Cách bảo vệ tiền mã hóa của bạn khỏi SMS Spoofing (tấn công giả mạo qua tin nhắn)
Các nội dung chính
SMS spoofing là một loại lừa đảo dựa vào thao túng tâm lý để lừa nạn nhân gửi tiền hoặc chia sẻ thông tin nhạy cảm.
Những kẻ tấn công sửa đổi danh tính người gửi để làm cho tin nhắn SMS của chúng xuất hiện như thể đến từ một nguồn đáng tin cậy.
Bạn đã nhận được một SMS giả mạo? Báo cáo vụ việc cho cơ quan thực thi pháp luật ngay lập tức.
Tìm hiểu về SMS spoofing và cách bảo vệ tiền mã hóa cũng như dữ liệu cá nhân của bạn khỏi những kẻ tấn công.
Xu hướng trong ngành gian lận thay đổi nhanh hơn bất kỳ ngành nào khác. Trước đây, các vụ lừa đảo qua email của hoàng tử Nigeria trở nên thịnh hành; ngày nay, đó là các cuộc tấn công SMS spoofing.
Không giống như các cách khai thác mà hacker cố gắng sử dụng mã để xâm nhập vào cơ sở dữ liệu người dùng, các cuộc tấn công SMS spoofing chủ yếu sử dụng thao túng tâm lý. Điều này có nghĩa là kẻ lừa đảo sẽ cố gắng giả vờ là một nguồn đáng tin cậy nhằm lừa các nạn nhân cả tin gửi tiền hoặc chia sẻ thông tin nhạy cảm, chẳng hạn như thông tin chi tiết về ví.
Trong bài viết này, chúng ta sẽ xem xét cách hoạt động của các cuộc tấn công SMS spoofing, những cách khác nhau mà kẻ tấn công có thể nhắm mục tiêu vào bạn và cách bạn có thể bảo vệ tiền của mình với tư cách là người dùng.
SMS spoofing hoạt động như thế nào?
Kẻ tấn công sửa đổi danh tính người gửi (tên hoặc số điện thoại xuất hiện trên điện thoại của người nhận) để làm cho tin nhắn văn bản của chúng xuất hiện như thể đến từ một nguồn đáng tin cậy. Mục đích là lừa nạn nhân làm theo hướng dẫn trong tin nhắn.
Một SMS giả mạo có thể gửi đến hộp thư điện thoại của bạn dưới tên, số điện thoại đã được chỉnh sửa hoặc cả hai. Ví dụ: một văn bản xuất hiện từ “Binance” có thể là một kẻ lừa đảo đang cố lừa bạn tải xuống phần mềm độc hại, chia sẻ chi tiết tài khoản của bạn hoặc nhấp vào một liên kết độc hại.
Thật không may, các cơ chế cho phép SMS spoofing nằm ở vấn đề pháp lý không rõ ràng ở nhiều khu vực trên thế giới. Một số quốc gia đã cấm hoàn toàn hành vi này, trong khi những quốc gia khác vẫn chưa giải quyết được việc lạm dụng thay đổi danh tính của người gửi SMS.
Trên thực tế, có một số trường hợp sử dụng chính đáng để thay đổi tên của người gửi khi tin nhắn xuất hiện ở phía người nhận. Ví dụ: một công ty có thể chạy chiến dịch tiếp thị qua SMS và sử dụng nhận dạng thương hiệu phụ thay vì thương hiệu chính hoặc số điện thoại.
Cách để xác định và tránh SMS spoofing?
Ngay cả cơ sở hạ tầng bảo mật hàng đầu trong ngành cũng có thể làm được rất ít để bảo vệ người dùng khi họ sẵn sàng gửi mật khẩu cho hacker. Tuyến phòng thủ đầu tiên luôn là người dùng. Nếu bạn muốn giữ tiền của mình an toàn, bạn nên luôn cảnh giác, biến những điều sau đây thành thói quen.
