主な要点
SMS スプーフィングは、心理操作に依存して被害者をだまして送金させたり、機密情報を共有させたりする一種の詐欺です。
攻撃者は送信者の ID を変更して、SMS メッセージを信頼できる送信元から送信されているかのように見せかけます。
なりすましのSMSを受信したことがありますか?事件を直ちに法執行機関に報告してください。
SMS スプーフィングについて、また暗号通貨や個人データを攻撃者から保護する方法について学びましょう。
詐欺業界のトレンドは他のどこよりも早く変化します。以前は、ナイジェリア王子の電子メール詐欺が大流行していました。今日、それは SMS スプーフィング攻撃です。
ハッカーがコードを使用してユーザー データベースに侵入しようとするエクスプロイトとは異なり、SMS スプーフィング攻撃は主に心理的な操作を使用します。つまり、詐欺師は信頼できる情報源を装い、疑いを持たない被害者を騙して送金させたり、ウォレットの詳細などの機密情報を共有させたりしようとします。
この記事では、SMS スプーフィング攻撃の仕組み、攻撃者がユーザーを標的にするさまざまな方法、ユーザーが資金を保護する方法について説明します。
SMS スプーフィングはどのように機能しますか?
攻撃者は送信者の身元(受信者の電話に表示される名前または電話番号)を変更し、テキスト メッセージが信頼できるソースから送信されたように見せかけます。目的は、被害者を騙してメッセージの指示に従わせることです。
なりすましの SMS は、改ざんされた名前、電話番号、またはその両方で携帯電話の受信トレイに届くことがあります。たとえば、「Binance」から表示されるテキストは、マルウェアをダウンロードさせたり、アカウントの詳細を共有させたり、悪意のあるリンクをクリックさせたりしようとする詐欺師である可能性があります。
残念ながら、SMS のなりすましを可能にする仕組みは、世界の多くの地域で法的にグレーゾーンにあります。一部の国ではこの行為を全面的に禁止していますが、他の国では SMS 送信者の ID を変更する悪用についてまだ対処していません。
実際、受信者側に表示される送信者の名前を変更する正当な使用例がいくつかあります。たとえば、企業が SMS マーケティング キャンペーンを実施し、メイン ブランドや電話番号の代わりにサブブランド ID を使用する場合などです。
SMS スプーフィングを識別して回避するにはどうすればよいでしょうか?
業界をリードするセキュリティ インフラストラクチャであっても、ハッカーにパスワードを自発的に送信したユーザーを保護することはほとんどできません。第一の防御線は常にユーザーです。資金を安全に保ちたい場合は、常に警戒を怠らず、次のことを習慣にしてください。
1. 受信メッセージを確認する
応答する前に、受信メッセージの送信元を必ず再確認してください。迷惑メッセージや疑わしいメッセージには注意してください。Binance 固有のメッセージを確認するには、Binance Verify ツールを使用するか、メッセージのスクリーンショットをサポート チームに送信します。その他のサービスについては、公式 Web サイトまたはその他の信頼できるチャネルを介して、関連するプラットフォームに直接メッセージを送信する必要があります。
2. 2要素認証を有効にする
2FA コードを正しく使用すると、アカウントを保護するのに役立ちます。2FA コードは公式 Web サイトでのみ入力し、2FA メッセージを必ず再確認して、何に使用されているかを確認してください。
3. 個人情報を共有しない
特に未確認の連絡先とは、テキスト メッセージを通じて機密情報 (パスワード、クレジットカード番号、社会保障番号、その他の政府発行の識別子など) を共有しないでください。
4. 疑わしいリンクを避ける
テキスト メッセージで送信されたリンクは、その正当性を確認せずにクリックしないでください。リンクをクリックすると、ログイン認証情報を盗んだり、デバイスにマルウェアをインストールしようとするフィッシング Web サイトにつながる可能性があります。
「ロックなし」のシンボルや暗号化されていない URL(HTTPS ではなく HTTP)のあるサイトにはアクセスしないでください。クリックする前に必ず URL を確認してください。必ず公式ウェブサイトのみを使用してください。たとえば、Binance 関連のリンク、メール、電話番号、WeChat ID、Twitter ハンドル、または Telegram ID が公式かどうかわからない場合は、Binance Verify で確認できます。
