短信钓鱼诈骗:如何识别和阻止欺诈短信

了解如何识别和阻止短信钓鱼诈骗,包括常见的欺诈短信类型和保护手机安全的最佳做法。

· Truvizy Research Team · 8 min read

TL;DR

短信钓鱼利用看似来自银行、快递或政府机构的欺诈短信诱骗受害者点击恶意链接或提供个人信息。识别常见模式和保护手机安全至关重要。

你的手机响了。一条看似来自银行的短信警告你账户有可疑活动。有一个链接「验证你的身份」,消息催促你立即行动。你的心跳加速。你几乎要点击链接, 但总觉得有什么不对。那种直觉可能为你节省数千美元,因为你看到的几乎可以肯定是一个smishing(短信钓鱼)骗局。

Smishing, 「SMS」和「phishing」(钓鱼)的组合, 已成为全球增长最快的网络犯罪形式之一。据FBI的互联网犯罪投诉中心数据,仅2025年美国人就因短信诈骗损失了超过4.7亿美元。问题还在加速。随着AI工具现在能够大规模生成完美无缺的个性化消息,「注意拼写错误」这个老建议已经行不通了。

什么是Smishing以及为什么它如此有效?

Smishing是通过短信发送的社会工程攻击。与许多人已经学会以怀疑态度对待的电子邮件钓鱼不同,短信固有地带有紧迫感和合法感。我们被训练成快速回复短信。大多数人在收到短信后三分钟内就会打开它, 这是电子邮件钓鱼者只能梦想的响应率。

smishing的有效性在于它对信任和紧迫感的利用。当一条消息看似来自你的银行、快递公司或政府机构时,回应的心理压力是巨大的。诈骗者知道这一点,并刻意制作触发恐惧反应的消息:未经授权的交易、暂停的账户、错过的配送和未缴的税款都是旨在压倒你理性思维的常见诱饵。

使smishing在2026年特别危险的是攻击的精密程度。诈骗者现在使用号码欺骗技术使短信出现在你与银行合法消息相同的对话线程中。他们购买从泄露中获得的数据用你的名字、部分账号和最近的交易详情来个性化消息。通过拙劣语法发现骗局的日子已经一去不复返了。

Smishing攻击的解剖

了解smishing攻击如何展开可以帮助你在被针对时识别它。典型的攻击遵循一个可预测的模式,即使表面细节各有不同。

首先,攻击者选择目标群体。这可能是购买的电话号码列表、最近泄露的数据集,或者只是对特定区号中连续号码的群发。然后他们制作诱饵消息,选择一个冒充目标, 大型银行、快递服务或政府机构, 并撰写制造紧迫感的消息。消息总是包含一个指向假网站的链接或一个要求拨打的电话号码。

当受害者点击链接时,他们到达一个看起来与真实机构网站几乎相同的网站。这些假网站通常使用克隆的实际银行登录页面模板构建,配有标志、配色方案甚至可用的导航元素。受害者输入凭据,攻击者立即捕获。在更精密的攻击中,假网站会实时将凭据转发给真实银行,允许攻击者通过提示受害者输入刚收到的一次性验证码来绕过双重认证。

真实银行短信提醒与smishing诈骗消息的对比
真实银行短信提醒与smishing诈骗消息的对比

从初始短信到账户被清空的整个过程可能不到五分钟。这种速度是策略的一部分。诈骗者希望你在有时间思考之前就采取行动。如果你曾收到可疑短信并怀疑它是否真实,像Truvizy的扫描工具这样的工具可以帮助你在互动之前分析可疑消息和链接。

收到含链接的可疑短信?在点击之前用Truvizy扫描即时检测钓鱼指标。

2026年最常见的Smishing场景

虽然具体的脚本不断变化,但大多数smishing攻击都属于几个经过验证的类别。识别这些模式是你的第一道防线。

银行和金融提醒仍然是最有利可图的smishing类别。消息声称你的账户有未经授权的活动、你的卡已被锁定或你需要验证一笔大额交易。这些有效是因为失去金钱的恐惧压倒了谨慎。消息通常包含卡号的后四位, 可以从任何数据泄露中获得, 以增加虚假的可信度。

