Poin Utama
Spoofing SMS adalah jenis penipuan yang mengandalkan manipulasi psikologis untuk menipu korban agar mengirimkan uang atau membagikan informasi sensitif.
Penyerang mengubah identitas pengirimnya untuk membuat pesan SMS tampak seolah-olah berasal dari sumber tepercaya.
Apakah Anda menerima SMS spoofing? Segera laporkan kejadian tersebut kepada penegak hukum.
Pelajari tentang spoofing SMS dan cara melindungi kripto dan data pribadi Anda dari penyerang.
Tren di industri penipuan berubah sama cepatnya dengan di industri lainnya. Sebelumnya, penipuan email pangeran dari Nigeria sangat populer. Saat ini, penipuan yang marak adalah serangan spoofing SMS.
Berbeda dengan eksploitasi, yaitu upaya peretas yang mencoba menggunakan kode untuk masuk ke database pengguna, serangan spoofing SMS utamanya menggunakan manipulasi psikologis. Artinya, penipu akan mencoba menyamar sebagai sumber tepercaya untuk menipu korban yang tidak menaruh curiga untuk mengirim uang atau membagikan informasi sensitif, seperti detail dompet.
Dalam artikel ini, kita akan membahas mekanisme serangan spoofing SMS, berbagai cara penyerang dapat mengincar Anda, dan cara Anda sebagai pengguna dapat melindungi dana Anda.
Bagaimana Cara Kerja Spoofing SMS?
Penyerang memodifikasi identitas pengirimnya (nama atau nomor ponsel yang muncul di ponsel penerima) untuk membuat pesan teksnya tampak seolah-olah berasal dari sumber tepercaya. Tujuannya adalah untuk mengelabui korban agar mengikuti instruksi dalam pesan tersebut.
SMS spoofing dapat dikirim ke kotak masuk ponsel Anda dengan nama atau nomor ponsel palsu, atau keduanya. Misalnya, teks yang muncul dari "Binance" mungkin berasal dari penipu yang mencoba mengelabui Anda agar mengunduh malware, membagikan detail akun, atau mengklik tautan berbahaya.
Sayangnya, mekanisme yang memungkinkan spoofing SMS berada di wilayah abu-abu hukum di banyak wilayah di dunia. Beberapa negara telah langsung melarang praktik tersebut, sedangkan yang lain belum membahas penyalahgunaan dari pengubahan identitas pengirim SMS.
Faktanya, ada beberapa contoh penggunaan yang sah untuk mengubah nama pengirim seperti yang muncul di pihak penerima. Misalnya, perusahaan mungkin menjalankan kampanye pemasaran SMS dan menggunakan identitas sub-merek, bukan merek atau nomor telepon utama.
Bagaimana Cara Mengenali dan Menghindari Spoofing SMS?
Infrastruktur keamanan terdepan di industri pun tidak dapat berbuat banyak untuk melindungi pengguna yang dengan sukarela mengirimkan kata sandinya kepada peretas. Garis pertahanan pertama adalah selalu pengguna. Jika Anda ingin menyimpan dana dengan aman, Anda harus tetap waspada setiap saat dan menjadikan praktik berikut sebagai kebiasaan.
1. Verifikasikan pesan masuk
Selalu periksa ulang sumber pesan masuk sebelum merespons. Berhati-hatilah terhadap pesan yang tidak diharapkan atau pesan yang tampak mencurigakan. Anda dapat memverifikasi pesan khusus Binance dengan menggunakan alat Binance Verify atau dengan mengirimkan tangkapan layar pesan tersebut kepada tim dukungan kami. Untuk layanan lain, Anda harus mengirim pesan kepada platform terkait secara langsung melalui situs web resminya atau saluran tepercaya lainnya.
2. Aktifkan autentikasi dua faktor
Autentikasi dua faktor (2FA) menambahkan lapisan keamanan ekstra dari penyerang yang mencoba mendapatkan akses ke akun Anda, termasuk melalui spoofing SMS. Selalu aktifkan 2FA untuk setiap akun yang mendukungnya.
Jika digunakan dengan benar, kode 2FA dapat membantu melindungi akun Anda. Hanya masukkan kode 2FA Anda di situs web resmi. Pastikan Anda memeriksa ulang pesan 2FA untuk mengetahui tujuan penggunaan pesan tersebut.
3. Jangan bagikan informasi pribadi
Hindari berbagi informasi sensitif (misalnya, kata sandi, nomor kartu kredit, nomor jaminan sosial, dan pengenal lain yang diterbitkan pemerintah) melalui pesan teks, terutama dengan kontak yang belum diverifikasi.
4. Hindari tautan yang mencurigakan
Jangan mengklik tautan apa pun yang dikirimkan kepada Anda melalui pesan teks tanpa memverifikasi keabsahannya terlebih dahulu. Tautan tersebut dapat mengarah ke situs web phishing yang mencoba mencuri kredensial masuk Anda atau menginstal malware pada perangkat Anda.
