزید کلاهبرداری‌های اسمیشینگ (فیشینگ SMS) چگونه کار می‌کنند، چرا پیامک‌های بانکی جعلی اینقدر قانع‌کننده هستند و چگونه در ۲۰۲۶ از خود در برابر کلاهبرداری پیام‌های متنی محافظت کنید.

· Truvizy Research Team · 8 min read

TL;DR

کلاهبرداری‌های اسمیشینگ از پیام‌های متنی جعلی استفاده می‌کنند که جعل هویت بانک‌ها، سرویس‌های تحویل و سازمان‌های دولتی می‌کنند تا اطلاعات شخصی شما را بدزدند. این حملات بیش از ۳۰۰٪ از سال ۲۰۲۳ افزایش یافته‌اند و پیام‌های مدرن تولیدشده با هوش مصنوعی تقریباً غیرقابل تشخیص از هشدارهای واقعی هستند. همیشه پیامک‌های مشکوک را با تماس مستقیم با بانکتان از طریق اپ یا شماره تلفن رسمی آن‌ها تأیید کنید.

تلفنتان می‌لرزد. یک پیامک از آنچه به نظر می‌رسد بانک شماست هشدار درباره فعالیت مشکوک در حسابتان می‌دهد. یک لینک برای «تأیید هویت» وجود دارد و پیام از شما می‌خواهد فوراً اقدام کنید. ضربان قلبتان بالا می‌رود. تقریباً روی لینک ضربه می‌زنید, اما چیزی درست به نظر نمی‌رسد. همین غریزه می‌تواند هزاران دلار صرفه‌جویی کند، زیرا آنچه مشاهده می‌کنید تقریباً مطمئناً یک کلاهبرداری اسمیشینگ است.

اسمیشینگ, ترکیبی از «SMS» و «فیشینگ», به یکی از سریع‌ترین اشکال جرم سایبری در جهان تبدیل شده است. طبق مرکز شکایات جرایم اینترنتی FBI، آمریکایی‌ها در سال ۲۰۲۵ تنها به دلیل کلاهبرداری پیام متنی بیش از ۴۷۰ میلیون دلار از دست دادند. و مشکل در حال تسریع است. با ابزارهای مبتنی بر هوش مصنوعی که اکنون قادر به تولید پیام‌های بی‌نقص و شخصی‌سازی‌شده در مقیاس هستند، توصیه قدیمی «به دنبال اشتباهات تایپی بگرد» دیگر کافی نیست.

اسمیشینگ چیست و چرا اینقدر مؤثر است؟

اسمیشینگ یک حمله مهندسی اجتماعی است که از طریق پیام‌های متنی تحویل داده می‌شود. برخلاف فیشینگ ایمیلی که بسیاری از مردم آموخته‌اند با بدگمانی رفتار کنند، پیام‌های متنی حس ذاتی از فوریت و مشروعیت دارند. ما برنامه‌ریزی شده‌ایم که سریع به پیامک‌ها پاسخ دهیم. اکثر مردم یک پیامک را در عرض سه دقیقه از دریافت آن باز می‌کنند, نرخ پاسخی که فیشرهای ایمیل تنها رویای آن را دارند.

اثربخشی اسمیشینگ در استثمار اعتماد و فوریت نهفته است. وقتی یک پیام به نظر می‌رسد از بانک، یک شرکت حمل‌ونقل یا یک سازمان دولتی می‌آید، فشار روانی برای پاسخ دادن زیاد است. کلاهبرداران این را می‌دانند و عمداً پیام‌هایی طراحی می‌کنند که واکنش‌های ترس را برمی‌انگیزد: تراکنش‌های غیرمجاز، حساب‌های معلق، تحویل‌های از دست رفته و مالیات‌های پرداخت‌نشده همه طعمه‌های رایجی هستند که برای غلبه بر تفکر منطقی شما طراحی شده‌اند.

