【经济日报】随着安全威胁日益复杂,钓鱼短信攻击以金融机构冒充为主不断扩大。特别是通过短信插入URL后,再通过消息或电话进行多层次钓鱼的方式增加,用户需提高警惕。
16日,安博士发布了《2026年第一季度钓鱼短信趋势报告》,分析了从1月到3月通过安博士AI Plus检测到的钓鱼短信。
报告显示,今年第一季度最常见的钓鱼短信类型是金融机构冒充,占总数的53.62%。其次是贷款诈骗18.72%,政府和公共机构冒充8.49%,Telegram冒充7.95%,招聘诈骗5.69%,快递公司冒充2.74%。
金融机构冒充和贷款诈骗类型分别比上季度增长9.38%和205.15%。政府和公共机构冒充及Telegram冒充分别减少51.99%和22.55%。
金融机构冒充主要通过出金通知、账户异常检测等语句诱导用户不安,进而引导访问钓鱼网站或拨打电话,要求提供账户信息或个人信息的案例增加。
◆ 政府和公共机构冒充,信任被滥用攻击扩大
在钓鱼短信中,攻击者冒充的行业中,政府和公共机构占7.36%,其次是金融机构2.70%,物流0.49%,其他类型占89.45%。其他比例高是因为钓鱼攻击不局限于特定行业,越来越多地利用罚款、配送通知、行政提醒等日常素材。
特别是政府和公共机构冒充的情况下,利用罚款通知、税务提醒、行政通知等官方文件形式提高信任度,攻击者利用用户对公共机构短信的高信任度进行攻击的趋势增加。
在钓鱼尝试方式中,URL插入占81.36%,其次是移动消息引导9.18%,电话引导8.59%,短信引导0.86%。
与上季度URL插入方式占98.99%相比,结合多种渠道的攻击增加。攻击者通过短信初次接触后,再通过消息或电话要求更多信息,规避检测。特别是从大量发送相同URL的方式转变为个人对话形式的攻击增加,导致受害风险加大。
随着移动环境为中心的服务使用扩大,钓鱼短信的受害风险也在增加。金融服务和公共服务以移动为中心提供,短信攻击的成功可能性增加。此外,最近钓鱼攻击从简单的链接点击发展到个人信息输入、应用安装引导、电话连接等复杂形式,用户受害可能性增加。
特别是在移动设备上发生的钓鱼攻击往往难以检测,预防变得重要。使用智能手机安全解决方案和阻止可疑短信等基本安全措施的必要性增加。
安博士分析,随着5月家庭月的临近,钓鱼攻击可能增加。儿童节、父母节、婚礼等各种活动和假期可能被用于钓鱼尝试。特别是伪装成请柬、冒充家人、礼物配送通知等日常信息的钓鱼攻击预计将增加。
安博士表示:“本季度钓鱼短信趋势与上季度相似,攻击者专注于精细化已验证成功率的方法。特别是即将到来的5月家庭月,由于主要纪念日和长假等时机特性,预计各种钓鱼尝试将增加,因此即使是熟悉的钓鱼类型如请柬伪装、家人冒充等,也要保持警惕,养成再次确认的习惯。”
※ 本报道经人工智能(AI)系统翻译与编辑。
