Główne wnioski

  • Podszywanie się pod SMS-y to rodzaj oszustwa polegającego na manipulacji psychologicznej w celu nakłonienia ofiary do przesłania pieniędzy lub udostępnienia poufnych informacji. 

  • Atakujący modyfikują tożsamość nadawcy, aby wiadomość SMS wyglądała tak, jakby pochodziła z zaufanego źródła. 

  • Czy kiedykolwiek otrzymałeś fałszywego SMS-a? Natychmiast zgłoś zdarzenie organom ścigania. 

Dowiedz się o podszywaniu się pod SMS-y i o tym, jak chronić swoje kryptowaluty i dane osobowe przed atakującymi. 

Podobnie jak w innych sektorach, trendy w zakresie oszustw szybko się zmieniają. Wcześniej najczęstsze były oszustwa e-mailowe wysyłane przez nigeryjskiego księcia, ale obecnie dominują ataki polegające na podszywaniu się pod SMS-y.

W odróżnieniu od exploitów, podczas których haker próbuje za pomocą kodu włamać się do bazy danych użytkownika, ataki polegające na podszywaniu się pod SMS-y wykorzystują przede wszystkim manipulację psychologiczną. Oznacza to, że oszust będzie próbował udawać zaufane źródło, próbując nakłonić ofiary do przesłania pieniędzy lub udostępnienia poufnych informacji, takich jak dane portfela. 

W tym artykule omówimy, jak działają ataki polegające na podszywaniu się pod SMS-y, różne sposoby, w jakie atakujący mogą Cię obrać, oraz jak Ty, jako użytkownik, możesz chronić swoje środki. 

Jak działa podszywanie się pod SMS-y?

Osoba atakująca modyfikuje tożsamość nadawcy (imię i nazwisko lub numer telefonu widoczny na telefonie odbiorcy), aby jego wiadomość tekstowa wyglądała tak, jakby pochodziła z zaufanego źródła. Celem jest nakłonienie ofiary do wykonania instrukcji zawartych w wiadomości. 

Fałszywy SMS może dotrzeć do skrzynki odbiorczej Twojego telefonu pod fałszywym nazwiskiem, fałszywym numerem telefonu lub jednym i drugim. Na przykład wiadomość tekstowa od Binance może w rzeczywistości pochodzić od oszusta próbującego nakłonić Cię do pobrania złośliwego oprogramowania, udostępnienia danych konta lub kliknięcia złośliwego łącza. 

Niestety mechanizmy umożliwiające fałszowanie SMS-ów skoncentrowane są w wielu regionach świata w niejednoznacznych warunkach prawnych. Niektóre kraje całkowicie zakazały tej praktyki, podczas gdy inne nie zajęły się jeszcze nadużyciami związanymi ze zmianą tożsamości nadawcy SMS-ów. 

W rzeczywistości istnieje kilka uzasadnionych przypadków użycia zmiany nazwy nadawcy wyświetlanej przez odbiorcę. Na przykład firma może prowadzić kampanię marketingową SMS i używać tożsamości podmarki zamiast głównej marki lub numeru telefonu. 

Jak identyfikować i unikać ataków polegających na podszywaniu się pod SMS-y?

Żadna infrastruktura bezpieczeństwa w branży, niezależnie od tego, jak silna, nie jest w stanie chronić użytkownika, który dobrowolnie wysyła swoje hasło hakerowi, ponieważ pierwszą linią obrony jest zawsze użytkownik. Jeśli chcesz chronić swoje pieniądze, musisz przez cały czas zachować czujność i wprowadzić poniższe praktyki do swojego nawyku. 

1. Sprawdź przychodzące wiadomości

Zawsze sprawdzaj źródło przychodzącej wiadomości przed udzieleniem odpowiedzi. Uważaj na spam i podejrzanie wyglądające wiadomości. Możesz zweryfikować wiadomości dla Binance za pomocą narzędzia Binance Verify lub wysyłając zrzut ekranu wiadomości do naszego zespołu wsparcia. W przypadku innych usług należy wysłać wiadomość do odpowiedniej platformy bezpośrednio za pośrednictwem jej oficjalnej strony internetowej lub innych zaufanych kanałów.

