簡訊冒名手法是一種常見的網路攻擊。詐騙份子使用專門軟體更改簡訊發送者 ID,讓簡訊看起來像真的來自銀行等正當來源。如此一來,詐騙份子就能竊取敏感資訊,或在接收者的手機下載惡意軟體。
簡訊冒名手法類型
想要區分正當簡訊和詐騙簡訊,是一項頗具挑戰性的任務。為了保護自己,當您要回應未經請求的簡訊時,保持警覺和謹慎極為重要。以下是一些簡訊冒名手法的常見案例:
- 假冒發送者 ID
最常見的詐騙類型,是將發送者的 ID 替換為知名企業的號碼或名稱。例如,詐騙份子可能冒充幣安或 TrustWallet 發送網路釣魚簡訊。這些簡訊會與兩步驟驗證等官方訊息歸類在相同的對話串內。這是由於駭客使用簡訊冒名手法更改發送者 ID,藉以掩飾訊息的實際來源。
- 假匯款
詐騙份子會聲稱收件人贏得獎項。接著要求收件人提供銀行資訊以便存入獎金,或者引導收件人點擊某個連結來領取獎品。
- 騷擾行為
騷擾行為包括發送威脅或不當訊息來恐嚇受害者,希望從受害者那裡勒索錢財。例如威脅要封鎖用戶的帳戶。駭客時常會利用人們對於失去資產的恐懼。在這種情況下,您應該保持冷靜,並在採取行動之前先行驗證訊息。
如何防範簡訊冒名手法?
- 驗證收到的訊息:務必在回覆訊息前詳查來源。對任何預期外或可疑的訊息保持戒心。如有疑慮,您可以聯絡幣安客服來確認發送者的身份。
- 開啟兩步驟驗證 (2FA):兩步驟驗證為您的帳號增添額外保護,讓駭客更難以透過簡訊冒名手法入侵你的帳號。
- 切勿分享個人資訊:絕對不要透過簡訊分享敏感資訊 (例如密碼、信用卡號碼或社會安全號碼),尤其是那些未經驗證的聯絡人。
- 切勿點擊可疑連結:在確認連結的真實性之前,不要點擊任何透過簡訊傳送給您的連結。這些連結可能會引導你到網路釣魚網站,試圖竊取你的登入資訊,或在您的裝置上安裝惡意軟體。請確保您使用的是商家的官方網站。舉例而言,若您不確定某一連結、電子郵件、電話號碼、微信 ID、推特帳戶或 Telegram ID 是否為官方帳號,您可以在幣安驗證上進行驗證。
例如以下是一份試圖冒充幣安的網路釣魚可疑網站名單。
簡訊冒名手法案例
1. 偽造帳戶升級通知
某位幣安用戶收到了一則看似來自「幣安」的簡訊,該簡訊要求用戶升級帳戶,以繼續使用幣安的服務。
駭客利用專門軟體偽冒簡訊發送者 ID,讓這則假簡訊看起來像是真的來自幣安。由於這則假簡訊與官方的兩步驟驗證碼訊息在同一個對話串內,所以用戶以為這則訊息是真的。當用戶登入該網路釣魚網站後,用戶的帳戶登入憑證就被駭客竊取了。
2. 偽造取消提領請求
另一位幣安用戶則收到一則要求確認提領的假簡訊。該用戶以為這則訊息是真的,於是在網路釣魚網站上登入帳戶,試圖「取消提領請求」。
駭客獲得用戶的登入憑證後,即從用戶的帳戶發出提領請求,並引導用戶在網路釣魚網站上輸入兩步驟驗證碼。當用戶輸入驗證碼後,駭客就能成功提領用戶的資產。
從此一案例中我們可以學到:
- 用戶並未驗證網站網址。您應該在訪問任何網站前,都先在幣安驗證上驗證網站連結。
- 用戶以為兩步驟驗證碼是用來取消提領請求的。但如果用戶細讀簡訊內容,就會發現兩步驟驗證碼其實是用來確認提領請求的。因此,當您收到兩步驟驗證碼簡訊時,一定要仔細檢查。輸入驗證碼前,一定要確認驗證碼的用途。
3. 偽造帳戶驗證
有幾位幣安用戶收到了一則簡訊,裡面包含用來驗證或升級帳戶的連結,這其實是一種網路釣魚手法,試圖竊取用戶的帳戶資訊。