要点
SMS スプーフィングは、ソーシャル エンジニアリングを利用して被害者をだまして送金させたり、機密情報を共有させたりする詐欺の一種です。
攻撃者は送信者の ID を変更して、SMS メッセージを信頼できる送信元から送信されたかのように見せかけます。
なりすましSMSを受信していませんか?直ちに事件を法執行機関に報告してください。
SMS スプーフィングについて、また暗号通貨や個人データを攻撃者から保護する方法について学びましょう。
詐欺業界のトレンドは、他の業界と同じように急速に変化します。以前は、ナイジェリア王子の電子メール詐欺が非常に人気がありました。現在、最も一般的な詐欺は SMS スプーフィング攻撃です。
ハッカーがコードを使用してユーザー データベースに侵入しようとするエクスプロイトとは対照的に、SMS スプーフィング攻撃は主にソーシャル エンジニアリングを使用します。これは、詐欺師が信頼できる情報源になりすまして、何も疑っていない被害者をだまして送金させたり、財布の詳細などの機密情報を共有させようとしたりすることを意味します。
この記事では、SMS スプーフィング攻撃の仕組み、攻撃者があなたを狙うさまざまな方法、およびユーザーとして資金を保護する方法について説明します。
SMS スプーフィングはどのように機能しますか?
攻撃者は、送信者の ID (受信者の電話に表示される名前または電話番号) を変更して、テキスト メッセージを信頼できる送信元から送信されたかのように見せかけます。目的は、被害者をだましてメッセージの指示に従わせることです。
なりすまし SMS は、偽の名前または電話番号、またはその両方を使用して携帯電話の受信トレイに送信される可能性があります。たとえば、「Binance」から表示されるテキストは、マルウェアをダウンロードさせたり、アカウントの詳細を共有させたり、悪意のあるリンクをクリックさせたりしようとする詐欺師からのものである可能性があります。
残念ながら、SMS スプーフィングを可能にするメカニズムは、世界の多くの地域で法的にグレーゾーンにあります。この行為を完全に禁止している国もあれば、SMS 送信者の ID 変更の悪用にまだ対処していない国もあります。
実際、受信側に表示される送信者の名前を変更する正当な使用例がいくつかあります。たとえば、企業は SMS マーケティング キャンペーンを実行し、メイン ブランドや電話番号の代わりにサブブランド アイデンティティを使用する場合があります。
SMS スプーフィングを認識して回避するにはどうすればよいですか?
業界をリードするセキュリティ インフラストラクチャであっても、ハッカーに自発的にパスワードを送信するユーザーを保護することはほとんどできません。防御の最前線は常にユーザーです。資金を安全に保管したい場合は、常に警戒を怠らず、次のことを習慣にする必要があります。
1. 受信メッセージを確認する
応答する前に、受信メッセージの送信元を必ず再確認してください。予期しないメッセージや不審なメッセージには注意してください。 Binance カスタム メッセージを検証するには、Binance Verify ツールを使用するか、メッセージのスクリーンショットを サポート チーム に送信します。他のサービスの場合は、公式 Web サイトまたはその他の信頼できるチャネルを介して、それぞれのプラットフォームに直接メッセージを送信する必要があります。
2. 2要素認証を有効にする
2 要素認証 (2FA) は、SMS スプーフィングなどを通じたアカウントへのアクセスを試みる攻撃者に対するセキュリティ層を追加します。 2FA をサポートするすべてのアカウントで常に 2FA を有効にします。
正しく使用すれば、2FA コードはアカウントの保護に役立ちます。公式ウェブサイトでは 2FA コードのみを入力してください。 2FA メッセージが何に使用されているかを必ず再確認してください。
3. 個人情報を共有しないでください
特に未確認の連絡先とテキスト メッセージを介して機密情報 (パスワード、クレジット カード番号、社会保障番号、その他の政府発行の識別子など) を共有することは避けてください。
4. 疑わしいリンクを避ける
最初に正当性を確認せずに、テキスト メッセージで送信されたリンクをクリックしないでください。このリンクは、ログイン資格情報を盗んだり、デバイスにマルウェアをインストールしようとするフィッシング Web サイトにつながる可能性があります。
「鍵なし」マークのあるサイトや暗号化されていない URL (HTTPS ではなく HTTP) にアクセスしないでください。クリックする前に必ず URL を確認してください。公式ウェブサイトのみを使用するようにしてください。たとえば、Binance に関連付けられているリンク、電子メール、携帯電話番号、WeChat ID、Twitter アカウント、または Telegram ID が公式のソースからのものであるかどうか不明な場合は、Binance Verify