1. Xác minh tin nhắn đến
Luôn kiểm tra kỹ nguồn gốc của thư đến trước khi trả lời. Hãy thận trọng với bất kỳ tin nhắn không mong muốn nào hoặc những tin nhắn có vẻ đáng ngờ. Bạn có thể xác minh tin nhắn dành riêng cho Binance bằng cách sử dụng công cụ Xác minh Binance hoặc bằng cách gửi ảnh chụp màn hình tin nhắn cho đội ngũ hỗ trợ của chúng tôi. Đối với các dịch vụ khác, bạn nên nhắn tin trực tiếp cho nền tảng có liên quan qua trang web chính thức của họ hoặc các kênh đáng tin cậy khác.
2. Kích hoạt xác thực hai yếu tố
Xác thực hai yếu tố (2FA) thêm một lớp bảo mật bổ sung khỏi những kẻ tấn công đang cố giành quyền truy cập vào tài khoản của bạn, kể cả thông qua SMS spoofing. Luôn bật 2FA cho bất kỳ tài khoản nào hỗ trợ xác thực hai yếu tố.
Mã 2FA có thể giúp bảo vệ tài khoản của bạn khi được sử dụng đúng cách. Chỉ nhập mã 2FA của bạn trên các trang web chính thức và đảm bảo kiểm tra kỹ thông báo 2FA để xem nó được sử dụng cho mục đích gì.
3. Không chia sẻ thông tin cá nhân
Tránh chia sẻ thông tin nhạy cảm (ví dụ: mật khẩu, số thẻ tín dụng, số an sinh xã hội và các số nhận dạng khác do chính phủ cấp) qua tin nhắn văn bản, đặc biệt là với các liên hệ chưa được xác minh.
4. Tránh các liên kết đáng ngờ
Không nhấp vào bất kỳ liên kết nào được gửi cho bạn qua tin nhắn văn bản mà không xác minh tính hợp pháp của chúng trước. Các liên kết có thể dẫn đến các trang web tấn công giả mạo nhằm đánh cắp thông tin đăng nhập của bạn hoặc cài đặt phần mềm độc hại trên thiết bị của bạn.
Không truy cập các trang web có ký hiệu “Không khóa” hoặc URL không được mã hóa (HTTP thay vì HTTPS); luôn kiểm tra xem URL trước khi nhấp vào. Đảm bảo chỉ sử dụng các trang web chính thức. Ví dụ: nếu bạn không chắc chắn liệu một liên kết, email, số điện thoại, ID WeChat, tên người dùng Twitter hay ID Telegram liên quan đến Binance có phải là chính thức hay không, bạn có thể xác minh nó trên Xác minh Binance.
Để biết thông tin chung về cách bảo vệ tiền mã hóa của bạn, bạn có thể khám phá các phần bảo mật trong Câu hỏi thường gặp của chúng tôi hoặc Binance Academy.
Đây là danh sách các trang web đáng ngờ mà chúng tôi đã xác định, các trang web này đang cố gắng để trông giống như đang được liên kết với Binance. Xin hãy tránh xa tất cả những trang web này. Tên miền của những trang này cũng cung cấp cho bạn ý tưởng về một trang web “Binance giả” mà những người tạo ra đang cố đánh lừa người dùng trông thế nào.
Các loại SMS spoofing
Các cuộc tấn công SMS spoofing có thể khác nhau về mục tiêu và cơ chế. Nhưng điểm chung của chúng là số hoặc tên của người gửi thực được thay thế, điều này cho phép những kẻ lừa đảo xuất hiện dưới dạng một người khác. Các tình huống phổ biến về cách ai đó có thể nhắm mục tiêu vào bạn bằng SMS giả mạo bao gồm chuyển tiền và giả mạo quấy rối.
Trong trường hợp đầu tiên, những kẻ lừa đảo sẽ mạo danh một nhà cung cấp dịch vụ tài chính hợp pháp như Binance và nhắn tin cho nạn nhân, chẳng hạn như về một giao dịch hoàn tiền giả. Những tin nhắn như vậy thường hướng dẫn người nhận quét mã QR hoặc truy cập vào một liên kết để nhận tiền hoàn lại của họ.