آنچه اسمیشینگ را به ویژه در سال ۲۰۲۶ خطرناک می‌کند پیچیدگی حملات است. کلاهبرداران اکنون از فناوری جعل شماره استفاده می‌کنند تا پیامک‌ها در همان رشته مکالمه با پیامک‌های واقعی بانکتان ظاهر شوند. آن‌ها داده‌های لو رفته از نقض‌ها را خریداری می‌کنند تا پیام‌ها را با اسم، شماره‌های حساب جزئی و جزئیات تراکنش اخیر شما شخصی‌سازی کنند. روزهای تشخیص کلاهبرداری از طریق دستور زبان ضعیف گذشته است.

آناتومی یک حمله اسمیشینگ

درک اینکه یک حمله اسمیشینگ چگونه پیش می‌رود می‌تواند به شما کمک کند هنگامی که شما را هدف قرار می‌دهد آن را تشخیص دهید. حمله معمولی الگویی قابل پیش‌بینی دارد، حتی زمانی که جزئیات سطحی متفاوت هستند.

ابتدا، مهاجم یک مخزن هدف انتخاب می‌کند. این ممکن است یک لیست خریداری‌شده از شماره‌های تلفن، مجموعه داده‌ای از یک نقض اخیر یا فقط یک ارسال انبوه به شماره‌های متوالی در یک پیش‌شماره خاص باشد. سپس پیام طعمه را طراحی می‌کنند، یک هدف جعل هویت انتخاب می‌کنند, یک بانک بزرگ، یک سرویس تحویل یا یک هیئت دولتی, و پیامی می‌نویسند که فوریت ایجاد می‌کند. پیام همیشه شامل یک لینک به یک وب‌سایت جعلی یا یک شماره تلفن برای تماس است.

وقتی قربانی روی لینک کلیک می‌کند، به وب‌سایتی می‌رسد که تقریباً با سایت نهاد واقعی یکسان به نظر می‌رسد. این سایت‌های جعلی اغلب با استفاده از قالب‌های کپی‌شده از صفحات ورود واقعی بانک ساخته می‌شوند، با لوگوها، رنگ‌بندی و حتی عناصر ناوبری کاربردی. قربانی اطلاعات ورود خود را وارد می‌کند که فوراً توسط مهاجم ضبط می‌شود. در حملات پیشرفته‌تر، سایت جعلی اطلاعات ورود را به بانک واقعی در زمان واقعی ارسال می‌کند و به مهاجم اجازه می‌دهد با درخواست وارد کردن کد یکبار مصرف که قربانی تازه دریافت کرده احراز هویت دو مرحله‌ای را دور بزند.

مقایسه یک هشدار متنی واقعی بانک در مقابل یک پیام کلاهبرداری اسمیشینگ
مقایسه یک هشدار متنی واقعی بانک در مقابل یک پیام کلاهبرداری اسمیشینگ

کل فرآیند، از پیامک اولیه تا حساب خالی‌شده، می‌تواند کمتر از پنج دقیقه طول بکشد. این سرعت بخشی از استراتژی است. کلاهبرداران می‌خواهند قبل از اینکه زمان داشته باشید فکر کنید عمل کنید. اگر تا به حال پیامک مشکوکی دریافت کرده‌اید و تعجب کرده‌اید که آیا واقعی است، ابزارهایی مثل ابزار اسکن Truvizy می‌توانند به شما کمک کنند پیام‌ها و لینک‌های مشکوک را قبل از تعامل با آن‌ها تجزیه‌وتحلیل کنید.

پیامک مشکوکی با لینک دریافت کردید؟ قبل از ضربه زدن آن را با Truvizy اسکن کنید تا شاخص‌های فیشینگ را فوری شناسایی کنید.

رایج‌ترین سناریوهای اسمیشینگ در ۲۰۲۶

در حالی که اسکریپت‌های خاص دائماً تغییر می‌کنند، اکثر حملات اسمیشینگ در چند دسته اثبات‌شده قرار می‌گیرند. تشخیص این الگوها اولین خط دفاعی شماست.

