Główne dania na wynos
Podszywanie się pod SMS-y to rodzaj oszustwa polegającego na manipulacji psychologicznej mającej na celu oszukanie ofiary w celu przesłania pieniędzy lub udostępnienia poufnych informacji.
Atakujący modyfikują swoją tożsamość nadawcy, aby wiadomość SMS wyglądała tak, jakby pochodziła z zaufanego źródła.
Czy otrzymałeś sfałszowaną wiadomość SMS? Natychmiast zgłoś zdarzenie organom ścigania.
Dowiedz się o fałszowaniu SMS-ów i o tym, jak chronić swoje dane kryptograficzne i osobiste przed atakującymi.
Trendy w branży oszustw zmieniają się tak szybko, jak gdziekolwiek indziej. Wcześniej modne były oszustwa e-mailowe związane z nigeryjskimi książętami; dziś są to ataki polegające na fałszowaniu wiadomości SMS.
W przeciwieństwie do exploitów, w których haker próbuje użyć kodu do włamania się do bazy danych użytkowników, ataki polegające na fałszowaniu SMS-ów wykorzystują przede wszystkim manipulację psychologiczną. Oznacza to, że oszust będzie próbował udawać zaufane źródło, próbując oszukać niczego niepodejrzewające ofiary, aby wysłały pieniądze lub udostępniły poufne informacje, takie jak dane portfela.
W tym artykule omówimy, jak działają ataki polegające na fałszowaniu wiadomości SMS, różne sposoby, w jakie atakujący mogą Cię obrać za cel, oraz jak Ty, jako użytkownik, możesz chronić swoje środki.
Jak działa fałszowanie SMS-ów?
Osoba atakująca modyfikuje tożsamość nadawcy (imię i nazwisko lub numer telefonu widoczny na telefonie odbiorcy), aby wiadomość tekstowa wyglądała tak, jakby pochodziła z zaufanego źródła. Celem jest nakłonienie ofiary do wykonania instrukcji zawartych w wiadomości.
Sfałszowany SMS może wylądować w skrzynce odbiorczej Twojego telefonu pod sfałszowanym nazwiskiem, numerem telefonu lub jednym i drugim. Na przykład wiadomość pojawiająca się na stronie „Binance” może oznaczać oszusta próbującego oszukać Cię w celu pobrania złośliwego oprogramowania, udostępnienia danych konta lub kliknięcia złośliwego łącza.
Niestety mechanizmy umożliwiające fałszowanie SMS-ów znajdują się w szarej strefie prawnej w wielu regionach świata. Niektóre kraje całkowicie zakazały tej praktyki, podczas gdy inne nie zajęły się jeszcze nadużyciami polegającymi na zmianie tożsamości nadawcy SMS-ów.
W rzeczywistości istnieją pewne uzasadnione przypadki użycia zmiany nazwy nadawcy wyświetlanej po stronie odbiorcy. Na przykład firma może prowadzić kampanię marketingową SMS i używać tożsamości podmarki zamiast głównej marki lub numeru telefonu.
Jak rozpoznać i uniknąć fałszowania SMS-ów?
Nawet wiodąca w branży infrastruktura bezpieczeństwa niewiele może zrobić, aby chronić użytkownika, który dobrowolnie wysyła swoje hasło hakerowi. Pierwszą linią obrony jest zawsze użytkownik. Jeśli chcesz chronić swoje fundusze, powinieneś przez cały czas zachować czujność, wprowadzając następujące praktyki jako nawyk.
1. Sprawdź przychodzące wiadomości
Zawsze dokładnie sprawdzaj źródło przychodzącej wiadomości przed udzieleniem odpowiedzi. Zachowaj ostrożność w przypadku niechcianych wiadomości lub tych, które wydają się podejrzane. Możesz zweryfikować wiadomości specyficzne dla Binance, korzystając z narzędzia Binance Verify lub wysyłając zrzut ekranu wiadomości do naszego zespołu wsparcia. W przypadku innych usług należy wysłać wiadomość do odpowiedniej platformy bezpośrednio za pośrednictwem jej oficjalnej strony internetowej lub innych zaufanych kanałów.
2. Włącz uwierzytelnianie dwuskładnikowe
Uwierzytelnianie dwuskładnikowe (2FA) zapewnia dodatkową warstwę zabezpieczeń przed atakującymi próbującymi uzyskać dostęp do Twoich kont, w tym poprzez fałszowanie SMS-ów. Zawsze włączaj 2FA dla każdego konta, które je obsługuje.
Prawidłowe użycie kodów 2FA może pomóc chronić Twoje konto. Wpisuj swoje kody 2FA tylko na oficjalnych stronach internetowych i pamiętaj o ponownym sprawdzeniu wiadomości 2FA, aby zobaczyć, do czego jest używana.
3. Nie udostępniaj danych osobowych
Unikaj udostępniania poufnych informacji (np. haseł, numerów kart kredytowych, numerów ubezpieczenia społecznego i innych identyfikatorów wydanych przez rząd) za pośrednictwem wiadomości tekstowych, zwłaszcza niezweryfikowanym kontaktom.
4. Unikaj podejrzanych linków
Nie klikaj żadnych linków przesyłanych do Ciebie SMS-em bez uprzedniego sprawdzenia ich autentyczności. Linki mogą prowadzić do witryn phishingowych, które próbują ukraść dane logowania lub zainstalować złośliwe oprogramowanie na Twoim urządzeniu.
Nie wchodź na strony z symbolami „Bez blokady” lub niezaszyfrowanymi adresami URL (HTTP zamiast HTTPS); zawsze sprawdź adres URL przed kliknięciem. Pamiętaj, aby korzystać wyłącznie z oficjalnych witryn internetowych. Na przykład, jeśli nie masz pewności, czy link, adres e-mail, numer telefonu, identyfikator WeChat, login na Twitterze lub identyfikator Telegramu związany z Binance są oficjalne, możesz to sprawdzić w Binance Verify.
