Principais conclusões

  • A falsificação de SMS é um tipo de golpe que se baseia na manipulação psicológica para enganar as vítimas e fazê-las enviar dinheiro ou compartilhar informações confidenciais.

  • Os invasores modificam a identidade do remetente para fazer com que a mensagem SMS pareça vir de uma fonte confiável.

  • Você recebeu um SMS falsificado? Relate o incidente às autoridades imediatamente.

Saiba mais sobre falsificação de SMS e como proteger sua criptografia e dados pessoais contra invasores.

As tendências na indústria da fraude mudam tão rapidamente quanto em qualquer outro lugar. Antes, os golpes por e-mail do príncipe nigeriano estavam na moda; hoje, são ataques de falsificação de SMS.

Ao contrário das explorações em que um hacker tenta usar código para invadir o banco de dados de um usuário, os ataques de falsificação de SMS usam principalmente manipulação psicológica. Isso significa que o golpista tentará se passar por uma fonte confiável na tentativa de enganar vítimas inocentes para que enviem dinheiro ou compartilhem informações confidenciais, como detalhes de carteira.

Neste artigo, veremos como funcionam os ataques de falsificação de SMS, as diferentes maneiras pelas quais os invasores podem atacar você e como você, como usuário, pode proteger seus fundos.

Como funciona a falsificação de SMS?

O invasor modifica a identidade do remetente (o nome ou número de telefone que aparece no telefone do destinatário) para fazer com que a mensagem de texto pareça vir de uma fonte confiável. O objetivo é induzir a vítima a seguir as instruções da mensagem.

Um SMS falsificado pode chegar à caixa de entrada do seu telefone com um nome, número de telefone falsificado ou ambos. Por exemplo, um texto que aparece em “Binance” pode ser um golpista tentando induzi-lo a baixar malware, compartilhar os detalhes da sua conta ou clicar em um link malicioso.

Infelizmente, os mecanismos que permitem a falsificação de SMS encontram-se numa área jurídica cinzenta em muitas regiões do mundo. Alguns países proibiram completamente a prática, enquanto outros ainda não abordaram o abuso de alteração da identidade do remetente de SMS.

Existem, de fato, alguns casos de uso legítimos para alterar o nome do remetente conforme aparece no destinatário. Por exemplo, uma empresa pode realizar uma campanha de marketing por SMS e usar uma identidade de submarca em vez da marca principal ou número de telefone.

Como identificar e evitar falsificação de SMS?

Mesmo uma infraestrutura de segurança líder do setor pouco pode fazer para proteger um usuário que envia voluntariamente sua senha a um hacker. A primeira linha de defesa é sempre o usuário. Se quiser manter seus fundos seguros, você deve permanecer vigilante o tempo todo, tornando as práticas a seguir um hábito.

1. Verifique as mensagens recebidas

Sempre verifique a origem de uma mensagem recebida antes de responder. Tenha cuidado com mensagens não solicitadas ou que pareçam suspeitas. Você pode verificar mensagens específicas da Binance usando a ferramenta Binance Verify ou enviando uma captura de tela da mensagem para nossa equipe de suporte. Para outros serviços, você deve enviar mensagens diretamente à plataforma relevante por meio do site oficial ou de outros canais confiáveis.

2. Habilite a autenticação de dois fatores

A autenticação de dois fatores (2FA) adiciona uma camada extra de segurança contra invasores que tentam obter acesso às suas contas, inclusive por meio de falsificação de SMS. Sempre habilite o 2FA para qualquer conta que o suporte.

Os códigos 2FA, quando usados ​​corretamente, podem ajudar a proteger sua conta. Insira seus códigos 2FA apenas em sites oficiais e verifique novamente a mensagem 2FA para ver para que ela está sendo usada.

3. Não compartilhe informações pessoais

Evite compartilhar informações confidenciais (por exemplo, senhas, números de cartão de crédito, números de previdência social e outros identificadores emitidos pelo governo) por meio de mensagens de texto, especialmente com contatos não verificados.

Não clique em nenhum link enviado a você por mensagem de texto sem primeiro verificar sua legitimidade. Os links podem levar a sites de phishing que tentam roubar suas credenciais de login ou instalar malware em seu dispositivo.

Não acesse sites com símbolos “No Lock” ou URLs não criptografadas (HTTP em vez de HTTPS); sempre verifique o URL antes de clicar. Certifique-se de usar apenas sites oficiais. Por exemplo, se você não tiver certeza se um link, e-mail, número de telefone, ID do WeChat, identificador do Twitter ou ID do Telegram relacionado à Binance é oficial, você pode verificá-lo no Binance Verify.

