How to Protect Your Crypto From SMS Spoofing Attacks

Binance Blog · 2023-04-28T08:10:16.000Z

Main TakeawaysSMS spoofing is a type of scam that relies on psychological manipulation to deceive victims into sending money or sharing sensitive information. Attackers modify their sender identity to make their SMS message appear as if it’s coming from a trusted source. Have you received a spoofed SMS? Report the incident to law enforcement immediately. Learn about SMS spoofing and how to protect your crypto and personal data from attackers. Trends in the fraud industry change as fast as anywhere else. Before, Nigerian prince email scams were all the rage; today, it is SMS spoofing attacks.Unlike exploits where a hacker tries to use code to break into a user database, SMS spoofing attacks primarily use psychological manipulation. This means the scammer will try to pose as a trusted source in an attempt to deceive unsuspecting victims into sending money or sharing sensitive information, such as wallet details. In this article, we’ll go over how SMS spoofing attacks work, the different ways attackers can target you, and how you as a user can protect your funds. How Does SMS Spoofing Work?The attacker modifies their sender identity (the name or phone number that appears on the recipient’s phone) to make their text message appear as if it’s coming from a trusted source. The goal is to trick the victim into following the instructions in the message. A spoofed SMS can land in your phone inbox under a doctored name, phone number, or both. For example, a text appearing from “Binance” could be a scammer trying to deceive you into downloading malware, sharing your account details, or clicking on a malicious link. Unfortunately, mechanisms that enable SMS spoofing lie in a legal grey area in many regions of the world. Some countries have outright banned the practice, while others are yet to address the abuse of changing the SMS sender’s identity. There are, in fact, some legitimate use cases for altering the sender’s name as it appears on the recipient’s end. For example, a company might run an SMS marketing campaign and use a sub-brand identity instead of the main brand or phone number. How to Identify and Avoid SMS Spoofing?Even an industry-leading security infrastructure can do little to protect a user who willingly sends their password to a hacker. The first line of defense is always the user. If you want to keep your funds safe, you should remain vigilant at all times, making the following practices a habit. 1. Verify incoming messagesAlways double-check the source of an incoming message before responding. Be cautious of any unsolicited messages or those that seem suspicious. You can verify Binance-specific messages by using the Binance Verify tool or by sending a screenshot of the message to our support team. For other services, you should message the relevant platform directly via their official website or other trusted channels.2. Enable two-factor authentication Two-factor authentication (2FA) adds an extra layer of security from attackers trying to gain access to your accounts, including via SMS spoofing. Always enable 2FA for any account that supports it. 2FA codes, when used correctly, can help safeguard your account. Only enter your 2FA codes on official websites, and make sure to double-check the 2FA message to see what it’s being used for. 3. Don’t share personal information Avoid sharing sensitive information (e.g., passwords, credit card numbers, social security numbers, and other government-issued identifiers) through text messages, especially with unverified contacts.4. Avoid suspicious linksDon't click on any links sent to you via text message without first verifying their legitimacy. Links could lead to phishing websites that attempt to steal your login credentials or install malware on your device. Don’t access sites with “No Lock” symbols or unencrypted URLs (HTTP instead of HTTPS); always check to see the URL before clicking. Make sure to use official