هشدارهای بانکی و مالی سودآورترین دسته اسمیشینگ هستند. پیام‌ها ادعا می‌کنند فعالیت غیرمجازی در حساب شما بوده، کارتتان قفل شده یا باید یک تراکنش بزرگ را تأیید کنید. این‌ها به این دلیل مؤثر هستند که ترس از از دست دادن پول بر احتیاط غلبه می‌کند. پیام‌ها اغلب شامل چهار رقم آخر شماره کارتی هستند, که می‌توان از هر تعداد نقض داده به دست آورد, تا اعتبار کاذب اضافه کنند.

کلاهبرداری‌های اطلاعیه تحویل در طول پاندمی افزایش یافتند و کم نشده‌اند. پیامک‌های جعلی از «UPS»، «FedEx» یا «USPS» ادعا می‌کنند یک بسته نمی‌توان تحویل داد و لینکی برای برنامه‌ریزی مجدد ارائه می‌دهند. از آنجا که اکثر مردم به طور منظم بسته سفارش می‌دهند، این پیام‌ها اغلب با تحویل‌های واقعی مورد انتظار همزمان می‌شوند, که آن‌ها را به ویژه قانع‌کننده می‌کند.

کلاهبرداری‌های جعل هویت دولتی ترس مردم از اقتدار را هدف می‌گیرند. پیام‌های جعلی از اداره مالیات، سازمان تأمین اجتماعی یا سازمان‌های مالیاتی دولتی تهدید به جریمه می‌کنند، ادعا می‌کنند استرداد مالیات در انتظار است یا هشدار تعلیق حساب می‌دهند. این حملات در فصل مالیات به اوج می‌رسند اما در تمام طول سال ادامه دارند.

کلاهبرداری‌های عوارض و خدمات یک دسته جدید و به سرعت در حال رشد هستند. قربانیان پیامک‌هایی دریافت می‌کنند که ادعا می‌کنند عوارض پرداخت‌نشده، قبض خدمات عقب‌افتاده یا پارکینگ دارند. مبالغ معمولاً کم هستند, پنج تا بیست دلار, که قربانیان بیشتر احتمال دارد بدون بررسی فقط پول بدهند. هدف واقعی جمع‌آوری اطلاعات کارت اعتباری است. همان‌طور که در مقاله‌مان درباره چگونگی خطرناک‌تر کردن کلاهبرداری‌ها توسط هوش مصنوعی پوشش دادیم، این حملات با ارزش پایین اکنون با ابزارهای هوش مصنوعی در مقیاس عظیم خودکار می‌شوند.

چرا اسمیشینگ بدتر می‌شود

چند روند همگرا اسمیشینگ را خطرناک‌تر از همیشه می‌کنند. گسترش نقض داده‌ها به این معنی است که مهاجمان به مقادیر بی‌سابقه‌ای از اطلاعات شخصی دسترسی دارند. وقتی یک کلاهبردار می‌تواند با نام شما پیامک بفرستد، به بانک واقعی شما اشاره کند و جزئیات حساب جزئی را درج کند، پیام تقریباً از یک هشدار قانونی غیرقابل تشخیص می‌شود.

تولید پیام مبتنی بر هوش مصنوعی چیزی را که زمانی قابل‌اطمینان‌ترین شاخص یک کلاهبرداری بود حذف کرده است: کیفیت زبانی ضعیف. پیام‌های مدرن اسمیشینگ از نظر گرامری کامل، از نظر زمینه مناسب و از نظر سبک سازگار با برندهایی که جعل هویت می‌کنند هستند. برخی عملیات‌های پیشرفته حتی از هوش مصنوعی برای تطبیق لحن پیام بر اساس پروفایل جمعیت‌شناختی هدف استفاده می‌کنند.

