Principales conclusions
Le spoofing SMS est un type d'escroquerie qui repose sur la manipulation psychologique pour tromper les victimes en leur faisant transférer des fonds, partager des informations sensibles ou cliquer sur des liens malveillants.
Les attaquants modifient leur identité d'expéditeur pour faire apparaître leur message SMS comme s'il provenait d'une source de confiance.
Avez-vous reçu un SMS spoofé ? Signalez l'incident aux forces de l'ordre immédiatement.
Les tendances dans l'industrie de la fraude en ligne changent aussi vite que les technologies de pointe avancent. Auparavant, les arnaques par e-mail du prince nigérian étaient à la mode ; aujourd'hui, ce sont les attaques de spoofing SMS.
Contrairement aux exploits où un hacker essaie d'utiliser le code pour pénétrer une base de données utilisateur, les attaques de spoofing SMS reposent principalement sur la manipulation psychologique. Cela signifie que l'escroc essaiera de se faire passer pour une source de confiance dans le but de tromper des victimes non méfiantes en leur faisant transférer des fonds, partager des informations sensibles telles que des détails de portefeuille, ou même envoyer des liens malveillants menant à des sites de phishing qui pourraient vider les portefeuilles des victimes.
Dans cet article, nous allons examiner comment fonctionnent les attaques de spoofing SMS, les différentes façons dont les attaquants peuvent vous cibler, et comment vous pouvez protéger vos fonds.
Qu'est-ce que le spoofing SMS et comment ça fonctionne ?
L'attaquant de spoofing SMS modifie son identité d'expéditeur (le nom ou le numéro de téléphone qui apparaît sur le téléphone du destinataire) pour faire apparaître son message texte comme s'il provenait d'une source de confiance. L'objectif est de tromper la victime pour qu'elle suive les instructions du message.
En raison de la façon dont fonctionnent les systèmes SMS, le message d'un escroc peut apparaître dans le même fil de conversation que des messages légitimes précédents du fournisseur, rendant plus difficile la distinction entre une communication réelle et frauduleuse. Par conséquent, les utilisateurs peuvent être amenés à cliquer sur des liens malveillants ou à contacter un escroc au numéro de téléphone factice fourni.
Comment identifier et éviter le spoofing SMS ?
Même une infrastructure de sécurité de pointe peut peu faire pour protéger un utilisateur qui envoie volontairement son mot de passe à un hacker. La première ligne de défense est toujours l'utilisateur. Pour garder vos fonds en sécurité, vous devez rester vigilant à tout moment, en faisant des pratiques suivantes une habitude.
1. Attention aux messages d'avertissement avec de faux numéros de sécurité/service client
Binance ne vous enverra jamais un SMS vous demandant d'appeler un numéro et de parler à un service client ou un département de sécurité. Tout message d'avertissement que vous recevez concernant la sécurité de votre compte/activité ou les transferts de fonds et vous demandant d'appeler un numéro de téléphone est une escroquerie.
Dans l'image ci-dessus, les messages en surbrillance sont spoofés et envoyés par un escroc. Contacter ces numéros ne fera que vous faire perdre des fonds. N'oubliez jamais de ne contacter que par des canaux de support officiels, disponibles dans l'application ou via le site Web officiel.
2. Évitez les liens suspects
Ne cliquez sur aucun lien envoyé par message texte. Les liens pourraient mener à des sites de phishing qui tentent de voler vos identifiants comme des mots de passe ou des clés privées, ou même installer des logiciels malveillants sur votre appareil. Assurez-vous d'utiliser uniquement des sites officiels.
Voici quelques exemples de sites de phishing qui tentent de donner l'impression qu'ils sont affiliés à Binance. Ce n'est pas une liste exhaustive, mais leurs noms de domaine vous donnent une idée de ce à quoi peut ressembler un site Web "faux Binance" dont les créateurs tentent d'induire les utilisateurs en erreur.
Comment vous protéger des arnaques crypto par spoofing SMS
1. Activez votre code anti-phishing
Pour améliorer la sécurité et lutter contre de telles escroqueries, nous avons étendu l'utilisation de la fonctionnalité de code anti-phishing aux communications SMS. Précédemment disponible pour les e-mails, ce code unique défini par l'utilisateur aide à vérifier l'authenticité des messages de Binance. Maintenant, lorsque vous recevez un SMS de notre part, il inclura votre code personnalisé – connu uniquement de vous – vous permettant de confirmer que le message est légitime. Il peut facilement être défini via l'application ou le site Web :
Application : [Profil] > [Informations sur le compte] > [Sécurité] > [Code anti-phishing].
Site Web : [Profil] > [Compte] > [Sécurité] > [Sécurité avancée].
2. Vérifiez les messages entrants
Vérifiez toujours la source d'un message entrant avant de répondre. Soyez prudent envers les messages non sollicités ou ceux qui semblent suspects. Vous pouvez vérifier les messages spécifiques à Binance en utilisant l'outil Binance Vérifiez ou en envoyant une capture d'écran du message à notre équipe de support. Pour d'autres services, vous devriez envoyer un message à la plateforme concernée directement via leur site officiel ou d'autres canaux de confiance.