websites only. For example, if you’re unsure whether a Binance-related link, email, phone number, WeChat ID, Twitter handle, or Telegram ID is official, you can verify it on Binance Verify. For general information on how to safeguard your crypto funds, you can explore the security sections in our FAQ or Binance Academy. Here’s a list of suspicious websites we’ve identified that attempt to look like they are affiliated with Binance. Steer clear of all of them. Their domain names also give you an idea of what a “fake Binance” website whose creators are trying to mislead users can look like.Types of SMS SpoofingSMS spoof attacks may vary in their targets and mechanics. What they all have in common is that the number or name of the real sender gets replaced, which allows scammers to appear as someone else. Common scenarios of how someone can target you with a spoofed SMS include money transfers and harassment spoofs.In the former case, scammers will impersonate a legitimate financial services provider like Binance and text victims about, for example, a fake cashback transaction. Such messages typically instruct recipients to scan a QR code or access a link to claim their cashback.SMS spoofing is also used by stalkers and cyberbullies who want to intimidate their victims by sending threatening or inappropriate messages from unknown numbers or under random names.Real-Life Examples of SMS Spoofing AttacksExample 1: Fake 2FA MessageA user, whom we’ll call Jack, receives a message that reads, “[Binance] Users need to upgrade Web 3.0 to avoid disabling accounts. Bianenc.net”Jack sees that the sender is “Binance” and that the message has come through the same channel from which he typically receives his 2FA codes. Jack assumes this is an official message and logs into the phishing website, thereby giving his account details to the scammer.Example 2. “Withdrawal Cancellation”A user, whom we’ll call Brad, receives an SMS message from someone with a “Binance” sender address. The message reminds Brad to “cancel his current withdrawal.” Brad, believing that the message is official, logs into the phishing website. The hacker manages to use Brad’s username, password, and 2FA to log into the official Binance website and initiate a cash withdrawal. In this example, the user failed to do two things:Verify the link on Binance Verify.Double-check the real 2FA message, which actually read that the 2FA code was being used to initiate a withdrawal, not to cancel one. Example 3. “Verify” or “Upgrade” AccountMany of our users have reported receiving a spoofed SMS with a link to verify or upgrade their account. As the message explained, failure to perform the required action would result in the account being blocked. In reality, the link in the text message leads to a phishing website designed to steal account details. Note that the domains in these text message are trying to appear as legitimate companies.If You’ve Been Targeted by a Spoofed SMSIf you suspect someone has sent you a spoofed SMS , contact a relevant law enforcement authority immediately. If the spoofed SMS is Binance-related, please also file a report to the Binance Support team.If your account has been compromised, freeze your credit to prevent criminals from opening new accounts in your name, in addition to freezing your credit cards and bank accounts. To protect your assets, you should also disable your account by following the steps in this FAQ guide: How to Disable My Binance Account.Never text your Binance account details, 2FA code, or financial information to anyone, even if those who request it seem legitimate at first glance. Besides SMS spoofing, scammers may also attempt to defraud you via email or other channels. Double-check any Binance-related domain on Binance Verify. Note, however, that the tool is not foolproof. You should still exercise caution if you feel that something is off. Further ReadingKnow Your ScamStay Safe: What Are Account Takeover Attacks? A Guide to Fake Apps: How to Spot and Avoid Them

