都已经是2024年了,短讯诈骗依然猖獗。为解决网络诈骗问题,大马通讯及多媒体委员会(MCMC)去年指示所有电讯公司拦截通过手机短讯(SMS)发送的链接(URL)。一年过去,诈骗者似乎可以绕过这些措施,冒充“明讯”(Maxis)发送短讯。
如下图所示,诈骗短讯使用“Maxis”作为发送人ID,提醒“用户”在积分过期之前兑换奖励。这些短讯包含了冒充Maxis的各种URL。
“Maxis”发短讯提醒用户兑换积分
首先,Maxis根本没有奖励积分制,也没有供用户领取奖励的入门网站。更有趣的是,同样的短讯也发送给非Maxis用户,包括CelcomDigi的后付用户。
在撰写本文时,这些所谓的URL似乎无法使用,因为它们可能已被屏蔽或在被举报后删除。此类策略旨在诱骗用户提供包括用户名和密码在内的敏感信息。
切勿点击短讯中的随机链接
与往常一样,切勿点击短讯或即时消息中收到的随机链接。短讯欺骗(SMS Spoofing)会让用户难以验证该则短讯是否真实,因为诈骗短讯与来自Maxis或可信来源的合法短讯,出现在同一主题上。最佳做法是在点击URL之前先检查一下。如果声称来自Maxis,则必须是maxis.com.my,而不是其他网址。
为加强保护,请避免使用任何需要你登录或提供凭据的链接。建议仅通过官方应用程序登录,或通过手动输入URL从网络浏览器访问官方网站。如果你不确定,可以致电电讯商进一步核实。作为国家银行推出的安全措施的一部分,即使是银行和电子钱包,也已停止通过短讯发送OTP和URL。
带有链接的短讯应该被拦截,为什么会通过呢?
最大的疑问是,为什么到了2024年本地电讯用户仍会收到此类短讯?政府于2023年2月14日指示我国所有电讯公司,自同年5月2日开始,不允许个人移动用户发送和接收带有URL的短讯,以防止用户成为网络诈骗的受害者。
根据Maxis的常见问题解答(FAQ),短讯拦截是分阶段实施的,以便企业和商业用户有足够的时间避免发送可点击链接。目前,拦截范围仅涵盖个人之间发送的短讯(2023年5月2日)以及企业短讯服务等应用程序(2023年7月2日)。
MCMC为相关基本服务企业提供了豁免,包括URL和个人信息,但该豁免将于2024年8月31日结束。
MMTA呼吁扩大拦截带有URL短讯的豁免范围
马来西亚移动技术协会(MMTA)最近呼吁MCMC,将某些实体的豁免期延长至2024年8月31日之后,因为该协会担心拦截将严重扰乱合法的商业通讯,并间接导致经济不确定性。据MMTA称,政府机构、金融机构和其他公司等可信实体,不受禁令限制,并受制于MCMC批准的各个品牌名称和短代码。
他们补充说,这些单独的品牌名称和短代码(通常为五到六位数)使用户能够确保来自该实体的短讯是合法的。
根据现行指令,豁免将于9月1日结束,届时所有电讯公司将被要求完全拦截所有企业短讯应用程序中的违禁内容。MMTA表示,拦截URL、回拨号码和信息请求的举措,将扰乱与公众的合法商业通讯。
该协会认为,虽然保护消费者至关重要,但全面的限制可能会严重扰乱与公众的合法商业通讯。该协会补充说,这些实体严重依赖短讯中的URL来通知用户电子发票的交付、预约确认、密码重置甚至物流培训。
他们希望,MCMC能够与行业利益相关者合作,找到一种平衡的方法,既保护消费者,又允许企业继续提供基本服务。
企业能做什么?
短讯(SMS)是一种非常不安全的通讯媒介,很容易被骗,就像上面的“Maxis”示例一样。由于对特定短代码和名称给予豁免,因此骗子现在似乎足够聪明,可以欺骗这些列入白名单的发件人ID,以发送包含URL的诈骗短讯。
企业可以选择采用更新、更安全的渠道发布通知,例如提供经过验证的企业账户的WhatsApp。或者,他们可以通过自己的官方应用程序(类似于银行、电子钱包和数码银行)集成通知和验证。
