近几年里,短信钓鱼(俗称smishing)正逐渐从零散个人骗局演变为规模化、有组织的犯罪产业。近期安全公司Sekoia的调查揭示了一个鲜为人知但影响巨大的基础设施来源:部署在工厂、交通灯、电力计量站点等远程现场的工业级蜂窝路由器。这类设备原本用于把物联网终端通过3G/4G/5G网络接入管理平台,但当它们被错误配置或长期未打补丁时,便会成为攻击者廉价、高效且难以追踪的短信发送节点。研究显示,上万台此类路由器在互联网上可见,其中数百台允许未经身份验证的API访问,导致大规模短信钓鱼活动得以开展并延续数年。 此类攻击为何能奏效 工业蜂窝路由器有几个天然特征让它们对攻击者极具吸引力。它们常常被放置在偏远或不常维护的场所,使用运营商提供的SIM卡直接与移动网络通信。
出厂配置或现场部署时往往保留默认密码、允许远程管理或未及时升级固件。相较于传统的短信网关或云服务,这些设备的分布性和数量让检测和封堵变得复杂。攻击者借助被攻陷的设备直接通过移动网络发送钓鱼短信,显得更加"自然",从而提高了短信被接收者信任并点击链接的概率。 Sekoia的调查还指出,攻击者会使用能检测并避开桌面浏览器的网页脚本,仅在移动设备上展示欺骗性的登录页面,并在页面中加入阻止调试工具和右键查看的脚本,以阻碍分析。部分欺诈站点甚至与Telegram机器人集成,用来实时记录受害者交互和捕获输入的凭证,这反映出攻击链条的专业化与自动化趋势。 关键漏洞与利用手法 研究中涉及的设备由一家知名的工业物联网厂商制造,设备型号支持通过短信、Python脚本和网页接口进行远程管理。
厂商在2023年修复过一个关键漏洞,编号为CVE-2023-43261。该漏洞源于某类文件在设备存储中被错误暴露,通过Web接口无需认证即可下载。这些文件包含了加密后的密码以及用于加密的密钥和初始化向量,理论上允许攻击者解密获得明文凭证,从而取得设备的管理权限。 尽管CVE-2023-43261是一个重要线索,但Sekoia的研究者发现并非所有被滥用的设备都运行易受该漏洞影响的旧版固件,且在部分被攻陷设备上找到的认证cookie无法用漏洞中描述的密钥与向量解密。这意味着攻击者可能还利用了其他未公开或未修补的漏洞、默认凭证、弱密码、📱短信管理功能本身的滥用,或者通过社会工程及其他侧渠道拿到了管理权限。 受害范围与社会影响 被用于发送钓鱼短信的设备数量在研究中被估算为上万台,其中至少有数百台允许开放API访问。
短信目标遍布多个国家,重点区域包括一些欧盟国家。钓鱼短信通常伪装成政府服务、快递公司或银行的验证通知,引导受害者访问伪造登录页面并提交用户名、密码或一次性验证码。 从宏观角度看,这类攻击的影响并不仅限于个别用户的财务或隐私损失。首先,攻击者通过分散的物理设备发送信息,使得监管和拦截工作复杂化;其次,利用工业设备作为基础设施的滥用暴露了物联网部署与管理的薄弱环节,相关行业的整体声誉受损,可能引发更严的合规与审计要求;最后,若关键基础设施设备被攻陷并被恶意操纵,它们本身可能对工业控制系统的可靠性与安全构成风险。 运营商与平台的角色 短信服务天生依赖移动网络的信令与短消息服务中心(SMSC)。运营商在治理滥发短信、识别异常流量和阻断恶意域名方面扮演关键角色。
面对利用分布式物联网设备进行的钓鱼活动,运营商可以从网络层面做出若干改进,例如对来自某类SIM的异常短时间大规模发送行为进行速率限制、对A2P(应用到人)短信发送路径施加更严格的审核、以及与安全厂商协作进行域名与URL的实时拦截。 然而,合作与信息共享仍面临技术、隐私与法规障碍。不同国家的监管标准差异、跨国取证与域名下架的复杂流程,以及运营商本身在物联网SIM管理上的薄弱环节,都使得治理机制难以一蹴而就。业界呼吁建立更完善的CERT协调机制和跨运营商的威胁情报共享,尤其是在识别和冻结用于发送钓鱼短信的设备和SIM卡方面。 企业与设备管理者应如何防护 对于制造商和设备最终用户而言,安全治理需要采用全生命周期的视角。设备制造商应承担更强的安全责任,包括在出厂设置中禁用不必要的远程管理接口、提供简便的固件升级通道、以及对默认配置(如默认密码和开放的API)进行设计性限制。