Aby uzyskać ogólne informacje na temat ochrony swoich środków kryptograficznych, możesz zapoznać się z sekcjami bezpieczeństwa w naszych często zadawanych pytaniach lub w Akademii Binance.
Oto lista podejrzanych witryn, które zidentyfikowaliśmy i które próbują wyglądać, jakby były powiązane z Binance. Trzymaj się z daleka od nich wszystkich. Nazwy ich domen dają również wyobrażenie o tym, jak może wyglądać „fałszywa witryna Binance”, której twórcy próbują wprowadzić użytkowników w błąd.
Rodzaje fałszowania SMS-ów
Ataki polegające na fałszywych wiadomościach SMS mogą różnić się celami i mechaniką. Łączy je to, że numer lub nazwa prawdziwego nadawcy zostaje zastąpiona, co pozwala oszustom na podszywanie się pod kogoś innego. Typowe scenariusze, w których ktoś może zaatakować Cię sfałszowaną wiadomością SMS, obejmują przelewy pieniężne i fałszywe informacje dotyczące nękania.
W pierwszym przypadku oszuści podszywają się pod legalnego dostawcę usług finansowych, takiego jak Binance, i wysyłają do ofiar SMS-y dotyczące na przykład fałszywej transakcji zwrotu pieniędzy. Takie wiadomości zazwyczaj instruują odbiorców, aby zeskanowali kod QR lub uzyskali dostęp do linku umożliwiającego odebranie zwrotu pieniędzy.
Podszywanie się pod SMS-y jest również wykorzystywane przez prześladowców i cyberprzestępców, którzy chcą zastraszyć swoje ofiary, wysyłając groźne lub nieodpowiednie wiadomości z nieznanych numerów lub pod przypadkowymi nazwiskami.
Prawdziwe przykłady ataków polegających na fałszowaniu wiadomości SMS
Przykład 1: Fałszywa wiadomość 2FA
Użytkownik, którego nazwiemy Jack, otrzymuje wiadomość o następującej treści: „Użytkownicy [Binance] muszą zaktualizować Web 3.0, aby uniknąć wyłączania kont. Bianenc.net”
Jack widzi, że nadawcą jest „Binance” i że wiadomość przeszła tym samym kanałem, z którego zazwyczaj otrzymuje swoje kody 2FA. Jack zakłada, że jest to oficjalna wiadomość i loguje się na stronie phishingowej, podając w ten sposób oszustowi dane swojego konta.
Przykład 2. „Anulowanie wypłaty”
Użytkownik, którego nazwiemy Brad, otrzymuje wiadomość SMS od osoby mającej adres nadawcy „Binance”. Wiadomość przypomina Bradowi, aby „anulował obecną wypłatę”. Brad wierząc, że wiadomość jest oficjalna, loguje się na stronie phishingowej.
Hakerowi udaje się użyć nazwy użytkownika, hasła i 2FA Brada, aby zalogować się na oficjalnej stronie Binance i zainicjować wypłatę gotówki.
W tym przykładzie użytkownik nie zrobił dwóch rzeczy:
Zweryfikuj link na Binance Verify.
Sprawdź dokładnie prawdziwy komunikat 2FA, który faktycznie wskazuje, że kod 2FA został użyty do zainicjowania wypłaty, a nie do jej anulowania.
Przykład 3. „Zweryfikuj” lub „Uaktualnij” konto
Wielu naszych użytkowników zgłosiło otrzymanie fałszywej wiadomości SMS z linkiem umożliwiającym weryfikację lub aktualizację konta. Jak wyjaśniono w komunikacie, brak wykonania wymaganej czynności spowoduje zablokowanie konta. W rzeczywistości link zawarty w wiadomości tekstowej prowadzi do witryny phishingowej, której celem jest kradzież danych konta. Pamiętaj, że domeny w tych wiadomościach tekstowych próbują wyglądać na legalne firmy.
Jeśli jesteś celem sfałszowanej wiadomości SMS
Jeśli podejrzewasz, że ktoś wysłał Ci sfałszowaną wiadomość SMS, natychmiast skontaktuj się z odpowiednim organem ścigania. Jeśli sfałszowany SMS jest związany z Binance, zgłoś również zespół wsparcia Binance.
Jeśli Twoje konto zostało naruszone, zamroź swoje środki, aby uniemożliwić przestępcom otwieranie nowych kont na Twoje nazwisko, a także zamrożenie kart kredytowych i kont bankowych. Aby chronić swoje aktywa, powinieneś także wyłączyć swoje konto, postępując zgodnie z krokami zawartymi w tym przewodniku z najczęściej zadawanymi pytaniami: Jak wyłączyć moje konto Binance.
Nigdy nie wysyłaj nikomu SMS-ów z danymi swojego konta Binance, kodem 2FA lub informacjami finansowymi, nawet jeśli osoba prosząca o to wydaje się na pierwszy rzut oka uzasadniona. Oprócz fałszowania SMS-ów oszuści mogą również próbować oszukać Cię za pośrednictwem poczty elektronicznej lub innych kanałów.
Dokładnie sprawdź dowolną domenę powiązaną z Binance na Binance Verify. Należy jednak pamiętać, że narzędzie to nie jest niezawodne. Jeśli czujesz, że coś jest nie tak, nadal powinieneś zachować ostrożność.
Dalsze czytanie
Poznaj swoje oszustwo
Zachowaj bezpieczeństwo: czym są ataki polegające na przejęciu konta?
Przewodnik po fałszywych aplikacjach: jak je rozpoznać i unikać