Bảo mật Web3: Ngăn chặn các cuộc tấn công giả mạo tin nhắn SMS
Các nội dung chính
Giả mạo tin nhắn SMS là một hình thức lừa đảo sử dụng tin nhắn giả xen lẫn với chuỗi tin nhắn chính thức từ các nhãn hàng hoặc tổ chức uy tín.
Những tin nhắn "trông có vẻ thật" này có thể lừa bạn gọi đến các đường dây nóng giả mạo hoặc cung cấp thông tin nhạy cảm và dẫn đến khả năng mất tiền.
Hãy bảo vệ an toàn bằng cách xác minh tất cả tin nhắn, thiết lập Mã chống tấn công giả mạo và cập nhật thông tin về các chiêu thức lừa đảo mới nhất.
Cùng người gửi. Cùng một chuỗi tin nhắn. Khác mục đích. Kẻ lừa đảo đã tìm ra cách thức mới để xen vào chuỗi tin nhắn SMS của bạn và những tin nhắn này trông hết sức đáng tin. Một làn sóng tấn công giả mạo mới đang nhắm vào người dùng Binance bằng cách giả mạo tin nhắn SMS chính thức – khiến tin nhắn lừa đảo xuất hiện trong cùng chuỗi hội thoại với các thông báo hợp lệ từ Binance. Những tin nhắn này có thể trông rất thật, quen thuộc và có cùng ID người gửi đáng tin cậy nhưng chúng không hề an toàn.
Trong bài viết này, chúng ta sẽ phân tích cách thức hoạt động của mánh lừa đảo giả mạo tin nhắn SMS, chia sẻ các ví dụ thực tế về những hành động tấn công giả mạo gần đây và hướng dẫn bạn các bước có thể thực hiện nhằm bảo vệ tài khoản – như vậy, bạn sẽ không bị lừa bởi những mánh lừa đảo trông quá sức giống thật.
Giả mạo tin nhắn SMS là gì?
Giả mạo tin nhắn SMS khiến việc nhận diện tin nhắn gian lận trở nên khó khăn hơn, làm tăng rủi ro bị lừa đảo và mất tiền. Sau đây là cách thức hoạt động của mánh lừa đảo này:
Ngụy trang: Nạn nhân nhận được tin nhắn SMS về hoạt động tài khoản đáng ngờ, có vẻ như đến từ nhà cung cấp đáng tin cậy như Binance. Vì hệ thống SMS nhóm các tin nhắn có vẻ như từ cùng một người gửi lại với nhau nên cảnh báo giả sẽ xen lẫn với tin nhắn chính thống, khiến tin nhắn giả trông có vẻ thật. Tin nhắn thúc giục nạn nhân thực hiện một số hành động, ví dụ như gọi đến một số điện thoại để "bảo mật" tài khoản của họ.
Cái bẫy: Khi nạn nhân gọi điện, những kẻ lừa đảo sẽ hướng dẫn họ chuyển tiền vào một ví "an toàn" – thực chất là ví do bọn lừa đảo kiểm soát. Chúng cung cấp cụm từ ghi nhớ qua email, tin nhắn SMS khác, trang web giả mạo hoặc thậm chí trong cuộc gọi. Tin rằng tiền của mình đang được an toàn, nạn nhân thực hiện chuyển tiền và ngay lập tức bị bọn lừa đảo rút sạch ví.
Để tìm hiểu kỹ hơn về mối đe dọa này, hãy xem Bảo mật ví Web3: Tránh xa các ứng dụng ví và tin nhắn tấn công giả mạo.
Công nghệ đằng sau thủ đoạn lừa đảo này
1. Tấn công các cổng SMS yếu
Một số cổng SMS – hệ thống chịu trách nhiệm gửi tin nhắn văn bản – có lỗ hổng bảo mật. Những kẻ lừa đảo lợi dụng những điểm yếu này để thay đổi ID người gửi, khiến cho tin nhắn giả mạo trông như thể đến từ nguồn chính thức.
2. Giả mạo ID người gửi bằng tin nhắn gửi qua Internet (VoIP)
VoIP (Giao thức truyền thoại qua Internet) thường dùng cho các cuộc gọi và tin nhắn qua Internet. Khác với tin nhắn SMS thông thường, hệ thống VoIP cho phép người dùng tùy chỉnh số điện thoại hoặc tên người gửi – một tính năng bị những kẻ lừa đảo lợi dụng.
Do đó, những kẻ lừa đảo có thể giả mạo Binance bằng cách nhập số điện thoại chính thức của chúng tôi làm người gửi. Khi gửi đến điện thoại của bạn, tin nhắn của bọn chúng có thể xen ngay vào cùng một chuỗi SMS với tin nhắn Binance thật – khiến tin nhắn giả mạo trông có vẻ đáng tin cậy hơn.
3. Lạm dụng các kênh SMS chính thống thông qua các nhà cung cấp đáng ngờ
Một số nhà cung cấp dịch vụ SMS có quan hệ đối tác trực tiếp với các nhà mạng di động để gửi tin nhắn thương mại hàng loạt (như OTP và cảnh báo). Nếu những kẻ lừa đảo thông đồng với các nhà cung cấp phi đạo đức, chúng có thể truy cập vào các kênh đáng tin cậy này. Nhà cung cấp giúp chèn thông tin người gửi giả mạo vào tin nhắn trước khi gửi đi. Phương thức này vượt qua được các bước xác minh tiêu chuẩn và giảm khả năng tin nhắn SMS giả mạo bị chặn.
