Jak chronić swoje kryptowaluty przed atakami polegającymi na fałszowaniu wiadomości SMS

Główny punkt

• Podszywanie się pod SMS-y to rodzaj oszustwa wykorzystującego inżynierię społeczną w celu nakłonienia ofiar do przesłania pieniędzy lub udostępnienia poufnych informacji. 

• Atakujący zmieniają tożsamość nadawcy, aby wiadomości SMS wyglądały tak, jakby pochodziły z zaufanego źródła. 

• Czy otrzymałeś fałszywego SMS-a? Natychmiast zgłoś zdarzenie organom ścigania. 

Dowiedz się o fałszowaniu SMS-ów i o tym, jak chronić swoje dane kryptograficzne i osobiste przed atakującymi. 

Trendy w branży oszustw zmieniają się równie szybko, jak w każdej innej branży. Wcześniej oszustwo e-mailowe związane z nigeryjskim księciem było bardzo popularne. Obecnie najczęstszym oszustwem są ataki polegające na fałszowaniu wiadomości SMS.

W przeciwieństwie do exploitów, czyli prób hakerów próbujących za pomocą kodu włamać się do baz danych użytkowników, ataki polegające na fałszowaniu wiadomości SMS wykorzystują przede wszystkim socjotechnikę. Oznacza to, że oszuści będą próbowali podszywać się pod zaufane źródła, aby nakłonić niczego niepodejrzewające ofiary do przesłania pieniędzy lub udostępnienia poufnych informacji, takich jak dane portfela. 

W tym artykule omówimy mechanikę ataków polegających na fałszowaniu wiadomości SMS, różne sposoby, w jakie atakujący mogą Cię obrać za cel, oraz to, jak Ty, jako użytkownik, możesz chronić swoje środki. 

Jak działa fałszowanie SMS-ów?

Atakujący modyfikują tożsamość nadawcy (imię i nazwisko lub numer telefonu widoczny na telefonie odbiorcy), aby wiadomość tekstowa wyglądała tak, jakby pochodziła z zaufanego źródła. Celem jest nakłonienie ofiary do wykonania instrukcji zawartych w wiadomości. 

Do skrzynki odbiorczej Twojego telefonu mogą zostać wysłane fałszywe wiadomości SMS zawierające fałszywe imię i nazwisko lub numer telefonu albo jedno i drugie. Na przykład tekst pojawiający się na stronie „Binance” może pochodzić od oszusta próbującego nakłonić Cię do pobrania złośliwego oprogramowania, udostępnienia danych konta lub kliknięcia złośliwego łącza. 

Niestety mechanizmy umożliwiające fałszowanie SMS-ów znajdują się w szarej strefie prawnej w wielu regionach świata. Niektóre kraje całkowicie zakazały tej praktyki, podczas gdy inne nie zajęły się jeszcze problemem niewłaściwego wykorzystywania zmiany tożsamości nadawców SMS-ów. 

W rzeczywistości istnieje kilka uzasadnionych przypadków użycia zmiany nazwy nadawcy wyświetlanej po stronie odbiorcy. Na przykład firma może prowadzić kampanię marketingową SMS i używać tożsamości podmarki zamiast głównej marki lub numeru telefonu. 

Jak rozpoznać i uniknąć fałszowania SMS-ów?

Nawet wiodąca w branży infrastruktura bezpieczeństwa niewiele może zrobić, aby chronić użytkowników, którzy dobrowolnie przekazują swoje hasła hakerom. Pierwszą linią obrony jest zawsze użytkownik. Jeśli chcesz bezpiecznie przechowywać swoje środki, musisz przez cały czas zachować czujność i wyrobić sobie w sobie następujące praktyki. 

