Як захистити свої криптовалютні активи від атак SMS-спуфінгу
Ключові моменти
SMS-спуфінг – це тип шахрайства, який ґрунтується на психологічних маніпуляціях, щоб обманом змусити жертв надіслати гроші або надати конфіденційну інформацію.
Зловмисники змінюють дані відправника, щоб SMS-повідомлення виглядало так, ніби воно надійшло з надійного джерела.
Якщо ви отримали таке повідомлення, негайно повідомте про це в правоохоронні органи.
У цій статті ви дізнаєтеся про SMS-спуфінг і про те, як захистити свою криптовалюту та персональні дані від зловмисників.
Тенденції в галузі шахрайства змінюються так само швидко, як і скрізь. Раніше це були електронні листи від "принців із Нігерії", зараз це SMS-спуфінг.
На відміну від зламу, коли хакер намагається за допомогою коду отримати доступ до бази даних користувача, у SMS-спуфінгу передусім використовуються психологічні маніпуляції. Шахрай видає себе за надійне джерело, намагаючись обманом змусити жертву надіслати гроші або надати конфіденційну інформацію, наприклад, дані гаманця.
У цій статті ми розглянемо, як працює SMS-спуфінг, різні способи, якими зловмисники можуть атакувати, та як ви можете захистити свої кошти.
Як працює SMS-спуфінг?
Зловмисник змінює дані відправника (ім’я або номер телефону, який відображається на телефоні одержувача), щоб текстове повідомлення виглядало так, ніби воно надійшло з надійного джерела. Мета полягає в тому, щоб змусити жертву виконати інструкції в повідомленні.
Шахрай може змінити або ім’я, або номер телефону, або і те, й інше. Наприклад, повідомлення, надіслане ніби-то від Binance, може бути надіслане шахраєм, який намагається обманом змусити вас завантажити зловмисне програмне забезпечення, надати дані вашого акаунту або перейти за фішинговим посиланням.
На жаль, у багатьох країнах світу механізми, завдяки яким шахраям вдається використовувати SMS-спуфінг, майже не регулюються. В деяких країнах зміна імені або номеру суворо заборонено, а в інших ще немає законодавства, яке б це регулювало.
Насправді існують деякі випадки, коли зміна імені відправника на телефоні отримувача виправдана. Наприклад, компанія може провести маркетингову кампанію з SMS-розсилкою та використовувати назву бренду, до якого відноситься кампанія, а не основний бренд чи номер телефону.
Як розпізнати та уникнути SMS-спуфінгу?
Навіть найкраща в галузі інфраструктура безпеки не може повністю захистити користувача, який добровільно надсилає свій пароль хакеру. Першою лінією захисту завжди є сам користувач. Якщо ви хочете зберегти свої кошти в безпеці, вам слід завжди бути пильними й перетворити описані далі дії на свою звичку.
1. Перевіряйте вхідні повідомлення
Завжди перевіряйте джерело повідомлення, перш ніж відповідати. З обережністю ставтеся до будь-яких повідомлень, на які ви не чекали та які здаються підозрілими. Ви можете перевірити повідомлення від Binance, за допомогою інструменту Binance Verify або надіслати знімок екрана повідомлення нашій команді служби підтримки. З повідомленнями від інших платформ слід чинити так само. Офіційні канали зв’язку можна знайти на офіційних вебсайтах.
2. Увімкніть двофакторну аутентифікацію
Двофакторна аутентифікація (2FA) – додатковий рівень безпеки від зловмисників, які намагаються отримати доступ до ваших акаунтів, зокрема за допомогою SMS-спуфінгу. Завжди вмикайте 2FA для всіх акаунтів, якщо вона доступна.
Коди 2FA за правильного використання можуть допомогти захистити ваш акаунт. Вводьте коди 2FA лише на офіційних вебсайтах і обов’язково ще раз перевірте повідомлення 2FA, щоб дізнатися, для чого саме був надісланий цей код.
3. Не повідомляйте нікому персональні дані
Уникайте надання конфіденційної інформації (наприклад, паролів, номерів кредитних карток, номерів соціального страхування та інших документів державного зразка) в текстових повідомленнях, особливо неперевіреним контактам.
4. Не переходьте за підозрілими посиланнями
Не переходьте за посиланнями в SMS, не перевіривши джерело. Посилання можуть вести на фішингові вебсайти, які намагаються викрасти ваші облікові дані або встановити зловмисне програмне забезпечення на вашому пристрої.
Не переходьте на сайти з символами "No Lock" або незашифрованими URL-адресами (HTTP замість HTTPS); завжди перевіряйте URL-адресу, перш ніж перейти за посиланням. Використовуйте лише офіційні вебсайти. Наприклад, якщо ви не впевнені, чи пов’язані з Binance посилання, адреса електронної пошти, номер телефону, номер WeChat, нік у Twitter або Telegram, ви можете перевірити це на Binance Verify.
