Chủ yếu
Giả mạo SMS là một loại lừa đảo dựa trên sự thao túng. Kẻ tấn công cố gắng lừa nạn nhân gửi tiền hoặc chia sẻ thông tin bí mật.
Kẻ lừa đảo thay đổi thông tin của người gửi để khiến tin nhắn SMS có vẻ như đến từ một nguồn đáng tin cậy.
Nếu bạn nhận được một tin nhắn SMS như vậy, hãy báo cáo ngay cho cơ quan thực thi pháp luật.
Tìm hiểu thêm về việc giả mạo SMS và cách bảo vệ tiền điện tử cũng như dữ liệu cá nhân của bạn khỏi những kẻ tấn công.
Xu hướng trong ngành gian lận thay đổi nhanh chóng như bất kỳ ngành nào khác. Một vài năm trước, những kẻ lừa đảo đã gửi thư từ “các hoàng tử Nigeria”, nhưng ngày nay việc giả mạo SMS đang ở mức phổ biến nhất.
Không giống như hack, trong đó kẻ tấn công cố gắng truy cập vào cơ sở dữ liệu của người dùng bằng mã chương trình, công cụ chính của việc giả mạo SMS là thao túng tâm lý. Kẻ lừa đảo đóng giả là người đáng tin cậy và cố lừa nạn nhân chuyển tiền hoặc chia sẻ thông tin bí mật, chẳng hạn như thông tin chi tiết về ví.
Trong bài viết này, chúng ta sẽ xem cách hoạt động của hoạt động giả mạo SMS, cách kẻ tấn công có thể tấn công bạn và cách bạn có thể bảo vệ tiền của mình.
Cách thức hoạt động của hoạt động giả mạo SMS
Những kẻ tấn công làm sai lệch thông tin người gửi (tên hoặc số điện thoại) để tạo ấn tượng rằng SMS đến từ một nguồn đáng tin cậy. Công việc của chúng là lừa nạn nhân làm theo hướng dẫn trong tin nhắn.
Tin nhắn này có thể được gửi dưới tên của người khác hoặc từ một số điện thoại giả - hoặc đôi khi là cả hai. Ví dụ: một tin nhắn tự xưng là từ Binance có thể là từ một kẻ lừa đảo đang cố lừa bạn tải xuống phần mềm độc hại, chia sẻ thông tin đăng nhập của bạn hoặc nhấp vào liên kết lừa đảo.
Thật không may, ở nhiều khu vực pháp lý, cơ chế giả mạo tên và số điện thoại của người gửi trong tin nhắn SMS không được quy định chặt chẽ. Ở một số quốc gia, hành vi này bị cấm, ở những quốc gia khác, nó hoàn toàn hợp pháp.
Hơn nữa, trong một số trường hợp, việc hiển thị tên người gửi đã thay đổi trên điện thoại người nhận là khá hợp lý. Ví dụ: khi chạy chiến dịch quảng cáo qua SMS, thay vì tên thương hiệu chính hoặc số điện thoại trong tin nhắn, bạn có thể chỉ ra thương hiệu mà chiến dịch liên quan đến.
Cách xác định giả mạo SMS và bảo vệ bạn khỏi nó
Ngay cả cơ sở hạ tầng bảo mật tiên tiến nhất cũng sẽ không bảo vệ được người dùng nếu họ tự nguyện tiết lộ mật khẩu của mình cho những kẻ lừa đảo. Trước hết, mọi thứ đều nằm trong tay người dùng. Để giúp giữ tiền của bạn an toàn, hãy luôn cảnh giác và áp dụng các phương pháp sau.