آماری که افزایش حملات اسمیشینگ از ۲۰۲۲ تا ۲۰۲۶ را نشان می‌دهد
آماری که افزایش حملات اسمیشینگ از ۲۰۲۲ تا ۲۰۲۶ را نشان می‌دهد

تغییر به بانکداری موبایل-محور نیز سطح حمله را گسترش داده است. بیشتر از همیشه مردم امور مالی خود را منحصراً از طریق تلفن مدیریت می‌کنند، به این معنی که یک پیامک بانکی قانع‌کننده مستقیماً در زمینه‌ای که تصمیمات مالی گرفته می‌شود می‌رسد. و برخلاف ایمیل دسکتاپ، پیام‌های متنی موبایل سرنخ‌های بصری کمتری درباره مشروعیت ارائه می‌دهند, هیچ راهی برای نگه داشتن ماوس روی یک لینک برای پیش‌نمایش مقصد آن قبل از ضربه زدن وجود ندارد.

پیامکی دریافت می‌کنید که ظاهراً از بانکتان است، در همان رشته با پیام‌های واقعی قبلی، که هشدار درباره یک هزینه مشکوک می‌دهد. باید چه کار کنید؟

  1. روی لینک ضربه بزنید تا فوراً حسابتان را بررسی کنید
  2. STOP را ریپلای کنید تا از پیامک‌های کلاهبرداری خارج شوید
  3. اپ رسمی بانک را باز کنید یا با شماره پشت کارت فیزیکی تماس بگیرید
  4. پیامک را به یک دوست برای تأیید فوروارد کنید

Answer: همیشه با مراجعه مستقیم به منبع تأیید کنید, اپ رسمی بانکتان را باز کنید یا با شماره پشت کارت فیزیکیتان تماس بگیرید. کلاهبرداران می‌توانند شماره‌ها را جعل کنند تا در همان رشته پیام‌های واقعی بانک ظاهر شوند. هرگز روی لینک‌های پیامکی ضربه نزنید و ریپلای کردن شماره فعال شما را تأیید می‌کند.

چگونه یک پیامک اسمیشینگ را شناسایی کنیم

در حالی که پیام‌های اسمیشینگ به طور فزاینده‌ای پیچیده هستند، هنوز شاخص‌های قابل‌اطمینانی وجود دارد که می‌توانند به شما در شناسایی آن‌ها کمک کنند. کلید تمرکز بر الگوهای رفتاری به جای ظاهر سطحی است.

فوریت و تهدیدات بزرگ‌ترین پرچم‌های قرمز هستند. نهادهای قانونی به ندرت از طریق پیامک عواقب فوری تهدید می‌کنند. اگر پیامی به شما می‌گوید حسابتان در ۲۴ ساعت بسته می‌شود یا با اقدام قانونی مواجه خواهید شد، با بدگمانی شدید رفتار کنید. بانک‌های واقعی برای حل مشکلات وقت و چند کانال ارتباطی به شما می‌دهند.

لینک‌های ناخواسته همیشه باید هشدار ایجاد کنند. بانک شما تقریباً هرگز از طریق پیامک یک لینک قابل کلیک برای شما نمی‌فرستد. آن‌ها شما را به ورود از طریق اپ یا وب‌سایت رسمی هدایت می‌کنند. اگر پیامکی شامل لینک است، به ویژه یک لینک کوتاه‌شده، فرض کنید مخرب است مگر اینکه خلاف آن ثابت شود.

درخواست اطلاعات حساس شاخص واضح دیگری است. هیچ سازمان قانونی از شما نمی‌خواهد رمز عبور، شماره امنیت اجتماعی یا شماره کامل حساب خود را از طریق پیامک تأیید کنید. این حتی اگر درخواست به عنوان «تأیید امنیتی» چارچوب‌بندی شود هم صدق می‌کند.

برای درک عمیق‌تر چگونگی تأیید محتوای دیجیتال مشکوک از همه نوع، راهنمای ما را درباره چگونگی تشخیص اینکه آیا محتوا توسط هوش مصنوعی ساخته شده ببینید.