Bài học chínhGiả mạo SMS là một loại lừa đảo dựa vào thao tác tâm lý để lừa nạn nhân gửi tiền hoặc chia sẻ thông tin nhạy cảm.
Những kẻ tấn công sửa đổi danh tính người gửi để làm cho tin nhắn SMS của họ xuất hiện như thể nó đến từ một nguồn đáng tin cậy.
Bạn đã nhận được một tin nhắn SMS giả mạo? Hãy báo cáo sự việc ngay lập tức cho cơ quan thực thi pháp luật.
Tìm hiểu về việc giả mạo SMS và cách bảo vệ tiền điện tử cũng như dữ liệu cá nhân của bạn khỏi những kẻ tấn công.
Xu hướng trong ngành gian lận thay đổi nhanh chóng như bất kỳ nơi nào khác. Trước đây, các vụ lừa đảo qua email của hoàng tử Nigeria rất phổ biến; ngày nay là các cuộc tấn công giả mạo SMS.
Không giống như các cách khai thác mà hacker cố gắng sử dụng mã để đột nhập vào cơ sở dữ liệu người dùng, các cuộc tấn công giả mạo SMS chủ yếu sử dụng thao tác tâm lý. Điều này có nghĩa là kẻ lừa đảo sẽ cố gắng đóng giả là một nguồn đáng tin cậy nhằm lừa những nạn nhân không nghi ngờ gửi tiền hoặc chia sẻ thông tin nhạy cảm, chẳng hạn như chi tiết ví.
Trong bài viết này, chúng ta sẽ tìm hiểu cách hoạt động của các cuộc tấn công giả mạo SMS, các cách khác nhau mà kẻ tấn công có thể nhắm mục tiêu vào bạn và cách bạn với tư cách là người dùng có thể bảo vệ tiền của mình.
Việc giả mạo SMS hoạt động như thế nào?Kẻ tấn công sửa đổi danh tính người gửi (tên hoặc số điện thoại xuất hiện trên điện thoại của người nhận) để làm cho tin nhắn văn bản của họ xuất hiện như thể nó đến từ một nguồn đáng tin cậy. Mục đích là lừa nạn nhân làm theo hướng dẫn trong tin nhắn.
Một tin nhắn SMS giả mạo có thể gửi đến hộp thư đến trên điện thoại của bạn dưới tên, số điện thoại đã được chỉnh sửa hoặc cả hai. Ví dụ: một văn bản xuất hiện từ “Binance” có thể là kẻ lừa đảo đang cố lừa bạn tải xuống phần mềm độc hại, chia sẻ chi tiết tài khoản của bạn hoặc nhấp vào liên kết độc hại.
Thật không may, các cơ chế cho phép giả mạo SMS nằm trong vùng mờ về mặt pháp lý ở nhiều khu vực trên thế giới. Một số quốc gia đã cấm hoàn toàn hành vi này, trong khi những quốc gia khác vẫn chưa giải quyết vấn đề lạm dụng thay đổi danh tính người gửi SMS.
Trên thực tế, có một số trường hợp sử dụng hợp pháp để thay đổi tên người gửi giống như tên xuất hiện ở phía người nhận. Ví dụ: một công ty có thể chạy chiến dịch tiếp thị qua SMS và sử dụng nhận dạng thương hiệu phụ thay vì thương hiệu hoặc số điện thoại chính.
Làm thế nào để xác định và tránh giả mạo SMS?Ngay cả cơ sở hạ tầng bảo mật hàng đầu trong ngành cũng không thể bảo vệ được người dùng sẵn sàng gửi mật khẩu của họ cho tin tặc. Tuyến phòng thủ đầu tiên luôn là người dùng. Nếu bạn muốn giữ tiền của mình an toàn, bạn nên luôn cảnh giác, biến những thực hành sau đây thành thói quen.
1. Xác minh tin nhắn đếnLuôn kiểm tra kỹ nguồn tin nhắn đến trước khi trả lời. Hãy thận trọng với bất kỳ tin nhắn không được yêu cầu hoặc những tin nhắn có vẻ đáng ngờ. Bạn có thể xác minh tin nhắn dành riêng cho Binance bằng cách sử dụng công cụ Binance Verify hoặc bằng cách gửi ảnh chụp màn hình tin nhắn đến nhóm hỗ trợ của chúng tôi. Đối với các dịch vụ khác, bạn nên nhắn tin trực tiếp cho nền tảng liên quan qua trang web chính thức của họ hoặc các kênh đáng tin cậy khác.
