Co je SMS spoofing a jak se mu vyhnout

SMS spoofing je častý typ kybernetického útoku. Podvodníci pomocí specializovaného softwaru falšují identitu odesílatele SMS. Cílem je vytvořit dojem, že zpráva přichází z legitimního zdroje, například z banky. Takto se pak snaží ukrást citlivé informace nebo do telefonu příjemce stáhnout malware. 

Typy SMS spoofingu

Rozpoznání podvržených zpráv od pravých může být obtížné. Je třeba se chránit tím, že budete ostražití a opatrní při odpovídání na nevyžádané SMS. Zde je několik běžných příkladů podvržených SMS (spoofingu):

• Falešná identita odesílatele

Nejběžnějším typem spoofingu je nahrazení ID odesílatele číslem nebo názvem některé renomované společnosti. Podvodníci by se například v podvodných SMS vydávali za Binance nebo TrustWallet. Tyto SMS se přidávaly do stejného vlákna jako oficiální zprávy, například mezi zprávy s ověřovacími kódy 2FA. Hackeři toho docílí tak, že použijí falešné ID odesílatele. Jejich podvržené SMS zprávy pak vypadají, že přicházejí z pravého zdroje.

• Falešný převod peněz

Podvodníci například příjemci zprávy napíší, že vyhrál cenu. Poté příjemce požádají o jeho bankovní údaje, aby mu mohli výhru zaslat na účet. Nebo mu pošlou odkaz, na kterém si má výhru vyzvednout.

• Obtěžování

Může se jednat o zasílání výhružných nebo nevhodných zpráv s cílem zastrašit příjemce a vylákat od nich peníze. Hackeři vyhrožují například zablokováním uživatelských účtů. Využívají přitom strach uživatelů z toho, že přijdou o svá aktiva. V takové situaci byste měli zachovat klid a předtím, než cokoli uděláte, si přijatou zprávu zkontrolovat.

Jak se nestat obětí SMS spoofingu?

• Kontrolujte příchozí zprávy: Před tím, než odpovíte na zprávu, si vždy dvakrát zkontrolujte její zdroj. Dávejte si pozor na nevyžádané zprávy a na zprávy, které vypadají podezřele. Pokud máte jakékoli pochybnosti, kontaktujte zákaznickou podporu Binance a ověřte si totožnost odesílatele.
• Nastavte si dvoufaktorové ověřování (2FA) a přístupové klíče: 2FA přidává k vašim účtům další úroveň zabezpečení. Díky němu je pro hackery mnohem těžší napadnout vás skrze podvržené SMS. Přístupové klíče (biometrické údaje) ztěžují útočníkům obejití tohoto kroku. Další informace naleznete ve článku „Jak vytvořit přístupový klíč pro účet Binance?“.
• Nikomu nesdělujte své osobní údaje: Nikdy nesdělujte citlivé informace (hesla, čísla platebních karet, čísla sociálního pojištění atd.) prostřednictvím textových zpráv, obzvláště pak nikomu, koho nemáte v kontaktech.
• Neklikejte na podezřelé odkazy: Nikdy neklikejte na odkazy v textových zprávách, aniž byste si ověřili pravost těchto zpráv. Odkazy mohou vést na phishingové stránky, pomocí kterých se vám podvodníci snaží ukrást přihlašovací údaje nebo vám do zařízení nainstalovat malware. Vždy si zkontrolujte, že jste na oficiálních webových stránkách příslušné společnosti. Pokud si například nejste jisti, zda je odkaz, e-mail, telefonní číslo, ID uživatele WeChat, účet na Twitteru nebo ID uživatele Telegramu pravé, můžete využít nástroj Ověření Binance.

Zde je například seznam phishingových stránek, které se vydávají za Binance.

Příklady SMS spoofingu

1. Falešné oznámení o aktualizaci účtu

Uživatel Binance obdržel SMS od odesílatele „Binance“, ve které byl vyzván k aktualizaci svého účtu, údajně, aby mohl i nadále využívat služby Binance. 

Hackeři použili specializovaný software ke zfalšování ID odesílatele SMS, takže falešná zpráva vypadala, jako by skutečně přišla od Binance. Protože se falešná SMS nacházela pod stejným vláknem jako oficiální zprávy s kódy 2FA, uživatel předpokládal, že zpráva je pravá. Jakmile se ale přihlásil na podvodnou webovou stránku, hackeři mu ukradli přihlašovací údaje k účtu.

2. Falešná žádost o zrušení výběru

Další uživatel Binance obdržel falešnou SMS s výzvou k potvrzení výběru. Uživatel se domníval, že je zpráva pravá, a tak zadal přihlašovací údaje ke svému účtu na podvodné stránce, aby „zrušil žádost o výběr“.

Po získání přihlašovacích údajů uživatele hacker inicioval žádost o výběr z uživatelova účtu. Poté uživatele navedl, aby na podvodné stránce zadal ověřovací kód 2FA. Jakmile uživatel kód zadal, hacker mu vybral prostředky z účtu. 

Poučení z tohoto příkladu:

• Uživatel si neověřil adresu URL stránky. Každý obdržený odkaz byste si měli ověřit pomocí funkce Ověření Binance.
• Uživatel se domníval, že kód 2FA sloužil ke zrušení žádostí o výběr. Kdyby však zprávu pečlivě zkontroloval, zjistil by, že kód 2FA byl ve skutečnosti určen k potvrzení žádosti o výběr. Proto když obdržíte zprávu s kódem 2FA, pečlivě ji zkontrolujte. Před zadáním kódu 2FA si vždy ověřte jeho účel.

3. Falešné ověření účtu

Několik uživatelů Binance obdrželo SMS s odkazem na ověření nebo aktualizaci uživatelského účtu. Jednalo se o phishingové pokusy o krádež přihlašovacích údajů. 

4. Žádost o hovor nebo osobní oznámení

Podvodník může tvrdit, že jste se „nově přihlásili“, a požádat vás, abyste zavolali zpět na podezřelé telefonní číslo, nebo oznámili své osobní údaje prostřednictvím podezřelé URL. 

Nevolejte ani neklikejte na žádný z uvedených zdrojů. Pomocí nástroje Ověření Binance můžete ověřit legitimitu jakékoli komunikace se společností Binance. Další informace naleznete ve článku „Co je Ověření Binance?“.

Pokud se setkáte s podvodníky vydávajícími se za společnost Binance, ihned to oznamte našemu týmu.