你是否厌倦了收到来自澳大利亚邮政、税务局、MyGov和银行的短信诈骗?你并不孤单。每年,成千上万的澳大利亚人成为短信诈骗的受害者。近年来,亏损激增。
2022年,短信诈骗损失超过2800万澳元,几乎是2021年的三倍。今年他们已经达到了400万澳元——比2020年的总额还要多。如果包括未报告的损失,这些数字可能要高得多,因为受害者通常不会因为羞愧和社会耻辱而说出来。
上个月,联邦政府宣布了通过实施短信发送者身份登记来打击短信诈骗的计划。在该制度下,想要向用户发送短信的机构必须先向政府机关登记发送者的ID。
拟议的登记制度将有助于防止什么样的骗局?是不是太少,太迟了?
一种更令人担忧的短信诈骗类型是,当欺诈信息潜入合法消息线程时,很难区分合法服务和骗局。
SMS是一种较老的技术,缺乏许多现代安全特性,包括端到端加密和来源身份验证(允许您验证消息是否由声称的发件人发送)。后者的缺失是我们看到像下面这样高度可信的骗局的原因。
短信主要有两种类型:
点对点(P2P)是大多数人用来向朋友和家人发送消息的方式
应用程序对人(A2P)是公司通过使用门户网站或应用程序批量发送消息的一种方式。
A2P消息传递的问题在于,应用程序可以用于在发送方ID字段中输入任何文本或数字(或组合)—接收方的手机使用此发送方ID将消息分组到线程中。
在上面的例子中,骗子只需要在发件人ID字段中写入“ANZ”,他们的欺诈消息就会出现在带有ANZ的真实消息线程中。当然,即使之前不存在合法线程,它们仍然可以模拟ANZ,在这种情况下,ANZ将出现在一个新线程中。
提供A2P服务的门户网站和应用程序通常不会进行尽职调查,检查发件人是否是他们正在使用的发件人ID的实际所有者。也没有要求电信公司对此进行验证。
此外,电信运营商通常无法阻止诈骗短信,因为很难将其与真实短信区分开来。
去年,澳大利亚通信和媒体管理局出台了针对电信行业的新规定,通过追踪和阻止短信诈骗来打击短信诈骗。《减少诈骗电话和诈骗短信行业守则》要求提供商分享有关诈骗的威胁情报,并向当局报告。
今年1月,A2P短信解决方案公司莫迪卡因未能遵守规定而收到警告。ACMA发现莫迪卡没有适当的程序来验证基于文本的短信发送者id的合法性,这使得骗子可以接触到澳大利亚的许多移动用户。
尽管ACMA的代码很有用,但要识别出所有没有遵循它的A2P提供商是一项挑战。需要采取更多行动。
今年2月,政府指示ACMA探索建立一个短信发件人ID注册表。这本质上是一个白名单,包含所有可以在澳大利亚合法使用的字母数字发送者id(如“ANZ”,“T20WorldCup”或“Uber”)。
任何想要使用发件人ID的公司都必须提供身份识别并进行注册。通过这种方式,电信提供商可以参考注册表并在网络级别阻止可疑消息——在A2P提供商没有尽职调查(或被泄露)的情况下,这是一种额外的防御。
目前还没有决定澳大利亚登记处将收集哪些身份信息,但这些信息可能包括与某个组织相关的发送者号码,和/或他们使用的A2P提供商列表。
因此,如果“澳新银行”从澳新银行未注册的号码发送消息,或者通过澳新银行未指定的A2P提供商发送消息,那么电信提供商就可以将这些信息标记为骗局。
短信发送者ID注册表将是一个积极的步骤,但可以说是姗姗来迟,行动迟缓。英国和新加坡分别从2018年和去年开始实施了类似的制度。但澳大利亚没有明确的时间表。决策者必须迅速采取行动,铭记电信供应商的采用需要时间。
短信发送者ID注册表将减少公司冒充,但它不能防止所有的短信诈骗。骗子仍然可以使用普通的发送者号码进行诈骗,例如“Hi Mum”骗局。
此外,随着短信安全受到越来越多的审查,不良行为者可能会转向WhatsApp或Viber等即时通讯应用程序,在这种情况下,监管控制将面临挑战。
这些应用程序通常是端到端加密的,这使得监管机构和服务提供商很难检测和阻止通过它们发送的骗局。因此,即使建立了注册表,无论何时,用户都需要保持警惕。由The Conversation提供
本文转载自The Co在创作共用许可下的对话。阅读原文。
引用:骗子可以在合法的短信线程中插入假短信。政府的镇压会阻止他们吗?(2023, 3月20日)检索2023年4月12日从https://techxplore.com/news/2023-03-scammers-fake-texts-legitimate-sms.html此文档
作品受版权保护。除为私人学习或研究目的而进行的公平交易外,未经书面许可,不得转载任何部分。的有限公司
Ntent仅供参考之用。