Jangan mengakses situs dengan simbol "Tanpa Kunci" atau URL yang tidak terenkripsi (HTTP, bukan HTTPS). Selalu periksa URL sebelum mengklik. Pastikan Anda hanya menggunakan situs web resmi. Misalnya, jika Anda tidak yakin apakah suatu tautan, email, nomor ponsel, ID WeChat, akun Twitter, atau ID Telegram yang terkait dengan Binance berasal dari sumber yang resmi, Anda dapat memverifikasinya di Binance Verify.
Untuk mengetahui informasi umum tentang cara melindungi dana kripto, Anda dapat menjelajahi bagian keamanan di FAQ kami atau Binance Academy.
Berikut adalah daftar situs web mencurigakan yang telah kami identifikasi yang mencoba terlihat seolah-olah berafiliasi dengan Binance. Hindari semua situs web ini. Nama domainnya juga memberikan gambaran mengenai tampilan situs web "Binance palsu" yang mencoba menyesatkan pengguna.
Jenis-Jenis Spoofing SMS
Sasaran dan mekanisme serangan spoofing SMS dapat berbeda-beda. Persamaannya adalah nomor atau nama pengirim yang sebenarnya diganti, sehingga para penipu dapat muncul sebagai orang lain. Skenario umum tentang cara seseorang dapat mengincar Anda dengan SMS spoofing mencakup transfer uang dan spoof pelecehan.
Dalam kasus yang pertama, penipu akan menyamar sebagai penyedia layanan keuangan yang sah, seperti Binance, lalu mengirim pesan singkat kepada korban, misalnya tentang transaksi cashback palsu. Pesan semacam itu biasanya meminta penerima untuk memindai kode QR atau mengakses tautan untuk mengeklaim cashback.
Spoofing SMS juga digunakan oleh penguntit dan perundung di dunia maya yang ingin mengintimidasi korbannya dengan mengirimkan pesan yang mengancam atau tidak pantas dari nomor yang tidak dikenal atau nomor bernama acak.
Contoh Nyata dari Serangan Spoofing SMS
Contoh 1: Pesan 2FA Palsu
Seorang pengguna, sebut saja Jack, menerima pesan yang berbunyi, "[Binance] Pengguna perlu meningkatkan Web 3.0 agar akunnya tidak dinonaktifkan. Bianenc.net"
Jack melihat bahwa pengirimnya adalah "Binance" dan bahwa pesan tersebut berasal dari saluran yang sama dengan tempat dia biasanya menerima kode 2FA-nya. Jack menganggap ini adalah pesan resmi, lalu dia masuk ke situs web phishing tersebut, dan memberikan detail akunnya kepada penipu.
Contoh 2. "Pembatalan Penarikan"
Seorang pengguna, sebut saja Brad, menerima pesan SMS dari seseorang dengan alamat pengirim "Binance". Pesan itu mengingatkan Brad untuk "membatalkan penarikannya saat ini." Karena percaya bahwa pesan tersebut resmi, Brad masuk ke situs web phishing tersebut.
Peretas berhasil menggunakan nama pengguna, kata sandi, dan 2FA Brad untuk masuk ke situs web resmi Binance, lalu melakukan penarikan tunai.
Dalam contoh ini, pengguna gagal melakukan dua hal:
Memverifikasi tautan tersebut di Binance Verify.
Memeriksa kembali pesan 2FA sebenarnya yang benar-benar berisi informasi bahwa kode 2FA tersebut digunakan untuk melakukan penarikan, bukan untuk membatalkannya.
Contoh 3. "Verifikasi" atau "Tingkatkan" Akun
Banyak pengguna kami telah melaporkan menerima spoofing SMS yang berisi tautan untuk memverifikasi atau meningkatkan akun mereka. Seperti yang dijelaskan dalam pesan tersebut, akun akan diblokir jika gagal melakukan tindakan yang diperlukan. Pada kenyataannya, tautan dalam pesan teks tersebut mengarah ke situs web phishing yang dirancang untuk mencuri detail akun. Perhatikan bahwa domain dalam pesan-pesan teks ini mencoba tampak seperti perusahaan yang sah.
Jika Anda Menjadi Sasaran Spoofing SMS
Jika Anda mencurigai seseorang telah mengirim spoofing SMS kepada Anda, segera hubungi otoritas penegak hukum terkait. Jika spoofing SMS tersebut berkaitan dengan Binance, silakan kirimkan juga laporan kepada tim Dukungan Binance.
Jika akun Anda telah disusupi, bekukan kartu kredit dan rekening bank Anda, serta bekukan kredit Anda untuk mencegah penjahat membuka akun baru atas nama Anda. Untuk melindungi aset, Anda juga harus menonaktifkan akun Anda dengan mengikuti langkah-langkah dalam panduan FAQ ini: Cara Menonaktifkan Akun Binance Saya.
Jangan pernah mengirimkan detail akun Binance, kode 2FA, atau informasi keuangan Anda kepada siapa pun, sekalipun pihak yang memintanya sekilas tampak sah. Selain spoofing SMS, penipu juga dapat mencoba mengelabui Anda melalui email atau saluran lain.
Periksa kembali domain yang terkait dengan Binance di Binance Verify. Namun, harap diperhatikan bahwa alat ini tidak menjamin bahwa Anda akan bebas dari penipuan. Anda tetap harus berhati-hati jika merasa ada hal yang tidak benar.
