近期,科技安全领域传来新警报,知名科技博客bleepingcomputer揭露了一种新型网络诈骗手段,该手段专门针对苹果iMessage用户,巧妙地绕过了其内置的钓鱼链接防护机制。
随着智能手机在日常生活中的广泛应用,特别是移动支付、在线购物及即时通讯的普及,短信钓鱼(smishing)攻击呈现出愈演愈烈的趋势。针对这一现状,苹果iMessage系统内置了一项安全功能,能够自动屏蔽来自未知发件人消息中的链接,以此作为用户的一道防线。
然而,bleepingcomputer报告指出,近期针对苹果用户的短信钓鱼攻击数量急剧上升,这些攻击设计精巧,旨在诱使用户通过回复短信的方式,主动解除对钓鱼链接的屏蔽。
攻击者精心编造各种理由,如虚假的快递问题、未支付的道路通行费通知等,通过短信发送给苹果用户。尽管iMessage初始时会禁用这些短信中的链接,但狡猾的攻击者却要求用户回复“Y”来“激活”链接,并诱导用户退出短信界面,重新打开或复制链接至Safari浏览器。
这种策略利用了用户对于通过短信回复进行确认或取消订阅的熟悉习惯。攻击者期望通过这些看似无害且熟悉的操作,诱导用户落入陷阱,不仅重新启用了被屏蔽的链接,还关闭了iMessage对该短信的钓鱼防护。更为严重的是,用户的回复行为还相当于向攻击者发出了信号,为后续的个人信息乃至金融资产窃取提供了可乘之机。