اگر یک پیامک مشکوک دریافت کردید چه کنید

مهم‌ترین قانون ساده است: هرگز مستقیماً با پیام تعامل نکنید. روی هیچ لینکی کلیک نکنید، با هیچ شماره‌ای که در پیامک ارائه شده تماس نگیرید و ریپلای نکنید, حتی برای گفتن «STOP». ریپلای کردن به کلاهبردار تأیید می‌کند که شماره شما فعال و تحت نظر است.

در عوض، به طور مستقیم با نهاد با شماره یا وب‌سایتی که به صورت مستقل پیدا می‌کنید تماس بگیرید. اپ بانکداری خود را باز کنید, آنی که از فروشگاه اپ رسمی دانلود کرده‌اید، نه یک لینک در پیامک, و آنجا هشدارها را بررسی کنید. با شماره پشت کارت فیزیکی خود تماس بگیرید. این مراحل یک دقیقه بیشتر طول می‌کشد اما می‌تواند از ضرر مالی فاجعه‌بار جلوگیری کند.

اگر قبلاً روی لینکی کلیک کرده‌اید یا اطلاعاتی وارد کرده‌اید، فوراً عمل کنید. رمز عبور هر حسابی که ممکن است به خطر افتاده باشد را تغییر دهید. با بخش تقلب بانکتان تماس بگیرید و توضیح دهید چه اتفاقی افتاده. از طریق یکی از سه آژانس اعتباری بزرگ یک هشدار تقلب در پرونده اعتباریتان قرار دهید. حساب‌هایتان را حداقل ۹۰ روز آینده روزانه رصد کنید.

تلاش اسمیشینگ را با فوروارد کردن پیامک به ۷۷۲۶ (SPAM) و ثبت گزارش به FTC در reportfraud.ftc.gov گزارش دهید. این گزارش‌ها به اپراتورها و مأموران کمک می‌کند عملیات‌های اسمیشینگ را شناسایی و متوقف کنند.

با تشخیص تهدید مبتنی بر هوش مصنوعی Truvizy برای لینک‌ها و پیام‌های مشکوک از خود در برابر اسمیشینگ و کلاهبرداری‌های پیامکی محافظت کنید.

حفاظت از خود در بلندمدت

ایجاد حفاظت ماندگار در برابر اسمیشینگ نیازمند ترکیبی از فناوری و عادات است. با فعال کردن فیلترهای اسپم در تلفن خود شروع کنید. هم iOS و هم اندروید اکنون تشخیص اسپم داخلی ارائه می‌دهند که می‌تواند بسیاری از تلاش‌های اسمیشینگ را قبل از رسیدن به صندوق ورودی شما شناسایی کند.

از یک مدیر رمز عبور استفاده کنید تا رمزهای عبور منحصربه‌فرد و پیچیده برای هر حساب ایجاد کنید. این آسیب را در صورت به خطر افتادن یک مجموعه اطلاعات محدود می‌کند. در همه جایی که می‌توانید احراز هویت دو مرحله‌ای را فعال کنید، ترجیحاً با استفاده از یک اپ احراز هویت به جای کدهای SMS, زیرا حملات اسمیشینگ به طور خاص تأیید مبتنی بر SMS را هدف قرار می‌دهند.

درباره ردپای دیجیتال خود هشیار باشید. هر چه اطلاعات شخصی کمتری درباره شما آنلاین در دسترس باشد، برای کلاهبرداران سخت‌تر است حملاتشان را شخصی‌سازی کنند. تنظیمات حریم خصوصی در شبکه‌های اجتماعی را مرور کنید، از پایگاه‌های داده دلالان داده خارج شوید و درباره جایی که شماره تلفن خود را به اشتراک می‌گذارید محتاط باشید.