暗号資産を保護する方法に関する一般的な情報については、FAQ または Binance Academy のセキュリティ セクションをご覧ください。
以下は、Binance と提携しているかのように見せかけようとする、私たちが特定した不審な Web サイトのリストです。これらの Web サイトはすべて避けてください。このドメイン名からは、ユーザーを誤解させようとする「偽のバイナンス」Web サイトがどのようなものであるかがわかります。
SMS スプーフィングの種類
SMS スプーフィング攻撃のターゲットとメカニズムはさまざまです。これに相当するのは、実際の送信者の番号または名前が置き換えられ、詐欺師が別人のように見えることです。誰かが SMS スプーフィングであなたをターゲットにする一般的なシナリオには、送金や嫌がらせのスプーフィングが含まれます。
最初のケースでは、詐欺師はバイナンスなどの正規の金融サービスプロバイダーになりすまして、偽のキャッシュバック取引などに関する短いメッセージを被害者に送信します。このようなメッセージは通常、受信者に QR コードをスキャンするかリンクにアクセスしてキャッシュバックを請求するよう求めます。
SMS スプーフィングは、未知の番号またはランダムに名前を付けられた番号から脅迫的または不適切なメッセージを送信して被害者を脅迫しようとするストーカーやネットいじめにも使用されます。
SMS スプーフィング攻撃の実例
例 1: 偽の 2FA メッセージ
あるユーザー (ジャックと呼びます) は、「[Binance] ユーザーはアカウントが無効にならないように Web 3.0 をアップグレードする必要があります。Bianenc.net」というメッセージを受け取りました。
ジャックは、送信者が「Binance」であり、メッセージが通常 2FA コードを受信しているのと同じチャネルから送信されていることに気付きました。ジャックはこれが正当なメッセージであると考え、フィッシング Web サイトにログインし、自分のアカウントの詳細を詐欺師に渡します。
例2.「退会キャンセル」
ユーザー (ブラッドと呼ぶことにします) は、返信アドレスが「Binance」である誰かから SMS メッセージを受け取りました。このメッセージはブラッドに「現時点での撤退をキャンセルする」よう思い出させた。ブラッドはメッセージが公式のものであると信じて、フィッシング Web サイトにログインしました。
ハッカーはブラッドのユーザー名、パスワード、2FA を使用してバイナンスの公式 Web サイトにログインし、現金を引き出しました。
この例では、ユーザーは次の 2 つのことを実行できませんでした。
Binance Verify のリンクを確認します。
実際の 2FA メッセージを再確認してください。これには、2FA コードがキャンセルではなく出金に使用されるという情報が実際に含まれています。
例 3. アカウントの「確認」または「アップグレード」
多くのユーザーが、アカウントを確認またはアップグレードするためのリンクを含むなりすまし SMS を受信したと報告しています。メッセージで説明されているように、必要なアクションを実行できない場合、アカウントはブロックされます。実際には、テキスト メッセージ内のリンクは、アカウントの詳細を盗むことを目的としたフィッシング Web サイトにつながります。これらのテキスト メッセージ内のドメインは、正当な企業であるかのように見せようとしていることに注意してください。
SMSなりすましの標的になった場合
誰かがなりすまし SMS を送信した疑いがある場合は、直ちに関連する法執行機関に連絡してください。 SMS スプーフィングが Binance に関連している場合は、Binance サポート チームにもレポートを提出してください。
アカウントが侵害された場合は、クレジット カードと銀行口座を凍結し、犯罪者があなたの名前で新しい口座を開設できないようにします。資産を保護するには、この FAQ ガイドの手順に従ってアカウントを無効にする必要があります: Binance アカウントを無効にする方法。
たとえそれを要求した人が一見正当であるように見えても、Binance アカウントの詳細、2FA コード、または財務情報を決して他人に送信しないでください。 SMS スプーフィングに加えて、詐欺師は電子メールやその他のチャネルを通じてユーザーをだまそうとする場合もあります。
Binance Verify で Binance に関連付けられたドメインを再確認します。ただし、このツールは詐欺から解放されることを保証するものではないことに注意してください。まだ何かがおかしいと感じた場合は注意が必要です。