Para obter informações gerais sobre como proteger seus fundos criptográficos, você pode explorar as seções de segurança em nossas Perguntas frequentes ou na Binance Academy.

Aqui está uma lista de sites suspeitos que identificamos que tentam parecer afiliados à Binance. Fique longe de todos eles. Seus nomes de domínio também dão uma ideia de como pode ser um site “falso Binance”, cujos criadores estão tentando enganar os usuários.

Tipos de falsificação de SMS

Os ataques de falsificação de SMS podem variar em seus alvos e mecânica. O que todos eles têm em comum é que o número ou nome do verdadeiro remetente é substituído, o que permite que os golpistas apareçam como outra pessoa. Cenários comuns de como alguém pode atingir você com um SMS falsificado incluem transferências de dinheiro e falsificações de assédio.

No primeiro caso, os golpistas se passarão por um provedor de serviços financeiros legítimo, como Binance, e enviarão mensagens de texto às vítimas sobre, por exemplo, uma transação de reembolso falsa. Essas mensagens normalmente instruem os destinatários a escanear um código QR ou acessar um link para reivindicar seu reembolso.

A falsificação de SMS também é usada por perseguidores e cyberbullies que desejam intimidar suas vítimas enviando mensagens ameaçadoras ou inadequadas de números desconhecidos ou com nomes aleatórios.

Exemplos reais de ataques de falsificação de SMS

Exemplo 1: mensagem 2FA falsa

Um usuário, a quem chamaremos de Jack, recebe uma mensagem que diz: “[Binance] Os usuários precisam atualizar a Web 3.0 para evitar a desativação de contas. Bianenc.net”

Jack vê que o remetente é “Binance” e que a mensagem veio pelo mesmo canal do qual ele normalmente recebe seus códigos 2FA. Jack presume que esta é uma mensagem oficial e faz login no site de phishing, fornecendo assim os detalhes de sua conta ao golpista.

Exemplo 2. “Cancelamento de saque”

Um usuário, a quem chamaremos de Brad, recebe uma mensagem SMS de alguém com endereço de remetente “Binance”. A mensagem lembra Brad de “cancelar sua retirada atual”. Brad, acreditando que a mensagem é oficial, faz login no site de phishing.

O hacker consegue usar o nome de usuário, senha e 2FA de Brad para fazer login no site oficial da Binance e iniciar uma retirada de dinheiro.

Neste exemplo, o usuário não conseguiu fazer duas coisas:

  • Verifique o link no Binance Verify.

  • Verifique novamente a mensagem 2FA real, que na verdade diz que o código 2FA estava sendo usado para iniciar um saque, não para cancelá-lo.

Exemplo 3. Conta “Verificar” ou “Atualizar”

Muitos de nossos usuários relataram ter recebido um SMS falsificado com um link para verificar ou atualizar sua conta. Conforme explicado na mensagem, a falha em executar a ação necessária resultaria no bloqueio da conta. Na realidade, o link na mensagem de texto leva a um site de phishing projetado para roubar detalhes da conta. Observe que os domínios nessas mensagens de texto estão tentando parecer empresas legítimas.

Se você foi alvo de um SMS falsificado

  • Se você suspeitar que alguém lhe enviou um SMS falsificado, entre em contato imediatamente com a autoridade competente. Se o SMS falsificado for relacionado à Binance, envie também um relatório para a equipe de suporte da Binance.

  • Caso sua conta tenha sido comprometida, congele seu crédito para evitar que criminosos abram novas contas em seu nome, além de congelar seus cartões de crédito e contas bancárias. Para proteger seus ativos, você também deve desativar sua conta seguindo as etapas deste guia de perguntas frequentes: Como desativar minha conta Binance.

  • Nunca envie mensagens de texto com os detalhes da sua conta Binance, código 2FA ou informações financeiras para ninguém, mesmo que aqueles que os solicitem pareçam legítimos à primeira vista. Além da falsificação de SMS, os golpistas também podem tentar fraudá-lo por e-mail ou outros canais.

  • Verifique novamente qualquer domínio relacionado à Binance no Binance Verify. Observe, entretanto, que a ferramenta não é infalível. Você ainda deve ter cuidado se sentir que algo está errado.

Leitura adicional

  • Conheça o seu golpe

  • Fique seguro: o que são ataques de controle de conta?

  • Um guia para aplicativos falsos: como identificá-los e evitá-los