2. Włącz uwierzytelnianie dwuskładnikowe 

Uwierzytelnianie dwuskładnikowe (2FA) dodaje dodatkową warstwę zabezpieczeń w celu ochrony przed atakującymi, którzy próbują uzyskać dostęp do Twoich kont na różne sposoby, w tym podszywanie się za pośrednictwem wiadomości SMS. Zawsze włączaj uwierzytelnianie dwuskładnikowe (2FA) dla każdego konta obsługującego tę funkcję. 

Prawidłowo używane kody uwierzytelniania dwuskładnikowego (2FA) mogą pomóc chronić Twoje konto. Kody 2FA wprowadzaj tylko na oficjalnych stronach internetowych i pamiętaj o ponownym sprawdzeniu komunikatu 2FA, aby zobaczyć, do czego służy. 

3. Nie udostępniaj danych osobowych 

Unikaj udostępniania poufnych informacji (takich jak hasła, numery kart kredytowych, numery ubezpieczenia społecznego i inne identyfikatory wydane przez rząd) za pośrednictwem wiadomości tekstowych, szczególnie w przypadku niezweryfikowanych kontaktów.

4. Unikaj podejrzanych linków

Nie klikaj żadnych linków wysyłanych do Ciebie w wiadomościach tekstowych bez uprzedniego sprawdzenia, czy są one prawidłowe, ponieważ mogą przekierować Cię do witryn phishingowych, które próbują ukraść Twoje dane logowania lub zainstalować złośliwe oprogramowanie na Twoim urządzeniu. 

Nie wchodź na strony z ikonami Brak blokady lub niezaszyfrowanymi adresami URL (HTTP zamiast HTTPS) i zawsze sprawdzaj adres URL przed kliknięciem. Pamiętaj, aby korzystać wyłącznie z oficjalnych witryn internetowych. Na przykład, jeśli nie masz pewności, czy Twój link do Binance, adres e-mail, numer telefonu, identyfikator WeChat, konto na Twitterze lub identyfikator Telegramu są oficjalne, możesz to sprawdzić na Binance Verify 

Aby uzyskać ogólne informacje na temat ochrony swoich środków w kryptowalutach, możesz przejrzeć sekcje bezpieczeństwa w naszych często zadawanych pytaniach lub w Akademii Binance. 

Poniżej znajduje się lista podejrzanych witryn, które zidentyfikowaliśmy i które próbują sprawiać wrażenie powiązanych z Binance. Trzymaj się z daleka od nich wszystkich. Nazwy domen tych witryn dają wyobrażenie o tym, jak może wyglądać fałszywa witryna Binance, której twórcy próbują wprowadzić użytkowników w błąd.

Rodzaje ataków polegających na podszywaniu się pod SMS-y

Ataki polegające na podszywaniu się pod SMS-y mogą różnić się celami i mechanizmami, ale ich cechą wspólną jest zastąpienie prawdziwego numeru lub nazwiska nadawcy, co umożliwia oszustom podszywanie się pod inną osobę. Przelewy pieniężne lub spam to częste scenariusze, gdy ktoś próbuje zaatakować Cię fałszywą wiadomością tekstową.

W pierwszym przypadku oszuści podszywają się pod legalnego dostawcę usług finansowych, takiego jak Binance, i wysyłają ofiarom wiadomości tekstowe, na przykład dotyczące fałszywej transakcji typu cashback. Wiadomości te zazwyczaj proszą odbiorców o zeskanowanie kodu QR lub kliknięcie łącza w celu ubiegania się o zwrot gotówki.

Podszywanie się za SMS-y to także metoda stosowana przez prześladowców i cyberprzestępców, którzy chcą zastraszyć swoje ofiary, wysyłając groźby lub nieodpowiednie wiadomości z nieznanych numerów lub przypadkowych nazw.