2. Kích hoạt xác thực hai yếu tốXác thực hai yếu tố (2FA) bổ sung thêm một lớp bảo mật khỏi những kẻ tấn công đang cố gắng truy cập vào tài khoản của bạn, bao gồm cả việc giả mạo SMS. Luôn bật 2FA cho bất kỳ tài khoản nào hỗ trợ nó.
Mã 2FA, khi được sử dụng đúng cách, có thể giúp bảo vệ tài khoản của bạn. Chỉ nhập mã 2FA của bạn trên các trang web chính thức và đảm bảo kiểm tra kỹ thông báo 2FA để xem mã đó được sử dụng để làm gì.
3. Không chia sẻ thông tin cá nhânTránh chia sẻ thông tin nhạy cảm (ví dụ: mật khẩu, số thẻ tín dụng, số an sinh xã hội và các thông tin nhận dạng khác do chính phủ cấp) qua tin nhắn văn bản, đặc biệt là với những liên hệ chưa được xác minh.
4. Tránh các liên kết đáng ngờĐừng nhấp vào bất kỳ liên kết nào được gửi cho bạn qua tin nhắn văn bản mà không xác minh tính hợp pháp của chúng trước. Các liên kết có thể dẫn đến các trang web lừa đảo cố gắng đánh cắp thông tin đăng nhập của bạn hoặc cài đặt phần mềm độc hại trên thiết bị của bạn.
Không truy cập các trang web có biểu tượng “Không khóa” hoặc URL không được mã hóa (HTTP thay vì HTTPS); luôn kiểm tra xem URL trước khi nhấp vào. Đảm bảo chỉ sử dụng các trang web chính thức. Ví dụ: nếu bạn không chắc chắn liệu liên kết, email, số điện thoại, ID WeChat, tên Twitter hoặc ID Telegram có liên quan đến Binance là chính thức hay không, bạn có thể xác minh nó trên Binance Verify.
Để biết thông tin chung về cách bảo vệ tiền điện tử của bạn, bạn có thể khám phá các phần bảo mật trong Câu hỏi thường gặp hoặc Học viện Binance của chúng tôi.
Dưới đây là danh sách các trang web đáng ngờ mà chúng tôi đã xác định được và cố gắng tỏ ra giống như chúng có liên kết với Binance. Tránh xa tất cả chúng. Tên miền của họ cũng cho bạn ý tưởng về một trang web “Binance giả” mà người sáng tạo đang cố gắng đánh lừa người dùng có thể trông như thế nào.
Các loại giả mạo SMSCác cuộc tấn công giả mạo SMS có thể khác nhau về mục tiêu và cơ chế của chúng. Điểm chung của chúng là số hoặc tên của người gửi thực sự được thay thế, điều này cho phép những kẻ lừa đảo xuất hiện với tư cách là một người khác. Các tình huống phổ biến về cách ai đó có thể nhắm mục tiêu đến bạn bằng tin nhắn SMS giả mạo bao gồm chuyển tiền và các hành vi giả mạo quấy rối.
Trong trường hợp trước, những kẻ lừa đảo sẽ mạo danh một nhà cung cấp dịch vụ tài chính hợp pháp như Binance và nhắn tin cho nạn nhân, chẳng hạn như về một giao dịch hoàn lại tiền giả. Những tin nhắn như vậy thường hướng dẫn người nhận quét mã QR hoặc truy cập liên kết để yêu cầu hoàn tiền.
Việc giả mạo SMS cũng được sử dụng bởi những kẻ theo dõi và những kẻ bắt nạt trên mạng muốn đe dọa nạn nhân của họ bằng cách gửi tin nhắn đe dọa hoặc không phù hợp từ các số không xác định hoặc dưới tên ngẫu nhiên.
Ví dụ thực tế về các cuộc tấn công giả mạo SMSVí dụ 1: Tin nhắn 2FA giả mạoMột người dùng, mà chúng tôi sẽ gọi là Jack, nhận được thông báo có nội dung: “Người dùng [Binance] cần nâng cấp Web 3.0 để tránh vô hiệu hóa tài khoản. Bianc.net”
