A falsificação de SMS é um ciberataque comum. Os fraudadores usam software especializado para manipular o ID do remetente do SMS, fazendo com que a mensagem seja proveniente de uma fonte legítima, como o banco. Desta forma, podem roubar informações sensíveis ou descarregar malware para os telemóveis dos destinatários.
Tipos de falsificação de SMS
Pode ser difícil distinguir entre mensagens legítimas e falsas. Para te protegeres, é crucial manteres-te vigilante e cauteloso ao responderes a SMS não solicitadas. Eis alguns exemplos comuns de falsificação de SMS:
- ID do remetente falso
O tipo mais comum de falsificação é substituir o ID do remetente por um número ou nome comercial respeitável. Por exemplo, os burlões personificariam a Binance ou a TrustWallet para enviar SMS de phishing. Estas mensagens SMS seriam agrupadas sob o mesmo tópico que as mensagens oficiais, como os códigos 2FA. Isso ocorre porque os hackers usaram a falsificação de SMS para manipular o ID do remetente e disfarçar a fonte real da mensagem.
- Transferência de dinheiro falsa
Os burlões alegam que o destinatário ganhou um prémio. Em seguida, pedem os dados bancários do destinatário para poderem depositar os ganhos ou pedem para aceder a um link para este reclamar o prémio.
- Assédio
Implica o envio de mensagens ameaçadoras ou inapropriadas para intimidar as suas vítimas, na esperança de lhes extorquir dinheiro. Por exemplo, ameaçar banir a conta do utilizador. Muitas vezes, os hackers tiram partido do teu medo de perder ativos. Nesta situação, deves manter a calma e verificar a mensagem antes de agires.
Como evitar a falsificação de SMS?
- Verificar as mensagens recebidas: verifica sempre duas vezes a origem de uma mensagem que recebeste antes de responderes. Tem cuidado com quaisquer mensagens não solicitadas ou que pareçam suspeitas. Em caso de dúvida, podes entrar em contacto com o Serviço de Apoio ao Cliente da Binance para verificares a identidade do remetente.
- Ativar a autenticação de dois fatores (A2F): a A2F adiciona uma camada extra de segurança às tuas contas, dificultando o acesso de hackers através da falsificação de SMS.
- Não partilhar informações pessoais: nunca partilhes informações confidenciais (por exemplo, palavras-passe, números de cartão de crédito e números de segurança social) através de mensagens de texto, especialmente com contactos não verificados.
- Não clicar em links suspeitos: não cliques em quaisquer links que te sejam enviados através de mensagem de texto sem verificares a sua legitimidade. Os links podem levar-te a websites de phishing que procuram roubar as tuas credenciais de início de sessão ou instalar malware no teu dispositivo. Certifica-te de que utilizas o site oficial da empresa. Por exemplo, se não tiveres a certeza se um link, e-mail, número de telefone, ID do WeChat, conta do X ou ID do Telegram relacionados com a Binance são oficiais, podes verificá-los em Verificação Binance.
Por exemplo, aqui está uma lista de sites de phishing suspeitos que se fazem passar pela Binance.
Exemplos de falsificação de SMS
1. Notificação de upgrade de conta falso
Um utilizador da Binance recebeu um SMS com o nome do remetente “Binance”, pedindo-lhe para fazer um upgrade da sua conta para continuar a usar o serviço da Binance.
Os hackers usaram software especializado para manipular o ID do remetente do SMS, fazendo com que o SMS falso parecesse legitimamente da Binance. Como o SMS falso estava sob o mesmo tópico que as mensagens de código A2F oficiais, o utilizador assumiu que a mensagem era legítima. Depois de iniciarem sessão no site de phishing, as credenciais da sua conta foram roubadas por hackers.
2. Pedido de cancelamento de levantamento falso
Outro utilizador da Binance recebeu um SMS falso para confirmar um levantamento. O utilizador considerou que a mensagem era legítima e iniciou sessão na sua conta no site de phishing para "cancelar o pedido de levantamento".
Depois de obter as credenciais do utilizador, o hacker iniciou um pedido de levantamento da sua conta e orientou-o para introduzir o código A2F no site de phishing. Depois de o utilizador introduzir o código, o hacker retirou os seus ativos com sucesso.
O que aprendemos com este exemplo:
- O utilizador não verificou o URL do site. Deves sempre verificar o link recebido na Verificação Binance antes de o visitares.
- O utilizador pensou que o código A2F foi utilizado para cancelar pedidos de levantamento. No entanto, se tivesse verificado cuidadosamente a mensagem, teria notado que o código A2F se destinava a confirmar um pedido de levantamento. Portanto, verifica cuidadosamente quando receberes uma mensagem com código A2F. Confirma sempre a utilização do código A2F antes de o introduzires.
3. Verificação de conta falsa
Vários utilizadores da Binance receberam um SMS com um link para verificarem ou fazerem um upgrade das suas contas, mas tal era uma tentativa de phishing para roubar as credenciais das suas contas.
