O que é falsificação de SMS e como evitar

A falsificação de SMS (em inglês, SMS Spoofing) é um ataque cibernético comum. Os fraudadores usam software especializado para manipular o ID do remetente do SMS, fazendo com que a mensagem pareça ser proveniente de uma fonte legítima. Dessa forma, podem roubar informações sensíveis ou baixar malware nos celulares dos destinatários.

Tipos de falsificação de SMS

Pode ser difícil distinguir entre mensagens legítimas e falsas. Para se proteger, é crucial manter a vigilância e a cautela ao responder SMS não solicitado. Aqui alguns exemplos comuns de falsificação de SMS:

• ID do remetente falso

O tipo mais comum de falsificação é substituir o ID do remetente por um número ou nome comercial confiável. Por exemplo, os golpistas se passariam por Binance ou TrustWallet para enviar SMS de phishing. Estas mensagens SMS seriam agrupadas no mesmo tópico que as mensagens oficiais, como os códigos 2FA. Isso ocorre porque os hackers usaram a falsificação de SMS para manipular o ID do remetente e disfarçar a origem verdadeira da mensagem.

• Transferência de dinheiro falsa

Os golpistas alegariam que o destinatário ganhou um prêmio. Eles então pediriam os dados bancários do destinatário para poderem depositar os ganhos ou visitar um link para resgatar o prêmio.

• Assédio

Isso envolve o envio de mensagens ameaçadoras ou inapropriadas para intimidar as vítimas, na esperança de extorquir dinheiro delas. Por exemplo, ameaçar banir a conta do usuário. Muitas vezes, os hackers tiram proveito do seu medo de perder ativos. Nesta situação, você deve manter a calma e verificar a mensagem antes de agir.

Como evitar a falsificação de SMS?

• Verifique as mensagens recebidas: sempre verifique a origem de uma mensagem recebida antes de responder. Seja cauteloso com quaisquer mensagens não solicitadas ou que pareçam suspeitas. Em caso de dúvida, entre em contato com o Serviço de Atendimento ao Cliente da Binance para verificar a identidade do remetente.
• Ativar a autenticação de dois fatores (2FA): a autenticação 2FA adiciona uma camada extra de segurança às suas contas, dificultando o acesso de hackers por meio de falsificação de SMS.
• Não compartilhar informações pessoais: nunca compartilhe informações confidenciais (por exemplo, senhas, números de cartão de crédito e números de seguro social) por meio de mensagens de texto, especialmente com contatos não verificados.
• Não clique em nenhum link suspeito: não clique em nenhum link enviado a você por mensagem de texto sem verificar sua legitimidade. Os links podem levar a sites de phishing que tentam roubar suas credenciais de login ou instalar malware em seu dispositivo. Certifique-se de usar apenas sites oficiais. Por exemplo, se você não tiver certeza se um link, e-mail, número de telefone, ID do WeChat, identificador do Twitter ou ID do Telegram relacionado à Binance é oficial, você pode verificá-lo na Verificação Binance.

Por exemplo, aqui está uma lista de sites de phishing suspeitos que se fazem passar pela Binance.

Exemplos de falsificação de SMS

1. Notificação falsa de atualização de conta

Um usuário da Binance recebeu um SMS com o nome de remetente “Binance”, solicitando que atualizasse sua conta para continuar usando o serviço Binance.

Os hackers usaram software especializado para manipular o ID do remetente do SMS, fazendo com que o SMS falso parecesse vir legitimamente da Binance. Como o SMS falso estava sob o mesmo tópico que as mensagens de código 2FA oficiais, o usuário assumiu que a mensagem era verdadeira. Depois de efetuar login no site de phishing, as credenciais da conta do usuário foram roubadas por hackers.

2. Pedido falso de cancelamento de saque

Outro usuário da Binance recebeu um SMS falso para confirmar um saque. O usuário achou que a mensagem era verdadeira e fez login em sua conta no site de phishing para “cancelar a solicitação de saque”.

Após obter as credenciais do usuário, o hacker inicia um pedido de saque da conta e orienta o usuário a inserir o código 2FA no site de phishing. Depois que o usuário inseriu o código, o hacker sacou os ativos do usuário com sucesso.

Algumas lições aprendidas com este exemplo:

• O usuário não verificou o URL do site. Sempre verifique o link recebido na Verificação Binance antes de acessar.
• O usuário pensou que o código 2FA seria usado para cancelar solicitações de saque. Porém, se tivesse verificado cuidadosamente a mensagem, teria notado que o código 2FA se destinava a confirmar um pedido de saque. Portanto, verifique cuidadosamente ao receber uma mensagem de código 2FA. Sempre confirme o uso do código 2FA antes de inseri-lo.

3. Verificação de conta falsa

Vários usuários da Binance receberam um SMS com um link para verificar ou atualizar suas contas, o que foi uma tentativa de phishing para roubar as credenciais de suas contas.