1. Kiểm tra tính xác thực của SMS đến
Luôn kiểm tra kỹ nguồn của tin nhắn trước khi trả lời nó. Hãy cảnh giác với bất kỳ tin nhắn bất ngờ hoặc đáng ngờ nào. Nếu bạn nhận được email từ Binance có vẻ đáng ngờ, vui lòng xác minh tính xác thực của nó bằng công cụ Binance Verify hoặc gửi ảnh chụp màn hình cho nhóm hỗ trợ của chúng tôi. Đối với các nền tảng khác, vui lòng liên hệ trực tiếp với công ty có liên quan thông qua trang web chính thức hoặc các kênh đáng tin cậy khác.
2. Kích hoạt xác thực hai yếu tố (2FA)
Xác thực hai yếu tố (2FA) bổ sung thêm một lớp bảo vệ khác chống lại những kẻ tấn công đang cố giành quyền truy cập vào tài khoản của bạn, bao gồm cả việc giả mạo SMS. Kích hoạt 2FA trong tất cả các dịch vụ hỗ trợ tính năng này.
Khi được sử dụng đúng cách, mã 2FA có thể giúp bảo vệ dữ liệu của bạn. Chỉ nhập mã 2FA trên các trang web chính thức và đảm bảo kiểm tra xem thông báo có mã 2FA có cho biết chính xác lý do mã này được gửi cho bạn hay không.
3. Không chia sẻ thông tin cá nhân của bạn với bất kỳ ai.
Không chia sẻ thông tin nhạy cảm (chẳng hạn như mật khẩu, số thẻ tín dụng, số ID hoặc các tài liệu khác của chính phủ) qua SMS, đặc biệt là với các liên hệ không đáng tin cậy.
4. Không mở các liên kết đáng ngờ
Không nhấp vào các liên kết được gửi trong SMS mà không xác minh tính xác thực của chúng. Các liên kết này có thể dẫn đến các trang web lừa đảo cho phép kẻ tấn công cố gắng đánh cắp thông tin đăng nhập của bạn hoặc cài đặt phần mềm độc hại trên thiết bị của bạn.
Tránh truy cập các trang web có biểu tượng ổ khóa mở hoặc URL không được mã hóa (có tiền tố HTTP thay vì HTTPS) và luôn kiểm tra các liên kết trước khi mở chúng. Chỉ sử dụng các trang web chính thức. Ví dụ: nếu bạn không chắc liệu liên kết, địa chỉ email, số điện thoại, số WeChat, tài khoản Twitter hoặc tài khoản Telegram được liên kết với Binance có phải là chính thức hay không, bạn có thể kiểm tra bằng cách sử dụng Binance Verify.
Để biết thông tin chung về cách bảo vệ tiền điện tử của bạn, vui lòng tham khảo phần bảo mật trong Câu hỏi thường gặp hoặc Binance Academy.
Dưới đây là danh sách các trang web mà chúng tôi biết giả vờ là dịch vụ liên kết của Binance. Tránh xa họ. Tên miền của họ cũng cho biết trang Binance giả mạo trông như thế nào và đang cố gắng đánh lừa người dùng.
Các loại giả mạo SMS
Các cuộc tấn công giả mạo khác nhau về mục tiêu và cơ chế thực hiện. Nhưng điểm chung của chúng là kẻ lừa đảo giả danh người khác, giả mạo tên hoặc số điện thoại của người gửi. Tin nhắn SMS giả mạo thường liên quan đến việc chuyển tiền hoặc theo dõi.
Trong trường hợp đầu tiên, những kẻ lừa đảo giả vờ là nhà cung cấp dịch vụ tài chính hợp pháp như Binance và gửi cho nạn nhân tin nhắn về việc hoàn tiền giả. Thông thường, người nhận được yêu cầu quét mã QR hoặc nhấp vào liên kết để nhận tiền hoàn lại.
Việc giả mạo SMS cũng được sử dụng bởi những kẻ theo dõi và bắt nạt trên mạng. Chúng cố gắng đe dọa nạn nhân bằng cách gửi tin nhắn đe dọa hoặc tục tĩu từ những số điện thoại không xác định hoặc dưới những tên ngẫu nhiên.