配送通知诈骗在疫情期间激增且没有放缓。来自「UPS」「FedEx」或「USPS」的虚假短信声称包裹无法配送并提供重新安排的链接。由于大多数人经常网购,这些消息常常与实际预期的配送巧合, 使它们特别令人信服。

政府冒充诈骗针对人们对权威的恐惧。来自IRS、社会保障局或州税务局的虚假消息威胁处罚、声称有退款等待或警告账户暂停。这些攻击在报税季节激增但全年持续。

过路费和水电费诈骗代表了一个较新且快速增长的类别。受害者收到声称他们有未支付的过路费、逾期的水电费账单或停车罚单的短信。金额通常很小, 5到20美元, 使受害者更可能不调查就直接支付。真正的目的是收集信用卡信息。正如我们在AI如何使诈骗更加危险的文章中所述,这些低价值攻击现在使用AI工具大规模自动化。

为什么Smishing变得越来越严重

几个汇聚的趋势使smishing比以往更加危险。数据泄露的泛滥意味着攻击者可以获取前所未有的大量个人信息。当一个诈骗者能以你的名字称呼你、引用你的实际银行并包含部分账户详情时,这条消息变得几乎不可能与合法提醒区分。

AI驱动的消息生成消除了曾经是诈骗最可靠指标的东西:拙劣的语言质量。现代smishing消息语法完美、上下文恰当,与它们冒充的品牌在风格上一致。一些高级操作甚至使用AI根据目标的人口统计资料调整消息语气。

展示2022年至2026年smishing攻击上升的统计数据
展示2022年至2026年smishing攻击上升的统计数据

向移动优先银行业务的转变也扩大了攻击面。比以往更多的人完全通过手机管理财务,这意味着一条令人信服的银行短信直接落在做出财务决策的场景中。与桌面电子邮件不同,手机短信提供的合法性视觉线索更少, 没有办法在点击之前悬停在链接上预览其目的地。

你收到一条看似来自银行的短信,与之前的真实消息在同一个对话线程中,警告有一笔可疑交易。你应该怎么做?

  1. 点击链接立即查看你的账户
  2. 回复STOP选择退出诈骗短信
  3. 打开银行的官方应用或拨打实体卡背面的号码来独立验证
  4. 将短信转发给朋友询问意见

Answer: 始终通过直接联系来源来验证, 打开银行的官方应用或拨打实体卡背面的号码。诈骗者可以欺骗号码使其出现在与真实银行消息相同的线程中。永远不要点击短信中的链接,回复会确认你的号码是活跃的。

如何识别Smishing短信

虽然smishing消息越来越精密,但仍有可靠的指标可以帮助你识别它们。关键是关注行为模式而非表面外观。

紧迫感和威胁是最大的危险信号。合法机构很少通过短信威胁立即的后果。如果一条消息告诉你你的账户将在24小时内被关闭或你将面临法律诉讼,要极度怀疑。真正的银行会给你时间和多种沟通渠道来解决问题。

不请自来的链接应该始终引起警惕。你的银行几乎永远不会通过短信发送可点击的链接。他们会指引你通过官方应用或网站登录。如果一条短信包含链接,特别是短链接,在另有证明之前假设它是恶意的。

对敏感信息的请求是另一个明确的指标。没有合法机构会通过短信要求你确认密码、社会安全号码或完整账号。即使请求被包装为「安全验证」也是如此。

要更深入了解如何验证各种可疑数字内容,请查阅我们关于如何判断内容是否由AI制作的指南。

收到可疑短信时该怎么做

最重要的规则很简单:永远不要直接与消息互动。不要点击任何链接,不要拨打短信中提供的任何号码,也不要回复, 即使是说「STOP」。回复会向诈骗者确认你的号码是活跃的并在被监控。