Jack thấy rằng người gửi là “Binance” và tin nhắn đã đến qua cùng một kênh mà anh ấy thường nhận được mã 2FA của mình. Jack cho rằng đây là tin nhắn chính thức và đăng nhập vào trang web lừa đảo, từ đó cung cấp thông tin chi tiết tài khoản của mình cho kẻ lừa đảo.
Ví dụ 2. “Hủy rút tiền”Một người dùng mà chúng ta sẽ gọi là Brad sẽ nhận được tin nhắn SMS từ một người có địa chỉ người gửi là “Binance”. Tin nhắn nhắc Brad “hủy khoản rút tiền hiện tại của anh ấy”. Brad tin rằng tin nhắn này là chính thức nên đăng nhập vào trang web lừa đảo.
Tin tặc quản lý sử dụng tên người dùng, mật khẩu và 2FA của Brad để đăng nhập vào trang web chính thức của Binance và bắt đầu rút tiền mặt.
Trong ví dụ này, người dùng không thực hiện được hai việc:
Xác minh liên kết trên Binance Verify.
Kiểm tra kỹ thông báo 2FA thực, trong đó thực tế cho biết mã 2FA đang được sử dụng để bắt đầu rút tiền chứ không phải để hủy một giao dịch.
Ví dụ 3. Tài khoản “Xác minh” hoặc “Nâng cấp”Nhiều người dùng của chúng tôi đã báo cáo việc nhận được một tin nhắn SMS giả mạo kèm theo liên kết để xác minh hoặc nâng cấp tài khoản của họ. Như thông báo đã giải thích, việc không thực hiện hành động được yêu cầu sẽ dẫn đến việc tài khoản bị chặn. Trên thực tế, liên kết trong tin nhắn văn bản dẫn đến một trang web lừa đảo được thiết kế để lấy cắp thông tin tài khoản. Lưu ý rằng các miền trong tin nhắn văn bản này đang cố gắng xuất hiện dưới dạng công ty hợp pháp.
Nếu bạn bị nhắm mục tiêu bởi một tin nhắn SMS giả mạoNếu bạn nghi ngờ ai đó đã gửi cho bạn một tin nhắn SMS giả mạo , hãy liên hệ ngay với cơ quan thực thi pháp luật có liên quan. Nếu tin nhắn SMS giả mạo có liên quan đến Binance, vui lòng gửi báo cáo cho nhóm Hỗ trợ Binance.
Nếu tài khoản của bạn đã bị xâm phạm, hãy đóng băng tín dụng của bạn để ngăn chặn bọn tội phạm mở tài khoản mới đứng tên bạn, bên cạnh việc đóng băng thẻ tín dụng và tài khoản ngân hàng của bạn. Để bảo vệ tài sản của mình, bạn cũng nên vô hiệu hóa tài khoản của mình bằng cách làm theo các bước trong hướng dẫn Câu hỏi thường gặp này: Cách vô hiệu hóa tài khoản Binance của tôi.
Đừng bao giờ nhắn tin chi tiết tài khoản Binance, mã 2FA hoặc thông tin tài chính của bạn cho bất kỳ ai, ngay cả khi những người yêu cầu thoạt nhìn có vẻ hợp pháp. Bên cạnh việc giả mạo SMS, những kẻ lừa đảo cũng có thể cố gắng lừa gạt bạn qua email hoặc các kênh khác.
Kiểm tra kỹ mọi miền liên quan đến Binance trên Binance Verify. Tuy nhiên, hãy lưu ý rằng công cụ này không thể đánh lừa được. Bạn vẫn nên thận trọng nếu cảm thấy có điều gì đó không ổn.
Đọc thêmBiết Lừa đảo của bạn
Giữ an toàn: Tấn công chiếm đoạt tài khoản là gì?
Hướng dẫn về ứng dụng giả mạo: Cách phát hiện và tránh chúng

Cách bảo vệ tiền điện tử của bạn khỏi các cuộc tấn công giả mạo SMS

Bài học chính

Việc giả mạo SMS hoạt động như thế nào?

Làm thế nào để xác định và tránh giả mạo SMS?

1. Xác minh tin nhắn đến

2. Kích hoạt xác thực hai yếu tố

3. Không chia sẻ thông tin cá nhân

4. Tránh các liên kết đáng ngờ

Các loại giả mạo SMS

Ví dụ thực tế về các cuộc tấn công giả mạo SMS

Ví dụ 1: Tin nhắn 2FA giả mạo

Ví dụ 2. “Hủy rút tiền”

Ví dụ 3. Tài khoản “Xác minh” hoặc “Nâng cấp”

Nếu bạn bị nhắm mục tiêu bởi một tin nhắn SMS giả mạo

Đọc thêm

Tin tức mới nhất