Ví dụ thực tế về các cuộc tấn công giả mạo SMS
Ví dụ 1: Tin nhắn 2FA giả mạo
Người dùng—hãy gọi anh ấy là Jack—đã nhận được một thông báo có nội dung: “[Binance] Người dùng cần nâng cấp lên Web 3.0 để tránh bị vô hiệu hóa tài khoản. Bianec.net"
Jack thấy rằng tin nhắn đến từ Binance thông qua cùng một kênh mà anh ấy thường nhận được mã 2FA của mình. Vì vậy, anh ta coi tin nhắn là chính thức, đi đến trang lừa đảo và nhập thông tin đăng nhập của mình.
Ví dụ 2: Hủy rút tiền
Một người dùng mà chúng tôi gọi là Brad nhận được một tin nhắn văn bản tự xưng là từ Binance. Tin nhắn nhắc anh ta “hủy việc rút tiền”. Coi tin nhắn này là chính thức, Brad truy cập một trang web lừa đảo.
Kết quả là kẻ lừa đảo nhận được tên người dùng, mật khẩu và mã 2FA, cho phép anh ta đăng nhập vào trang web chính thức của Binance và rút tiền.
Trong ví dụ này, Brad đã không làm hai việc:
Không kiểm tra liên kết qua Binance Verify.
Không kiểm tra kỹ thông báo thực tế có mã 2FA, trong đó tuyên bố rằng mã này là để rút tiền chứ không phải để hủy giao dịch.
Ví dụ 3: Xác minh hoặc cập nhật tài khoản của bạn
Nhiều người dùng của chúng tôi báo cáo rằng họ nhận được SMS giả kèm theo liên kết để xác minh hoặc cập nhật tài khoản của họ. Thông báo nói rằng nếu không tài khoản sẽ bị chặn. Trên thực tế, liên kết dẫn đến một trang web lừa đảo mà những kẻ lừa đảo đã tạo ra để đánh cắp thông tin đăng nhập. Xin lưu ý rằng tên miền trong SMS như vậy rất giống với tên miền chính thức.
Phải làm gì nếu bạn là nạn nhân của việc giả mạo SMS
Nếu bạn nghi ngờ rằng mình đã nhận được một tin nhắn SMS có thông tin người gửi sai, hãy liên hệ với cơ quan thực thi pháp luật ngay lập tức. Nếu SMS được gửi thay mặt cho Binance, vui lòng báo cáo điều này cho nhóm hỗ trợ của chúng tôi.
Nếu tài khoản của bạn đã bị hack, hãy đóng băng tiền của bạn để ngăn kẻ tấn công mở tài khoản mới dưới tên của bạn, đồng thời chặn tất cả thẻ tín dụng và tài khoản ngân hàng. Để bảo vệ tài sản của bạn, hãy vô hiệu hóa tài khoản của bạn bằng cách làm theo hướng dẫn trong phần Câu hỏi thường gặp về Cách vô hiệu hóa tài khoản Binance của bạn.
Không bao giờ gửi thông tin xác thực Binance, mã xác thực hai yếu tố hoặc thông tin tài chính của bạn cho bất kỳ ai qua SMS, ngay cả khi yêu cầu đó có vẻ hợp pháp. Ngoài việc giả mạo SMS, những kẻ lừa đảo cũng có thể cố lấy thông tin nhạy cảm của bạn qua email hoặc các kênh khác.
Kiểm tra kỹ các miền liên quan đến Binance bằng Binance Verify. Nhưng xin lưu ý rằng công cụ này không đảm bảo 100%. Nếu bạn nghĩ có điều gì đó không ổn, hãy cẩn thận hơn.
Thông tin bổ sung
Cách nhận biết gian lận
Cách tự bảo vệ mình: tấn công chiếm đoạt tài khoản là gì?
Ứng dụng giả mạo: cách phát hiện chúng và tránh bị lừa đảo