相反,通过你独立找到的电话号码或网站直接联系该机构。打开你的银行应用, 从官方应用商店下载的那个,不是短信中链接的, 检查那里的提醒。拨打实体卡背面的号码。这些步骤多花一分钟,但可以让你免于灾难性的经济损失。

如果你已经点击了链接或输入了信息,立即采取行动。更改可能被入侵的所有账户的密码。拨打银行欺诈部门的电话说明情况。通过三大信用局之一在你的信用档案上放置欺诈警报。在接下来至少90天内每天监控你的账户。

通过将短信转发至7726(SPAM)并在FTC的reportfraud.ftc.gov提交报告来举报smishing企图。这些举报帮助运营商和执法部门识别和关闭smishing操作。

通过Truvizy的AI驱动的可疑链接和消息威胁检测保持对smishing和短信诈骗的防护。

长期保护自己

建立对smishing的持久保护需要技术和习惯的结合。首先在手机上启用垃圾邮件过滤器。iOS和Android现在都提供内置的垃圾信息检测,可以在许多smishing企图到达你的收件箱之前拦截它们。

使用密码管理器为每个账户生成唯一的复杂密码。这限制了单组凭据被泄露时的损害。在所有可能的地方启用双重认证,最好使用认证器应用而非短信验证码, 因为smishing攻击专门针对基于短信的验证。

对你的数字足迹要慎重。你的个人信息在网上可获取得越少,诈骗者就越难个性化他们的攻击。审查社交媒体上的隐私设置,选择退出数据经纪数据库,并谨慎分享你的电话号码。

考虑使用专门的诈骗检测工具作为你安全例程的一部分。Truvizy的扫描计划提供AI驱动的可疑链接、消息和内容分析,可以在你上当之前识别骗局。在一个诈骗者使用人工智能攻击你的世界里,用AI驱动的保护来反击不仅是明智的, 更是必要的。

smishing的威胁不会消失。如果说有什么的话,泄露的个人数据、先进的AI工具和移动优先的生活方式的结合意味着这些攻击只会变得更频繁、更令人信服。但通过了解它们如何运作、识别警告信号并养成保护性习惯,你可以确保下次你的手机收到可疑短信时,你完全知道该怎么做:什么都不做。删除它然后继续。

Key Takeaways

钓鱼邮件检测 — smishing的邮件表亲, 学会在所有渠道识别钓鱼。

社会工程攻击 — 使smishing如此有效的心理操纵技术。

Truvizy如何检测诈骗 — 了解AI驱动的分析如何识别诈骗短信和钓鱼链接。

FAQ

什么是短信钓鱼(Smishing)?

Smishing是通过短信(SMS)进行的钓鱼攻击。骗子发送看似来自银行、快递公司、政府机构或知名品牌的欺诈短信,诱骗受害者点击恶意链接或提供个人信息。

短信钓鱼和邮件钓鱼有什么区别?

短信钓鱼通常更有效,因为人们更倾向于信任和立即回复短信。短信的字符限制使详细验证更困难,手机屏幕也更难悬停检查链接。此外,短信过滤不如邮件过滤成熟。

最常见的短信钓鱼骗局是什么?

虚假快递通知(你的包裹无法投递)、银行安全警报(检测到可疑活动)、政府退税通知、假冒运营商的账户问题、虚假中奖通知,以及声称来自CEO或老板的紧急请求。

我如何保护自己免受短信钓鱼?

不要点击未知来源短信中的链接。如果对消息有疑问,直接通过官方渠道联系该组织。不要回复可疑短信, 即使回复「停止」也可能确认你的号码是活跃的。使用手机内置的垃圾短信过滤功能。

如果我已经点击了短信中的可疑链接该怎么办?

立即关闭浏览器页面。如果输入了任何登录凭据,立即更改密码。对手机运行安全扫描。监控相关账户是否有异常活动。如果提供了财务信息,联系银行冻结账户。