Щоб отримати загальну інформацію про те, як захистити свої криптовалютні активи, ви можете ознайомитися з розділами про безпеку в наших відповідях на поширені запитання або Binance Academy.
Нижче наведено перелік відомих нам вебсайтів, які шахраї видають за пов’язані з Binance. Тримайтеся від них подалі. За їхніми доменними іменами ви можете зрозуміти, як може виглядати сайт-підробка Binance.
Види SMS-спуфінгу
Атаки SMS-спуфінгу можуть відрізнятися за цілями та механізмами. Спільним для них є те, що номер або ім’я справжнього відправника замінюється, що дозволяє шахраям видавати себе за іншу особу. SMS-спуфінг часто пов’язаний із переказом коштів і сталкінгом.
У першому випадку шахраї видають себе за постачальника фінансових послуг, який справді існує, як-от Binance, і надсилають жертвам повідомлення, наприклад, про кешбек (звісно ж, це обман). У таких повідомленнях одержувачам зазвичай пропонують відсканувати QR-код або перейти за посиланням, щоб отримати кешбек.
SMS-спуфінг також використовується сталкерами та кіберхуліганами, які хочуть залякати своїх жертв, надсилаючи погрозливі чи неприйнятні повідомлення з невідомих номерів або під випадковими іменами.
Приклади SMS-спуфінгу з реального життя
Приклад 1. Підроблене повідомлення 2FA
Користувач, назвемо його Андрій, отримує повідомлення з таким змістом: "[Binance] Користувачам потрібно оновити Web 3.0, щоб уникнути вимкнення акаунтів. Bianenc.net!"
Андрій бачить, що відправником є "Binance" і що повідомлення надійшло через той самий канал, з якого він зазвичай отримує свої коди 2FA. Андрій думає, що це офіційне повідомлення, і переходить на фішинговий вебсайт, передаючи таким чином дані свого акаунту шахраю.
Приклад 2. "Скасування зняття коштів"
Користувач, назвемо його Іван, отримує SMS-повідомлення від ніби-то Binance. У повідомленні йдеться про необхідність "скасувати поточне зняття". Іван, вважаючи, що повідомлення офіційне, переходить на фішинговий сайт.
Хакеру вдається за допомогою імені користувача, пароля та 2FA Івана увійти на офіційний вебсайт Binance та ініціювати зняття готівки.
У цьому прикладі користувач не зробив таке:
Не перевірив посиланням на Binance Verify.
Не перевірив ще раз справжнє повідомлення з кодом 2FA, в якому було вказано, що код надається для зняття коштів, а не для скасування транзакції.
Приклад 3. "Верифікація" або "оновлення" акаунту
Велика кількість наших користувачів повідомляли про отримання SMS з проханням верифікувати або оновити акаунт. Як пояснюється в повідомленні, невиконання необхідної дії призведе до блокування акаунту. Насправді посилання в текстовому повідомленні веде на фішинговий вебсайт, призначений для викрадення облікових даних. Зауважте, що домени в цьому текстовому повідомленні намагаються виглядати максимально схожими на справжні.
Якщо ви стали жертвою SMS-спуфінгу
Якщо ви підозрюєте, що стали жертвою SMS-спуфінгу, негайно зверніться до відповідного правоохоронного органу. Якщо таке SMS-повідомлення надійшло ніби-то від Binance, також надішліть звіт команді служби підтримки Binance.
Якщо ваш акаунт було зламано, заморозьте ваші кошти, щоб запобігти відкриттю нових акаунтів на ваше ім’я, а також заблокуйте свої кредитні картки та банківські рахунки. Щоб захистити свої активи, вам також слід вимкнути акаунт, дотримуючись кроків у цьому посібнику: "Як вимкнути акаунт Binance".
Ніколи і нікому не надсилайте повідомлення з даними свого акаунту Binance, кодом 2FA або фінансовою інформацією, навіть якщо ті, хто запитує це, здаються представниками біржі, вашими знайомими чи іншими надійними особами. Окрім SMS-спуфінгу, шахраї також можуть намагатися отримати від вас дані іншими способами, наприклад, через електронну пошту.
Ретельно перевіряйте всі домени, пов’язані з Binance, на Binance Verify. Однак зауважте, що цей інструмент не дає стовідсоткової гарантії. Ви все одно повинні бути обережними, якщо відчуваєте, що щось не так.
Повʼязані статті
Стежте за нами в соцмережах Binance Ukraine:
Telegram канал | Telegram група | TikTok | Twitter | Facebook | Instagram | YouTube