SMS spoofing cũng được sử dụng bởi những kẻ theo dõi và bắt nạt trên mạng muốn đe dọa nạn nhân của họ bằng cách gửi các tin nhắn đe dọa hoặc không phù hợp từ các số không xác định hoặc dưới các tên ngẫu nhiên.
Các ví dụ thực tế về các cuộc tấn công SMS spoofing
Ví dụ 1: Tin nhắn 2FA giả
Một người dùng, chúng tôi sẽ gọi là Jack, nhận được thông báo có nội dung: “Người dùng [Binance] cần nâng cấp Web 3.0 để tránh bị vô hiệu hóa tài khoản. Bianenc.net”
Jack thấy rằng người gửi là “Binance” và tin nhắn đã đến qua cùng một kênh mà từ đó anh ấy thường nhận được mã 2FA của mình. Jack cho rằng đây là một thông báo chính thức và đăng nhập vào trang web tấn công giả mạo, sau đó cung cấp chi tiết tài khoản của anh ấy cho kẻ lừa đảo.
Ví dụ 2: “Hủy rút tiền”
Một người dùng, chúng tôi sẽ gọi là Brad, nhận được tin nhắn SMS từ một người có địa chỉ người gửi “Binance”. Tin nhắn nhắc Brad “hủy khoản tiền rút hiện tại của anh ấy”. Brad tin rằng đây là tin nhắn là chính thức, đăng nhập vào trang web tấn công giả mạo.
Hacker điều khiển để sử dụng tên người dùng, mật khẩu và 2FA của Brad để đăng nhập vào trang web chính thức của Binance và bắt đầu rút tiền mặt.
Trong ví dụ này, người dùng không làm được hai việc:
Xác minh liên kết trên Xác minh Binance.
Kiểm tra kỹ thông báo 2FA thực, thông báo này thực sự có nội dung mã 2FA đang được sử dụng để bắt đầu rút tiền chứ không phải để hủy rút tiền.
Ví dụ 3: Tài khoản “Xác minh” hoặc “Nâng cấp”
Nhiều người dùng của chúng tôi đã báo cáo việc nhận được một SMS giả mạo có liên kết để xác minh hoặc nâng cấp tài khoản của họ. Như tin nhắn đã giải thích, việc không thực hiện hành động được yêu cầu sẽ dẫn đến việc tài khoản bị chặn. Trên thực tế, liên kết trong tin nhắn văn bản dẫn đến một trang web tấn công giả mạo được thiết kế để lấy cắp thông tin tài khoản. Lưu ý rằng các miền trong tin nhắn văn bản này đang cố gắng xuất hiện dưới dạng các công ty hợp pháp.
ếu bạn đã bị nhắm mục tiêu bởi SMS spoofing
Nếu bạn nghi ngờ ai đó đã gửi cho bạn một SMS giả mạo, hãy liên hệ ngay với cơ quan thực thi pháp luật có liên quan. Nếu SMS giả mạo có liên quan đến Binance, vui lòng gửi báo cáo cho đội ngũ Hỗ trợ Binance.
Nếu tài khoản của bạn đã bị xâm phạm, hãy đóng băng thẻ tín dụng của bạn để ngăn tội phạm mở tài khoản mới dưới tên của bạn. Ngoài việc đóng băng thẻ tín dụng và tài khoản ngân hàng của bạn, để bảo vệ tài sản của mình, bạn cũng nên vô hiệu hóa tài khoản của mình bằng cách làm theo các bước trong hướng dẫn Câu hỏi thường gặp này: Cách vô hiệu hóa tài khoản Binance của tôi.
Không bao giờ nhắn tin thông tin tài khoản Binance, mã 2FA hoặc thông tin tài chính của bạn cho bất kỳ ai, ngay cả khi những người yêu cầu thoạt nhìn có vẻ hợp pháp. Bên cạnh SMS spoofing, những kẻ lừa đảo cũng có thể cố gắng lừa đảo bạn qua email hoặc các kênh khác.
Kiểm tra kỹ mọi miền liên quan đến Binance trên Xác minh Binance. Tuy nhiên, lưu ý rằng công cụ này không hoàn hảo. Bạn vẫn nên thận trọng nếu cảm thấy có gì đó không ổn.