暗号資産を保護する方法に関する一般的な情報については、FAQ または Binance Academy のセキュリティ セクションをご覧ください。
以下は、Binance と提携しているように見せかけている、私たちが特定した疑わしい Web サイトのリストです。これらはすべて避けてください。ドメイン名からも、作成者がユーザーを騙そうとしている「偽の Binance」 Web サイトがどのようなものかがわかります。
SMSスプーフィングの種類
SMS なりすまし攻撃は、そのターゲットや仕組みがさまざまです。すべてに共通するのは、実際の送信者の番号や名前が置き換えられ、詐欺師が別の人物として現れることです。なりすまし SMS で攻撃される一般的なシナリオには、送金や嫌がらせのなりすましなどがあります。
前者の場合、詐欺師は Binance のような正当な金融サービス プロバイダーになりすまし、たとえば偽のキャッシュバック取引について被害者にテキスト メッセージを送ります。このようなメッセージは通常、受信者に QR コードをスキャンするか、リンクにアクセスしてキャッシュバックを請求するように指示します。
SMS スプーフィングは、知らない番号やランダムな名前で脅迫メッセージや不適切なメッセージを送信して被害者を威嚇しようとするストーカーやネットいじめにも使用されます。
SMSスプーフィング攻撃の実際の例
例1: 偽の2FAメッセージ
ジャックというユーザーは、「[Binance] ユーザーはアカウントが無効にならないように Web 3.0 にアップグレードする必要があります。Bianenc.net」というメッセージを受け取ります。
ジャックは、送信者が「Binance」であること、そしてそのメッセージが、通常 2FA コードを受け取るのと同じチャネルから送信されたことを知りました。ジャックはこれが公式メッセージであると想定し、フィッシング Web サイトにログインして、詐欺師に自分のアカウントの詳細を渡しました。
例2.「退会のキャンセル」
ブラッドというユーザーが、「Binance」の送信者アドレスを持つ誰かからSMSメッセージを受け取ります。メッセージはブラッドに「現在の引き出しをキャンセル」するように促します。ブラッドはメッセージが正式なものだと信じ、フィッシングWebサイトにログインします。
ハッカーはブラッドのユーザー名、パスワード、2FAを利用してBinanceの公式ウェブサイトにログインし、現金引き出しを開始しました。
この例では、ユーザーは次の 2 つの操作に失敗しました。
Binance Verifyでリンクを検証します。
実際の 2FA メッセージを再確認してください。2FA コードは引き出しをキャンセルするためではなく、引き出しを開始するために使用されていることが実際に示されています。
例3. アカウントの「確認」または「アップグレード」
多くのユーザーから、アカウントの確認またはアップグレードのためのリンクが記載されたなりすましの SMS を受信したという報告が寄せられています。メッセージに説明されているように、必要なアクションを実行しないとアカウントがブロックされます。実際には、テキスト メッセージ内のリンクは、アカウントの詳細を盗むために設計されたフィッシング Web サイトにつながります。これらのテキスト メッセージ内のドメインは、正当な企業を装っていることに注意してください。
なりすましのSMSに狙われたら
誰かがなりすましの SMS を送信した疑いがある場合は、直ちに関係する法執行機関に連絡してください。なりすましの SMS が Binance 関連のものである場合は、Binance サポート チームにも報告してください。
アカウントが侵害された場合は、クレジットカードと銀行口座を凍結するだけでなく、犯罪者があなたの名前で新しいアカウントを開設するのを防ぐために、クレジットを凍結してください。資産を保護するために、この FAQ ガイドの手順に従ってアカウントを無効にすることも必要です: Binance アカウントを無効にする方法。
一見正当に思える相手であっても、Binance アカウントの詳細、2FA コード、または財務情報をテキストで送信しないでください。SMS スプーフィングの他に、詐欺師は電子メールやその他のチャネルを通じて詐欺を企てる可能性もあります。
Binance Verify で Binance 関連のドメインを再確認してください。ただし、このツールは完璧ではないことに注意してください。何かおかしいと感じた場合は、注意が必要です。