1. Sprawdź przychodzące wiadomości

Zawsze dokładnie sprawdzaj źródło przychodzących wiadomości przed udzieleniem odpowiedzi. Uważaj na nieoczekiwane wiadomości lub wiadomości, które wydają się podejrzane. Możesz zweryfikować niestandardowe wiadomości Binance, korzystając z narzędzia Binance Verify lub wysyłając zrzut ekranu wiadomości do naszego zespołu wsparcia. W przypadku innych usług należy wysłać wiadomość do odpowiedniej platformy bezpośrednio za pośrednictwem jej oficjalnej strony internetowej lub innych zaufanych kanałów.

2. Włącz uwierzytelnianie dwuskładnikowe 

Uwierzytelnianie dwuskładnikowe (2FA) zapewnia dodatkową warstwę zabezpieczeń przed atakującymi próbującymi uzyskać dostęp do Twojego konta, w tym poprzez fałszowanie SMS-ów. Zawsze włączaj 2FA dla każdego konta, które je obsługuje. 

Jeśli zostaną prawidłowo użyte, kody 2FA mogą pomóc chronić Twoje konto. Wpisz swój kod 2FA tylko na oficjalnej stronie internetowej. Upewnij się, że dokładnie sprawdziłeś wiadomości 2FA, aby zobaczyć, do czego są używane. 

3. Nie udostępniaj danych osobowych 

Unikaj udostępniania poufnych informacji (na przykład haseł, numerów kart kredytowych, numerów ubezpieczenia społecznego i innych identyfikatorów wydanych przez rząd) za pośrednictwem wiadomości tekstowych, zwłaszcza niezweryfikowanym kontaktom.

4. Unikaj podejrzanych linków

Nie klikaj żadnych linków przesyłanych do Ciebie SMS-em bez uprzedniego sprawdzenia ich autentyczności. Link może prowadzić do witryny phishingowej, która próbuje ukraść Twoje dane logowania lub zainstalować złośliwe oprogramowanie na Twoim urządzeniu. 

Nie wchodź na strony oznaczone symbolem „Brak klucza” lub niezaszyfrowane adresy URL (HTTP, a nie HTTPS). Zawsze sprawdzaj adres URL przed kliknięciem. Upewnij się, że korzystasz wyłącznie z oficjalnych witryn internetowych. Na przykład, jeśli nie masz pewności, czy link, adres e-mail, numer telefonu komórkowego, identyfikator WeChat, konto na Twitterze lub identyfikator Telegramu powiązane z Binance pochodzą z oficjalnego źródła, możesz to zweryfikować na stronie Binance Verify

Aby uzyskać ogólne informacje na temat ochrony swoich środków kryptograficznych, możesz zapoznać się z sekcją bezpieczeństwa w naszych FAQ lub Akademii Binance.. 

Poniżej znajduje się lista podejrzanych witryn, które zidentyfikowaliśmy i które próbują wyglądać, jakby były powiązane z Binance. Unikaj wszystkich tych stron internetowych. Nazwa domeny daje również wyobrażenie o tym, jak wygląda „fałszywa witryna Binance”, która próbuje wprowadzić użytkowników w błąd.

Rodzaje fałszowania SMS-ów

Cele i mechanizmy ataków polegających na fałszowaniu wiadomości SMS mogą się różnić. Odpowiednikiem jest zastąpienie faktycznego numeru lub nazwiska nadawcy, dzięki czemu oszuści mogą udawać kogoś innego. Typowe scenariusze, w których ktoś może Cię obrać za cel za pomocą fałszowania SMS-ów, obejmują przelewy pieniężne i fałszowanie nękania.

W pierwszym przypadku oszuści podszywają się pod legalnego dostawcę usług finansowych, takiego jak Binance, a następnie wysyłają ofierze krótkie wiadomości, na przykład o fałszywych transakcjach typu cashback. Takie wiadomości zazwyczaj proszą odbiorców o zeskanowanie kodu QR lub dostęp do linku umożliwiającego ubieganie się o zwrot pieniędzy.

Podszywanie się pod SMS-y jest również wykorzystywane przez prześladowców i cyberprzestępców, którzy chcą zastraszyć swoje ofiary, wysyłając groźne lub nieodpowiednie wiadomości z nieznanych lub losowo nazwanych numerów.