استفاده از یک ابزار تشخیص کلاهبرداری اختصاصی به عنوان بخشی از روال امنیتی خود را در نظر بگیرید. طرح‌های اسکن Truvizy تجزیه‌وتحلیل مبتنی بر هوش مصنوعی لینک‌ها، پیام‌ها و محتوای مشکوک ارائه می‌دهند که می‌توانند کلاهبرداری‌ها را قبل از اینکه قربانی شوید شناسایی کنند. در دنیایی که کلاهبرداران از هوش مصنوعی برای حمله به شما استفاده می‌کنند، مقابله با محافظت هوش مصنوعی نه تنها هوشمندانه است, بلکه ضروری است.

تهدید اسمیشینگ از بین نمی‌رود. اگر چیزی، ترکیب داده‌های شخصی لو رفته، ابزارهای هوش مصنوعی پیشرفته و سبک‌های زندگی موبایل-محور به این معنی است که این حملات تنها متناوب‌تر و قانع‌کننده‌تر می‌شوند. اما با درک اینکه چگونه کار می‌کنند، تشخیص علائم هشداردهنده و ایجاد عادات محافظتی، می‌توانید اطمینان حاصل کنید که دفعه بعد تلفنتان با یک پیامک مشکوک می‌لرزد، دقیقاً می‌دانید چه کار کنید: هیچ. آن را پاک کنید و ادامه دهید.

Key Takeaways

شناسایی ایمیل‌های فیشینگ — پسرعموی ایمیلی اسمیشینگ, بیاموزید در همه کانال‌ها فیشینگ را تشخیص دهید.

حملات مهندسی اجتماعی — تکنیک‌های دستکاری روانشناختی که اسمیشینگ را اینقدر مؤثر می‌کنند.

چگونه Truvizy کلاهبرداری‌ها را شناسایی می‌کند — بیاموزید تجزیه‌وتحلیل مبتنی بر هوش مصنوعی چگونه پیامک‌های کلاهبردارانه و لینک‌های فیشینگ را شناسایی می‌کند.

FAQ

اسمیشینگ چیست؟

اسمیشینگ نوعی فیشینگ است که از پیام‌های SMS برای فریب قربانیان به افشای اطلاعات شخصی، کلیک روی لینک‌های مخرب یا دانلود بدافزار استفاده می‌کند. این اصطلاح ترکیبی از «SMS» و «فیشینگ» است.

آیا کلاهبرداران می‌توانند شماره تلفن بانک من را جعل کنند؟

بله. کلاهبرداران به طور معمول شناسه‌های تماس و شماره‌های فرستنده را جعل می‌کنند تا پیامک‌ها به نظر برسد از بانک واقعی شما می‌آیند. به همین دلیل هرگز نباید فقط بر اساس شماره‌ای که پیام از آن آمده به یک پیام اعتماد کنید.

اگر روی یک لینک اسمیشینگ کلیک کردم چه باید بکنم؟

فوراً صفحه را بدون وارد کردن هیچ اطلاعاتی ببندید. رمزهای عبور بانکی خود را از یک دستگاه جداگانه تغییر دهید، احراز هویت دو مرحله‌ای را فعال کنید و با بانکتان تماس بگیرید تا آن‌ها را هشدار دهید. حساب‌هایتان را برای فعالیت غیرمجاز رصد کنید.

چگونه پیامک‌های اسمیشینگ را گزارش دهم؟

پیامک مشکوک را به ۷۷۲۶ (SPAM) در آمریکا فوروارد کنید که به اپراتور شما گزارش می‌دهد. همچنین می‌توانید آن را به FTC در reportfraud.ftc.gov و به بخش تقلب بانکتان گزارش دهید.

آیا آیفون یا اندروید در برابر اسمیشینگ آسیب‌پذیرتر هستند؟

هر دو پلتفرم به طور یکسان در برابر اسمیشینگ آسیب‌پذیر هستند زیرا حمله کاربر را هدف می‌گیرد، نه سیستم‌عامل را. با این حال، کاربران اندروید با خطر کمی بیشتر از لینک‌های بدافزاری مواجه هستند زیرا نصب اپ‌های جانبی در اندروید آسان‌تر است.