假冒的 MFA 重設警告訊息

我同事最近收到了這條 釣魚 短信(也稱為 smishing)。

Screenshot 2025-06-05 at 1.35.26 PM

他們快速辨識這是一個社交工程攻擊,並在我們內部的溝通頻道上分享了這訊息,以便大家研究。 

在過去幾個月中,我收到越來越多這類似的詐騙簡訊。這是一個試圖讓人擔心他們的 Gemini、Gmail、Microsoft、Instagram……或者其他帳號……正被入侵的把戲,並且迫使你必須立即!立即!立即!採取行動,來防止帳號被盜用。

對我來說,大部分都與Gmail帳號警告有關。

這個情況是你的帳號受到攻擊,有駭客試圖重置你的驗證資訊並試圖接管你的帳號,透過產生一個碼來重置密碼或設置新的 多重驗證 實例。詐騙者希望你慌張並遵循指示行動。

這些警告訊息跟真正的供應商發送的通知訊息其實差不多,只是有幾個注意事項,包括:

  • 你並沒有發起帳戶重置(這是最大的線索!)
  • 從一個奇怪或不明的電話號碼來(單獨來說不算特別奇怪)
  • 來電號碼與你被要求撥打的號碼/區碼不一致(正當的請求通常來自於「短號碼」而不是電話號碼)
  • 有緊迫感(如果你現在不撥打會遭受損失)

除了你發起重置請求之外,大多數合法的重置訊息都會包含連結到廠商的合法網站和域名,而不是電話號碼。我從來沒看過包含「參考代碼」的真正通知訊息。我想這樣聽起來比較「官方」。

不過,我確實收到過只有電話號碼的真實重置訊息,並沒有提供網址。並不是所有只有電話號碼的簡訊都是假的。但我通常會提前做好準備,若我查詢這個電話號碼,相關供應商的合法網站會立刻顯示出來,列出這個電話號碼。 

當我調查與詐騙有關的電話號碼時,該號碼從未出現在任何廠商的正規網站上(雖然在搜尋結果中可能會附上廠商的名稱……但實際上指向的是冒充廠商的網站或是被報導在垃圾郵件網站上)。

如果你對重設訊息有疑慮,請使用供應商的有效網址直接聯絡他們。如果你的帳號有問題,那麼當你登入供應商的網站時,問題依然會存在。他們不會僅僅發送一條簡訊就算了事。

最重要的是,永遠不要撥打訊息中的電話號碼。對於假冒的訊息,該電話號碼通常會被一個非常友善的聲音接聽,聲稱自己是該公司的員工。有時他們還會播放假冒的「音樂暫停」,重複公司的名稱。您不能隨便相信訊息中發送給您的電話號碼,務必要先進行調查。

在進行調查時務必要小心,因為有些假冒電話號碼被潛在的詐騙受害者查詢得太多,以至於它們看起來像是屬於所聲稱的公司……但最重要的是,這些號碼並不會出現在合法公司的網站上。如果有疑問,請撥打已知的正確電話號碼聯絡該公司。

我偶爾也會收到一些我並不屬於的服務的重設請求,就像下面這個。

我想我可以想像有人配偶可能會因為這件事生氣!

這裡的情況也是一樣。詐騙者正在冒險,希望接收者屬於某個服務或網站,並因此感到驚慌,以為有人在試圖駭入他們的服務。雖然在這個案例中,我想他們是希望你會打電話或傳簡訊到那個相關的號碼?? 要不然就是有人在 Tinder 上使用了我的電話號碼(不管是故意還是意外的)。 

是的,透過你手機的正規垃圾郵件舉報服務來舉報這個號碼為垃圾郵件是沒壞處的。

有關於有害SMS訊息的統計數據相當驚人。全球每分鐘發送超過十億條不必要的SMS訊息,其中至少有一百萬條是故意惡意的。TechJury指出,有8.9% – 14.5%的接收者會點擊文字訊息中的惡意連結

是的,大約有9%-15%的人收到詐騙簡訊後會點擊網址或撥打號碼。

確保你、你的家人和你的同事都不是其中之一。

You cannot copy content of this page