Prawdziwe przykłady ataków polegających na fałszowaniu wiadomości SMS

Przykład 1: Fałszywa wiadomość 2FA

Jeden z użytkowników, nazwijmy go Jack, otrzymał wiadomość o następującej treści: „Użytkownik [Binance] musi zaktualizować Web 3.0, aby zapobiec wyłączeniu swojego konta. Bianenc.net”

Jack zobaczył, że nadawcą był „Binance” i że wiadomość pochodziła z tego samego kanału, z którego zwykle otrzymywał kod 2FA. Jack zakłada, że ​​jest to wiarygodna wiadomość, więc loguje się na stronie phishingowej i podaje oszustowi dane swojego konta.

Przykład 2. „Anulowanie wypłaty”

Użytkownik, nazwijmy go Brad, otrzymał od kogoś wiadomość SMS z adresem zwrotnym „Binance”. Wiadomość przypomniała Bradowi, aby „w tej chwili anulował wycofanie się”. Wierząc, że wiadomość jest oficjalna, Brad zalogował się na stronę phishingową. 

Hakerowi udało się użyć nazwy użytkownika, hasła i 2FA Brada, aby zalogować się na oficjalnej stronie Binance, a następnie dokonać wypłaty gotówki. 

W tym przykładzie użytkownik nie zrobił dwóch rzeczy:

• Zweryfikuj link na Binance Verify.

• Sprawdź dokładnie wiadomość 2FA, która faktycznie zawiera informację, że kod 2FA służy do dokonania wypłaty, a nie do jej anulowania. 

Przykład 3. „Zweryfikuj” lub „Uaktualnij” konto

Wielu naszych użytkowników zgłosiło otrzymywanie fałszywych SMS-ów zawierających linki umożliwiające weryfikację lub aktualizację konta. Jak wyjaśniono w komunikacie, konto zostanie zablokowane w przypadku niepodjęcia wymaganych działań. W rzeczywistości link zawarty w wiadomości tekstowej prowadził do witryny phishingowej, której celem była kradzież danych konta. Należy pamiętać, że domeny zawarte w tych wiadomościach tekstowych starają się sprawiać wrażenie legalnych firm.

Jeśli jesteś celem fałszowania wiadomości SMS

• Jeśli podejrzewasz, że ktoś wysłał do Ciebie sfałszowaną wiadomość SMS, natychmiast skontaktuj się z odpowiednimi organami ścigania. Jeśli fałszowanie SMS-ów jest powiązane z Binance, prześlij również raport do zespołu Wsparcia Binance.

• Jeśli Twoje konto zostało naruszone, zamroź swoje karty kredytowe i konta bankowe oraz zamroź swój kredyt, aby uniemożliwić przestępcom otwieranie nowych kont na Twoje nazwisko. Aby chronić swoje aktywa, powinieneś także dezaktywować swoje konto, postępując zgodnie z krokami zawartymi w tym przewodniku z najczęściej zadawanymi pytaniami: Jak dezaktywować moje konto Binance.

• Nigdy nie wysyłaj nikomu danych swojego konta Binance, kodu 2FA ani informacji finansowych, nawet jeśli osoba prosząca o to wydaje się na pierwszy rzut oka wiarygodna. Oprócz fałszowania SMS-ów oszuści mogą również próbować oszukać Cię za pośrednictwem poczty elektronicznej lub innych kanałów. 

• Sprawdź dokładnie domenę powiązaną z Binance w Binance Verify. Należy jednak pamiętać, że to narzędzie nie gwarantuje, że będziesz wolny od oszustw. Nadal musisz zachować ostrożność, jeśli czujesz, że coś jest nie tak. 

Dalsze czytanie

• Poznaj swoje oszustwo

• Zachowaj bezpieczeństwo: co to jest atak polegający na przejęciu konta? 

• Przewodnik po fałszywych aplikacjach: jak je rozpoznawać i unikać