设备制造商还应向客户明确列出安全注意事项、公布安全补丁时间表,并在发现高危漏洞时及时通报用户与安全社区。 部署这类路由器的组织需要定期进行资产清点与固件审计,确保设备运行在受支持的固件版本上并打上安全补丁。网络管理策略应将物联网终端与企业核心网络进行隔离,限制设备对外的管理通道,只允许通过VPN或跳板机访问管理界面。对SIM权限应进行最小化配置,若功能不需要SMS,则禁用短信能力或限制短信发送目标。日志审计与告警机制必不可少,应监控设备的短信出站行为及API访问记录,及时发现异常流量并采取隔离措施。 对个人用户来说,防范技巧虽无法阻止基础设施被滥用,但可以显著降低落入钓鱼陷阱的风险。
用户应对来源不明的短信持怀疑态度,不轻易点击短信中的短链或未知域名,尤其是要求输入密码或卡号的链接。为重要服务启用基于应用的多因素验证(如认证器App或硬件令牌),避免依赖仅通过短信发送的一次性密码作为唯一防护手段。若收到看似来自政府或银行的紧急通知,应主动通过官方网站或官方客服渠道核实,而非直接通过短信中的链接操作。 检测与响应:技术路线与现实挑战 在检测层面,安全厂商可通过蜜罐、被动DNS监测及流量分析来追踪钓鱼基础设施的来源。Sekoia等公司通过在网络中部署诱饵和陷阱,成功捕获到恶意设备的网络痕迹并反向追踪到被滥用的工业路由器。这类被动威胁情报在协助关闭钓鱼站点、封堵恶意域名和追溯攻击者链路方面十分关键。
但现实中存在挑战。欺诈者常利用快速注册和更换域名、移动恶意站点到新的托管商以及通过Telegram等平台进行实时数据收集,使得传统的"下架域名、封IP"措施总是滞后一步。跨国法律与执法合作的延迟也常使受害者难以及时追回资金或封堵攻击源。长远看,加强域名注册商、托管商与移动运营商之间的责任链,以及简化跨境取证与下架流程,是提高反诈骗效率的重要方向。 制度层面的改进与建议 监管机构可以通过设立更明确的物联网设备安全基线和认证标准来推动行业改进。对关键物联网设备施加强制性安全要求,比如安全启动、固件签名、默认禁用远程管理端口和强制密码策略等,能够从源头降低这种基础设施被滥用的风险。
鼓励运营商对A2P短信进行更严格的登记和审查,要求大规模短信发送者进行实名验证并对异常行为设立处罚,也能够在一定程度上抑制滥用行为。 同时,推动公众教育与行业培训至关重要。普通用户需要对短信钓鱼保持长期警觉,企业内的运维和安全团队需要掌握物联网设备的安全运维实践。保险、法律与合规框架也应跟上步伐,为受害者提供更快的救济路径,为厂商与运营商设定合理的责任边界。 未来展望:威胁如何演变,行业如何应对 随着物联网设备数量持续增长,工业级路由器等设备的使用场景将更加广泛。攻击者倾向于利用易得、分散且成本低廉的资源来扩展其攻击面。
短期内,利用被攻陷物联网设备进行短信钓鱼的模式可能会继续存在并演化为更加自动化的"服务化"产业链。更先进的攻击工具可能结合生成式AI来定制更有说服力的社会工程内容,或结合电话号码收集与欺骗性多渠道传播来提高命中率。 面对这样的发展,单靠某一方的努力难以彻底解决问题。制造商、设备使用方、运营商、域名托管商、安全厂商与监管机构需要形成联动机制,通过强化设备出厂安全、改善SIM与短信服务的管理、提升跨国协作效率以及加大对攻击链关键环节的治理,才能逐步抑制这种滥用模式。 结语 工业级蜂窝路由器被滥用于发送短信钓鱼的案例提醒我们,一个看似不起眼的角落设备也可能成为连锁诈骗的起点。面对这种分布式、跨域的威胁,单靠某一端的防护是不够的。
制造商需承担更高安全责任,运营商需要加强对短信通道的治理,使用者要提升运维与配置管理能力,而普通用户应提高识别钓鱼的警惕性。通过多方协作与制度完善,才能把散落在全球各个角落的"那只盒子"从攻击者的工具中收回,并把短信钓鱼这类日益工业化的威胁扼杀在萌芽阶段。 。
