Na czym polega spoofing SMS i jak go uniknąć

Spoofing SMS to częsta forma cyberataku. Oszuści wykorzystują specjalne oprogramowanie, aby zmodyfikować identyfikator nadawcy wiadomości SMS, przez co wiadomość sprawia wrażenie pochodzącej z wiarygodnego źródła – na przykład z banku. W ten sposób mogą oni wykradać wrażliwe dane lub pobierać złośliwe oprogramowanie na telefony odbiorców. 

Rodzaje spoofingu SMS

Odróżnienie wiadomości prawdziwych od sfałszowanych może nastręczać problemów. Aby się chronić, należy koniecznie zachować czujność i ostrożność, odpowiadając na nieoczekiwane wiadomości SMS. Oto kilka typowych przykładów spoofingu SMS:

• Fałszywy identyfikator nadawcy

Najczęstszy rodzaj spoofingu polega na zastąpieniu identyfikatora nadawcy numerem lub nazwą renomowanej firmy. Oszuści podszywają się na przykład pod firmę Binance lub TrustWallet, wysyłając phishingowe wiadomości SMS. Wiadomości te zostaną przyporządkowane do tego samego wątku co oficjalne wiadomości, na przykład kody 2FA. To dlatego, że hakerzy skorzystali ze spoofingu SMS, aby zmodyfikować identyfikator nadawcy i zamaskować rzeczywiste źródło wiadomości.

• Fałszywy przelew pieniężny

Oszust twierdzi, że odbiorca wygrał nagrodę. Następnie prosi o podanie danych bankowych odbiorcy, aby mógł wpłacić wygraną, lub zachęca do kliknięcia linku w celu odebrania nagrody.

• Nękanie

Nękanie polega na wysyłaniu gróźb lub nieodpowiednich wiadomości w celu zastraszania ofiar, w nadziei na wyciągnięcie od nich pieniędzy. Może to być na przykład groźba zablokowania konta użytkownika. Hakerzy często wykorzystują strach przed utratą aktywów. W takiej sytuacji zachowaj spokój i zweryfikuj wiadomość, zanim podejmiesz działania.

Jak uniknąć spoofingu SMS?

• Weryfikuj przychodzące wiadomości: zawsze dokładnie sprawdź źródło otrzymanej wiadomości, zanim odpowiesz. Zachowaj ostrożność w przypadku każdej nieoczekiwanej wiadomości lub takiej, która wygląda na podejrzaną. W razie wątpliwości możesz skontaktować się ze Wsparciem Klienta Binance, aby zweryfikować tożsamość nadawcy.
• Włącz uwierzytelnianie dwuskładnikowe (2FA): 2FA to dodatkowy poziom zabezpieczeń dla Twoich kont, wskutek czego hakerom trudniej jest uzyskać do nich dostęp w drodze spoofingu SMS.
• Nie udostępniaj danych osobowych: nigdy nie udostępniaj poufnych informacji (np. haseł, numerów kart kredytowych i numerów ubezpieczenia społecznego) w wiadomościach tekstowych, zwłaszcza niezweryfikowanym kontaktom.
• Nie klikaj podejrzanych linków: nie klikaj żadnych linków nadesłanych w wiadomości tekstowej, zanim nie zweryfikujesz ich wiarygodności. Linki mogą prowadzić do phishingowych stron internetowych próbujących wykraść Twoje dane uwierzytelniające lub zainstalować złośliwe oprogramowanie na Twoim urządzeniu. Upewnij się, że korzystasz z oficjalnej strony internetowej firmy. Jeżeli na przykład nie masz pewności, czy link, adres e-mail, numer telefonu, identyfikator WeChat, konto w portalu X lub identyfikator Telegram są oficjalne, możesz zweryfikować je w Binance Verify.

Oto na przykład lista podejrzanych stron phishingowych podszywających się pod witrynę Binance.

Przykłady spoofingu SMS

1. Fałszywe powiadomienie o aktualizacji konta

Użytkownik Binance otrzymał od nadawcy o nazwie „Binance” wiadomość SMS z prośbą o przeprowadzenie aktualizacji konta, która umożliwi mu dalsze korzystanie z usługi Binance. 

Hakerzy wykorzystali specjalne oprogramowanie, aby zmodyfikować identyfikator nadawcy wiadomości SMS, dzięki czemu fałszywy SMS wyglądał tak, jak gdyby pochodził od firmy Binance. Ponieważ fałszywy SMS znajdował się w tym samym wątku co oficjalne wiadomości z kodem 2FA, użytkownik założył, że wiadomość pochodzi z wiarygodnego źródła. Gdy zalogował się na stronie phishingowej, dane uwierzytelniające jego konta zostały skradzione przez hakerów.

2. Fałszywy wniosek o anulowanie wypłaty

Inny użytkownik Binance otrzymał fałszywą wiadomość SMS z prośbą o potwierdzenie wypłaty. Użytkownik uznał, że wiadomość jest autentyczna, i zalogował się na swoje konto na stronie phishingowej, aby „anulować żądanie wypłaty”.

Po zdobyciu danych uwierzytelniających użytkownika haker zainicjował żądanie wypłaty z jego konta i pokierował nim do wprowadzenia kodu 2FA na stronie phishingowej. Gdy użytkownik wprowadził kod, haker skutecznie wypłacił jego środki. 

Wnioski z tego przykładu:

• Użytkownik nie zweryfikował adresu URL strony internetowej. Zanim odwiedzisz stronę, do której prowadzi otrzymany link, zawsze należy go zweryfikować na Binance Verify.
• Użytkownik sądził, że kod 2FA został użyty do anulowania żądania wypłaty. Gdyby jednak dokładnie sprawdził wiadomość, zauważyłby, że kod 2FA miał na celu potwierdzenie żądania wypłaty. Dlatego należy dokładnie sprawdzić otrzymaną wiadomość z kodem 2FA. Przed wprowadzeniem kodu 2FA należy zawsze upewnić się co do jego zastosowania.

3. Fałszywa weryfikacja konta

Kilku użytkowników Binance otrzymało wiadomość SMS z linkiem do weryfikacji lub aktualizacji konta, co stanowiło próbę wyłudzenia danych uwierzytelniających do ich kont.