如何保護您的加密貨幣免受簡訊冒名手法攻擊
關鍵要點
簡訊冒名是一種依賴心理操縱欺騙受害者匯款或分享敏感資訊的詐騙手法。
攻擊方會更改寄件者身分,以使發送簡訊看似來自可信任的來源。
您收到了詐騙簡訊嗎?立即向執法單位回報。
了解簡訊冒名手法及如何保護您的加密貨幣與個人資料不受駭客攻擊。
詐騙業的趨勢變化速度與其他產業相比毫不遜色。奈及利亞騙徒電子郵件詐騙是早先的主流;現在則是簡訊冒名手法。
與駭客嘗試使用程式碼侵入用戶資料庫的漏洞攻擊不同,簡訊冒名手法攻擊主要透過心理操縱。這表示詐騙者會偽裝成可信任來源,欺騙沒有戒心的受害者進行匯款或分享敏感資訊,如錢包詳細資訊。
本文將說明簡訊冒名手法攻擊如何運作、攻擊方針對您下手的不同方式,以及做為用戶您可以如何保護資金。
簡訊冒名手法攻擊如何運作?
攻擊方透過修改寄件者身分 (收信者手機上顯示的名稱或電話號碼),使發送的簡訊看似來自可信任來源。而目標便是誘騙受害者依簡訊中的指示行動。
詐騙簡訊可能以竄改過的名稱、電話或兩者皆備的形式發送至您的手機收件匣。舉例而言,看似來自「幣安」的簡訊可能由詐騙犯所發送,目的是要誘騙您下載惡意軟體、分享您的帳戶資訊或點擊惡意連結。
不幸的是,在世界各地,簡訊冒名手法得以遂行的機制多處於法律灰色地帶。某些國家已完全禁止這類行為,但其他國家仍未處理更改簡訊寄件者身分的濫用問題。
實務上,確實有更改收信者裝置顯示名稱的正當使用案例。例如一間公司可能使用子品牌而非主要品牌或電話號碼進行簡訊行銷。
如何辨識並防範簡訊攻擊?
即便是業界領先的安全性基礎架構也難以保護自願將密碼發送給駭客的用戶。第一道防線永遠是用戶本人。如果您想要妥善保護資金,便應隨時保持警戒,養成下列習慣。
1. 驗證收到的訊息
務必在回覆前詳查訊息來源。對任何預期外或可疑的訊息保持戒心。您可以使用幣安驗證工具驗證來自幣安的訊息,或將訊息截圖發給我們的客服團隊。至於其他服務,您應透過官方網站或其他可信任的管道直接聯絡相關平台。
2. 啟用兩步驟驗證
兩步驟驗證 (2FA) 能提供額外一層防護,防止攻擊方以簡訊冒名手法等方式獲得您的帳戶存取權。務必始終在支援 2FA 的帳戶上啟用該功能。
正確的使用 2FA 驗證碼能協助您保護帳戶。切勿在官方網站以外輸入您的 2FA 驗證碼,並務必多次確認 2FA 訊息內容,以確定用途。
3. 不要分享個人資訊
避免透過文字簡訊分享敏感資訊 (例如密碼、信用卡號碼、社會安全碼與其他政府核發的識別碼),尤其是未經過驗證的聯絡人。
4. 迴避可疑連結
尚未驗證簡訊真實性前,請勿點擊任何簡訊發送給您的連結。連結可能把您引導至意圖竊取登入資訊或在裝置上安裝惡意軟體的釣魚網站。
不要存取除有「未鎖定」符號或未加密網址 (HTTP 而非 HTTPS) 的網站;每次點擊之前,請檢查網址。務必只使用官方網站。舉例而言,若您不確定某一與幣安相關的連結、電子郵件、電話號碼、微信 ID、推特帳戶名或 Telegram ID 是否為官方帳號,您可以在幣安驗證上進行驗證。
有關如何保護加密貨幣資金的一般資訊,您可瀏覽我們的常見問題或幣安學院當中的安全專區。
以下列出我們發現偽裝為幣安相關單位的可疑網站。請不要瀏覽當中任何一個網站。這些網站的網域名稱可讓您了解,有意誤導用戶的「假幣安」網站架設者如何取名。
簡訊冒名手法類型
簡訊冒名手法的目標與手段可能有所不同。他們的共通點是取代真正的寄件者號碼或名稱,以便詐騙者偽裝成他人。簡訊冒名手法攻擊您的常見手段包含匯款與騷擾詐騙。
前者案例的詐騙犯會佯裝成如幣安的合法金融服務提供商,並向受害者發送如現金回饋交易的假簡訊。這類訊息通常會指示收件者掃描 QR Code 或存取連結,以領取現金回饋。
有意恐嚇受害對象的跟蹤狂與網路霸凌者也會透過簡訊冒名手法,以未知號碼或隨機名稱寄送威脅或不當訊息。
簡訊冒名手法攻擊實例
範例 1:2FA 假訊息
我們稱為傑克的用戶收到了一則訊息,內容為「[幣安] 用戶需升級 Web 3.0 以避免帳戶停用。Bianenc.net」
傑客看到寄件者是「幣安」,且訊息係透過平常接收 2FA 驗證碼的管道寄送,傑克便認定這是官方訊息並登入了釣魚網站,因而將帳戶資訊發給了詐騙犯。
範例 2. 「取消提款」
我們稱為布萊德的用戶收到了某人以「幣安」寄件者地址發送的簡訊。這則訊息提醒布萊德「取消當前提款操作」。布萊德相信這是一則官方訊息,便登入釣魚網站。
駭客成功利用布萊德的用戶名稱、密碼與 2FA 登入幣安官方網站,並進行現金提款。
在這個範例中,用戶疏忽了兩件事:
在幣安驗證上驗證連結。
詳查真正的 2FA 訊息,其內容為 2FA 驗證碼正用於進行提款,而非取消提款。
範例 3. 「驗證」或「升級」帳戶
我們的許多用戶都通報了他們收到內含驗證或升級帳戶連結的冒名簡訊。如訊息所述,若未完成訊息內要求之步驟會導致帳戶遭封鎖。實際上訊息中的連結會將用戶導至設計為竊取帳戶資訊用途的釣魚網站。請注意,這些簡訊當中的網域名皆偽裝成合法公司。
若您成為冒名簡訊的攻擊目標
若您懷疑有人向您發送冒名簡訊,請立即與相關執法單位聯繫。如果冒名簡訊與幣安相關,也請向幣安客服團隊發送報告。
若您的帳戶已遭侵入,請凍結您的款項以避免罪犯利用您的名稱開立新帳戶,並凍結您的信用卡與銀行帳戶。為保護您的資產,您也應該依照這篇常見問題指南:如何停用我的幣安帳戶當中的步驟停用您的帳戶。
永遠不要將您的幣安帳戶資訊、2FA 驗證碼或財務資訊以簡訊發送給任何人,即便要求資訊的人看似正當合法。除 SMS 冒名手法,詐騙犯也可能試圖以電子郵件或其他管道行騙。
在幣安驗證上詳查任何與幣安有關的網域名。請注意,本工具並非萬無一失。在您有疑慮時仍應保持謹慎。