A falsificação de SMS é um tipo de golpe que se baseia na manipulação psicológica para enganar as vítimas para que enviem dinheiro ou compartilhem informações confidenciais.
Os invasores modificam a identidade do remetente para fazer com que a mensagem SMS pareça vir de uma fonte confiável.
Você recebeu um SMS falsificado? Relate o incidente às autoridades imediatamente.
As tendências na indústria de fraudes mudam muito rápido em todo lugar. Antes, os golpes de e-mail do príncipe nigeriano estavam na moda; hoje, são os ataques de falsificação de SMS.
Ao contrário das explorações em que um hacker tenta usar um código para invadir um banco de dados do usuário, os ataques de falsificação de SMS usam principalmente a manipulação psicológica. Isso significa que o golpista tentará se passar por uma fonte confiável na tentativa de enganar as vítimas inocentes para que enviem dinheiro ou compartilhem informações confidenciais, como informações da carteira.
Neste artigo, veremos como os ataques de falsificação de SMS funcionam, as diferentes maneiras pelas quais os golpistas podem atingir você, e como você pode proteger seus fundos.
O golpista modifica a identidade do remetente (o nome ou o número de telefone que aparece no telefone do destinatário) para fazer com que a mensagem de texto pareça vir de uma fonte confiável. O objetivo é induzir a vítima a seguir as instruções da mensagem.
Um SMS falsificado pode chegar à caixa de entrada do telefone com um nome ou número de telefone adulterado ou ambos. Por exemplo, um texto que aparece de "Binance" pode ser um golpista tentando induzi-lo a baixar um malware, compartilhar informações da sua conta ou clicar em um link malicioso.
Infelizmente, os mecanismos que permitem a falsificação de SMS estão em uma área cinzenta legal em muitas regiões do mundo. Alguns países baniram totalmente a prática, enquanto outros ainda não lidaram com o abuso de alterar a identidade do remetente do SMS.
Existem, de fato, alguns casos de uso legítimos para alterar o nome do remetente conforme ele aparece no destinatário. Por exemplo, uma empresa pode executar uma campanha de marketing por SMS e usar uma identidade da submarca em vez da marca principal ou número de telefone.
Mesmo uma infraestrutura de segurança líder do setor pode fazer pouco para proteger um usuário que envia voluntariamente sua senha para um hacker. A primeira linha de defesa é sempre o usuário. Se você deseja manter seus fundos seguros, deve permanecer vigilante o tempo todo, tornando as práticas a seguir um hábito.
Sempre verifique a origem de uma mensagem recebida antes de responder. Seja cauteloso com quaisquer mensagens não solicitadas ou que pareçam suspeitas. Você pode verificar as mensagens específicas da Binance usando a ferramenta Verificação Binance ou enviando uma captura de tela da mensagem para nossa equipe de suporte. Para outros serviços, você deve enviar uma mensagem à plataforma relevante diretamente através do site oficial ou de outros canais confiáveis.
A autenticação de dois fatores (2FA) adiciona uma camada extra de segurança contra invasores que tentam obter acesso às suas contas, inclusive por meio de falsificação de SMS. Sempre habilite o 2FA para qualquer conta que ofereça essa opção.
Os códigos 2FA, quando usados corretamente, podem ajudar a proteger sua conta. Insira seus códigos 2FA apenas em sites oficiais e certifique-se de verificar novamente a mensagem 2FA para ver para o que ela está sendo usada.
Evite compartilhar informações confidenciais (por exemplo, senhas, números de cartão de crédito, números de seguro social e outros identificadores emitidos pelo governo) por meio de mensagens de texto, especialmente com contatos não verificados.
Não clique em nenhum link enviado a você por mensagem de texto sem primeiro verificar sua legitimidade. Os links podem levar a sites de phishing que tentam roubar suas credenciais de login ou instalar malware em seu dispositivo.
Não acesse sites sem o símbolo do "cadeado" ou URLs não criptografadas (HTTP em vez de HTTPS); sempre verifique o URL antes de clicar. Certifique-se de usar apenas sites oficiais. Por exemplo, se você não tiver certeza se um link, e-mail, número de telefone, ID do WeChat, identificador do Twitter ou ID do Telegram relacionado à Binance é oficial, você pode verificá-lo na Verificação Binance.