Prawdziwe przykłady ataków podszywających się pod SMS-y

Przykład 1: Fałszywa wiadomość 2FA

Użytkownik, nazwijmy go Jack, otrzymuje wiadomość o następującej treści: „Użytkownicy [Binance] powinni dokonać aktualizacji do wersji Web 3.0, aby uniknąć wyłączenia kont Bianence.net”.

Jack widzi, że nadawcą jest Binance i że wiadomość dotarła tym samym kanałem, z którego zwykle otrzymuje swoje kody 2FA. Jack zakłada, że ​​jest to oficjalna wiadomość i loguje się na stronie phishingowej, podając w ten sposób oszustowi dane swojego konta.

Przykład 2. „Anuluj wypłatę”

Użytkownik, nazwijmy go Brad, otrzymuje SMS-a od osoby mającej adres nadawcy Binance. Wiadomość zawiera przypomnienie dla Brada, aby „Anulował bieżącą wypłatę”. Brad uważa, że ​​wiadomość jest oficjalna, więc loguje się na stronie phishingowej. 

Hakerowi udało się wykorzystać nazwę użytkownika, hasło i dwuskładnikowy kod uwierzytelniający Brada, który został wysłany w celu zalogowania się na oficjalnej stronie Binance i przeprowadzenia transakcji wypłaty gotówki. 

W tym przykładzie użytkownik zrobił dwie rzeczy:

  • Zweryfikuj link na Binance Verify.

  • Sprawdź dokładnie wiadomość z prawdziwym kodem 2FA, która faktycznie stwierdza, że ​​kod 2FA został użyty do zainicjowania wypłaty, a nie do jej anulowania. 

Przykład 3. „Zweryfikuj” lub „upgrade” konta

Wielu naszych użytkowników zgłosiło otrzymanie fałszywego SMS-a z linkiem umożliwiającym weryfikację lub aktualizację konta. Zgodnie z komunikatem, brak wykonania wymaganej czynności będzie skutkować zablokowaniem konta. Jednak link w wiadomości tekstowej przenosi użytkownika do witryny phishingowej, której celem jest kradzież danych konta. Pamiętaj, że te wiadomości tekstowe próbują sprawiać wrażenie, jakby pochodziły od legalnych stron.

Jeśli padłeś celem ataków podszywających się pod SMS-y

  • Jeśli podejrzewasz, że ktoś wysłał Ci fałszywego SMS-a, natychmiast skontaktuj się z odpowiednim organem ścigania. Jeśli oszustwo SMS jest powiązane z Binance, zgłoś je również Zespołowi Wsparcia Binance.

  • Jeśli ktoś włamał się na Twoje konto, zamroź swoje środki, aby uniemożliwić przestępcom otwieranie nowych kont na Twoje nazwisko, a także zamroź karty kredytowe i konta bankowe. Aby chronić swoje aktywa, powinieneś również dezaktywować swoje konto, postępując zgodnie z krokami zawartymi w tym przewodniku z najczęściej zadawanymi pytaniami: Jak dezaktywować moje konto Binance.

  • Nigdy nie wysyłaj nikomu danych swojego konta Binance, dwuskładnikowego kodu uwierzytelniającego ani informacji finansowych SMS-em, nawet jeśli podmiot żądający tych danych wydaje się na pierwszy rzut oka uzasadniony. Oprócz podszywania się pod SMS-y oszuści mogą również próbować oszukać Cię za pośrednictwem poczty elektronicznej lub innych kanałów. 

  • Dokładnie sprawdź dowolną domenę powiązaną z Binance na Binance Verify. Należy jednak pamiętać, że narzędzie nie jest całkowicie niezawodne i należy zachować ostrożność, jeśli czujesz, że coś jest podejrzane. 

Powiązane artykuły

  • Dowiedz się o oszustwach

  • Zachowaj bezpieczeństwo: czym są ataki polegające na przejęciu konta? 

  • Przewodnik po fałszywych aplikacjach: jak je rozpoznać i uniknąć