3. Activez l'authentification à deux facteurs
L'authentification à deux facteurs (2FA) ajoute une couche supplémentaire de sécurité contre les attaquants essayant d'accéder à vos comptes. Activez toujours la 2FA pour tout compte qui la prend en charge. Binance prend désormais en charge les clés d'accès pour des connexions sécurisées et plus rapides. Utilisez-les pour la 2FA sur plusieurs appareils afin d'assurer une protection plus pratique et robuste que de simples mots de passe.
4. Ne partagez pas d'informations personnelles
Évitez de partager des informations sensibles (par exemple, mots de passe, numéros de carte de crédit, numéros de sécurité sociale et autres identifiants délivrés par le gouvernement) par le biais de messages texte, surtout avec des contacts non vérifiés.
Exemples réels d'attaques de spoofing SMS
Exemple 1 : Activité de compte frauduleuse
Les escrocs adorent profiter du sentiment d'anxiété d'une victime et utilisent des messages qui pourraient déclencher des réactions instinctives chez l'utilisateur. Ils utilisent souvent des messages avertissant de fausses connexions depuis d'autres pays ou d'activités liées à des retraits ou des API, affirmant que l'utilisateur doit contacter un faux numéro de support. Les criminels peuvent même inclure des "numéros de référence" qui font sembler que l'utilisateur parle réellement à un agent authentique.
Appeler ces numéros aboutit généralement à convaincre la victime de transférer des fonds vers un autre portefeuille pour des raisons de "sécurité", alors qu'en réalité, tous les fonds seront envoyés à l'escroc.
Exemple 2 : "Annulation de retrait"
Un utilisateur, que nous appellerons Brad, reçoit un message SMS de quelqu'un avec une adresse d'expéditeur "Binance". Le message rappelle à Brad d'"annuler son retrait actuel". Brad, croyant que le message est officiel, se connecte au site Web de phishing.
Le hacker parvient à utiliser le nom d'utilisateur, le mot de passe et la 2FA de Brad pour se connecter au site officiel de Binance et initier un retrait d'argent.
Dans cet exemple, l'utilisateur a échoué à faire deux choses :
Vérifiez le lien sur Binance Vérifiez.
Vérifiez à nouveau le vrai message 2FA, qui indiquait en réalité que le code 2FA était utilisé pour initier un retrait, et non pour en annuler un.
Exemple 3 : "Vérifiez" ou "mettez à niveau" le compte
Beaucoup de nos utilisateurs ont signalé avoir reçu un SMS spoofé avec un lien pour "vérifier" ou "mettre à niveau" leurs comptes ou pour soumettre une sorte de vérification. Ces messages affirmaient également que le non-respect des actions requises entraînerait le blocage ou la suspension du compte. En réalité, le lien dans le message texte mène toujours à un site de phishing conçu pour voler vos fonds ou accéder à votre compte.
Si vous avez été ciblé par un SMS spoofé
Si vous soupçonnez que quelqu'un vous a envoyé un SMS spoofé, contactez immédiatement une autorité compétente des forces de l'ordre. Si le SMS spoofé est lié à Binance, veuillez également déposer un rapport auprès de l'équipe de support de Binance.
Si votre compte a été compromis, bloquez votre crédit pour empêcher les criminels d'ouvrir de nouveaux comptes à votre nom, en plus de bloquer vos cartes de crédit et vos comptes bancaires. Pour protéger vos actifs, vous devez également désactiver votre compte en suivant les étapes de ce guide FAQ : Comment désactiver mon compte Binance.
N'envoyez jamais vos informations de compte Binance, code 2FA ou autres informations financières à quiconque, même si ceux qui le demandent semblent légitimes à première vue. En plus du spoofing SMS, les escrocs peuvent également tenter de vous frauder par e-mail ou d'autres canaux.
Vérifiez à nouveau tout domaine lié à Binance sur Binance Vérifiez. Notez cependant que l'outil n'est pas infaillible. Vous devez toujours faire preuve de prudence si vous sentez que quelque chose ne va pas.
Pour des informations générales sur la façon de protéger vos fonds crypto, vous pouvez explorer les sections de sécurité dans notre FAQ et nos blogs de sécurité.
Réflexions finales
Les attaques de spoofing SMS reposent sur la manipulation de la confiance et de l'urgence plutôt que sur l'exploitation des faiblesses techniques. Protéger vos actifs crypto signifie rester vigilant, remettre en question les messages inattendus et utiliser des mesures de sécurité telles que les codes anti-phishing et l'authentification à deux facteurs.
N'oubliez jamais que les services légitimes ne vous demanderont jamais de partager des informations sensibles ou d'appeler des numéros inconnus par SMS. En restant informé, en vérifiant soigneusement les communications et en signalant rapidement les activités suspectes, vous pouvez grandement réduire votre risque et garder vos crypto sécurisées contre ces arnaques trompeuses.
Lectures supplémentaires
Applications de portefeuille frauduleuses et Smishing
Restez en sécurité contre le Smishing
Restez en sécurité : Qu'est-ce que les attaques de prise de contrôle de compte ?