Ví dụ thực tế
Một người dùng Binance tên Jack đã nhận được một tin nhắn trông khá thật. Nó xuất hiện trong cùng chuỗi tin nhắn SMS như các tin nhắn chính thức trước đây của Binance và cảnh báo anh ấy về các đăng nhập đáng ngờ từ nhiều thành phố. Tin nhắn này yêu cầu Jack gọi đến một số điện thoại cụ thể nếu anh ấy không thực hiện những hoạt động đăng nhập đó.
Tin tưởng vào tin nhắn này, Jack đã gọi điện. Không lâu sau đó, anh nhận được email đặt lại mật khẩu chính thức từ Binance. Jack không hề biết rằng email này đã bị những kẻ lừa đảo cố ý kích hoạt – chỉ bằng cách nhấp vào “Đặt lại mật khẩu” trên trang đăng nhập – để tăng thêm áp lực và làm cho câu chuyện của chúng trở nên thuyết phục hơn. Bằng cách căn thời gian chính xác, chúng đã khiến Jack tin rằng tài khoản của anh thực sự đang bị tấn công.
Trong cuộc gọi, kẻ lừa đảo giả danh nhân viên Binance đã chia sẻ với Jack một cụm từ ghi nhớ khôi phục và liên kết với tài khoản Binance của anh ấy, rồi thúc giục anh ấy nhanh chóng chuyển tiền của mình vào ví liên kết với cụm từ ghi nhớ này để giữ tiền an toàn. Điều Jack không biết là cụm từ ghi nhớ đã được kẻ lừa đảo tạo ra và liên kết với ví mà tội phạm kiểm soát, thay vì được liên kết với tài khoản thực của Jack. Nếu anh ấy làm theo, tiền sẽ chuyển thẳng vào ví của kẻ lừa đảo.
Tin nhắn giả mạo được thiết kế để dụ Jack gọi điện. Khi đã liên lạc được, những kẻ lừa đảo không biết mật khẩu của anh ấy – chúng đã kích hoạt yêu cầu đặt lại mật khẩu thật để khiến câu chuyện trở nên thuyết phục hơn. Đây là một trò chơi tâm lý: tăng tính cấp bách, bắt chước hành vi có thể tin được của nhân viên Binance và gây sức ép buộc người dùng phải hành động nhanh chóng. Đó là lý do tại sao những tin nhắn này lại nguy hiểm: chúng có vẻ chân thực, gợi cảm giác cấp bách và đánh vào lòng tin.
Cách bảo vệ bản thân
Mọi thứ đều nằm trên nền tảng
Tất cả hoạt động tài khoản, cảnh báo bảo mật và các hành động hỗ trợ chỉ diễn ra trong ứng dụng Binance hoặc trang web chính thức – không phải ở bất kỳ đâu khác. Nếu một tin nhắn SMS yêu cầu bạn gọi điện đến một số hoặc nhấp vào một liên kết đáng ngờ, hãy dừng lại – đó là lừa đảo! Nếu nghi ngờ, hãy sử dụng Binance Verify để kiểm tra kỹ mọi liên kết, email hoặc thông tin liên hệ.
Cách thiết lập mã chống tấn công giả mạo
Mã 8 ký tự này xuất hiện trong mọi email hoặc thông báo chính thức từ Binance, giúp bạn xác nhận tính xác thực. Nếu thiếu mã này, hãy thận trọng suy nghĩ. Chưa có mã chống tấn công giả mạo? Thiết lập ngay!
Luôn cập nhật thông tin để đón đầu
Những kẻ lừa đảo luôn nghĩ ra những mánh khóe mới – nhưng kiến thức là tuyến phòng thủ đầu tiên và tốt nhất của bạn. Hãy luôn cảnh giác bằng cách theo dõi Binance Risk Sniper trên Square. Đây là nơi chúng tôi phân tích các vụ lừa đảo mới nhất, cách thức chiếm đoạt tài khoản và xu hướng gian lận theo thời gian thực. Để nâng cao kỹ năng phát hiện lừa đảo, hãy tham khảo Binance Academy và loạt blog về bảo mật của chúng tôi.
Tóm tắt nội dung
Khi nói đến bảo mật trực tuyến, công nghệ chỉ có thể làm được một phần nào đó – phần còn lại phụ thuộc vào bạn. Những kẻ lừa đảo thường lợi dụng sự bối rối và tính cấp bách nhưng nhận thức của bạn càng cao thì chúng càng khó lừa bạn. Tại Binance, chúng tôi cam kết giúp bạn đi trước một bước. Từ việc triển khai biện pháp kiểm soát rủi ro chống lừa đảo 9 cấp độ cho đến cập nhật thông tin lừa đảo liên tục trên Binance Risk Sniper, chúng tôi sẽ luôn hỗ trợ bạn. Nhưng lá chắn mạnh mẽ nhất là gì? Kiến thức – vì khi bạn nhìn thấu mọi việc, bạn nắm quyền kiểm soát.