Para obter informações gerais sobre como proteger seus fundos cripto, você pode explorar as seções de segurança em nossas Perguntas Frequentes ou na Binance Academy.
Aqui está uma lista de sites suspeitos que identificamos que tentam parecer afiliados à Binance. Fique longe de todos eles. Seus nomes de domínio também dão uma ideia de como pode ser um site "falso da Binance" cujos criadores estão tentando enganar os usuários.
Os ataques de falsificação de SMS (SMS spoof attacks) podem variar em seus alvos e mecânica. O que todos eles têm em comum é que o número ou nome do remetente real é substituído, o que permite que os golpistas apareçam como outra pessoa. Cenários comuns de como alguém pode atingir você com um SMS falsificado incluem transferências de dinheiro e falsificações de assédio.
No primeiro caso, os golpistas se passarão por um provedor de serviços financeiros legítimo, como a Binance, e enviarão mensagens de texto às vítimas sobre, por exemplo, uma transação falsa de reembolso. Essas mensagens normalmente instruem os destinatários a escanear um código QR ou acessar um link para reivindicar seu cashback.
A falsificação de SMS também é usada por stalkers e cyberbullies que desejam intimidar suas vítimas enviando mensagens ameaçadoras ou inapropriadas de números desconhecidos ou sob nomes aleatórios.
Um usuário, a quem chamaremos de Paulo, recebe uma mensagem que diz: "[Binance] Os usuários precisam atualizar a Web 3.0 para evitar a desativação de contas. Bianenc.net"
Paulo vê que o remetente é a "Binance" e que a mensagem veio pelo mesmo canal do qual ele normalmente recebe seus códigos 2FA. Paulo assume que esta é uma mensagem oficial e faz o login no site de phishing, fornecendo assim os detalhes da sua conta ao golpista.
Uma usuária, a quem chamaremos de Ana, recebe uma mensagem SMS de alguém com um endereço de remetente "Binance". A mensagem lembra Ana de "cancelar seu saque atual". Brad, acreditando que a mensagem é oficial, faz o login no site de phishing.
O hacker consegue usar o nome de usuário, senha e 2FA de Brad para fazer login no site oficial da Binance e iniciar um saque em dinheiro.
Neste exemplo, a usuária não fez duas coisas:
Verificar o link na Verificação Binance.
Verificar novamente a mensagem 2FA real, que na verdade dizia que o código 2FA estava sendo usado para iniciar um saque, não para cancelá-lo.
Muitos dos nossos usuários relataram ter recebido um SMS falsificado com um link para verificar ou atualizar sua conta. Conforme explicado na mensagem, a falha em executar a ação necessária resultaria no bloqueio da conta. Na realidade, o link na mensagem de texto leva a um site de phishing projetado para roubar informações da conta. Observe que os domínios nessas mensagens de texto estão tentando aparecer como empresas legítimas.
Se você suspeitar que alguém lhe enviou um SMS falsificado, entre em contato com uma autoridade policial relevante imediatamente. Se o SMS falsificado for relacionado à Binance, por favor, envie também um relatório para a Equipe de Suporte da Binance.
Caso sua conta tenha sido comprometida, congele seu crédito para evitar que criminosos abram novas contas em seu nome, além de congelar seus cartões de crédito e contas bancárias. Para proteger seus ativos, você também deve desativar sua conta seguindo as etapas deste guia de Perguntas Frequentes: Como desativar minha conta Binance.
Nunca envie informações da sua conta Binance, código 2FA ou informações financeiras para ninguém, mesmo que aqueles que solicitam pareçam legítimos à primeira vista. Além da falsificação de SMS, os golpistas também podem tentar fraudá-lo por e-mail ou outros canais.
Verifique qualquer domínio relacionado à Binance na Verificação Binance. Observe, no entanto, que a ferramenta não é infalível. Você ainda deve ter cuidado se sentir que algo está errado.
