Cách bảo vệ tiền điện tử của bạn khỏi các cuộc tấn công giả mạo SMS

Những điểm chính

• Giả mạo SMS là một loại trò lừa đảo dựa vào việc thao túng tâm lý để lừa đảo nạn nhân chuyển tiền, chia sẻ thông tin nhạy cảm hoặc nhấp vào các liên kết độc hại.

• Các kẻ tấn công thay đổi danh tính người gửi của họ để khiến tin nhắn SMS của họ xuất hiện như thể nó đến từ một nguồn đáng tin cậy.

• Bạn có nhận được một tin nhắn SMS giả mạo không? Báo cáo sự việc cho cơ quan thực thi pháp luật ngay lập tức.

Các xu hướng trong ngành gian lận trực tuyến thay đổi nhanh chóng như sự phát triển của công nghệ tiên tiến. Trước đây, các trò lừa đảo qua email của hoàng tử Nigeria là rất phổ biến; ngày nay, đó là các cuộc tấn công giả mạo SMS.

Khác với các lỗ hổng mà một hacker cố gắng sử dụng mã để phá vỡ cơ sở dữ liệu người dùng, các cuộc tấn công giả mạo SMS chủ yếu dựa vào việc thao túng tâm lý. Điều này có nghĩa là kẻ lừa đảo sẽ cố gắng giả mạo một nguồn đáng tin cậy nhằm lừa đảo nạn nhân không nghi ngờ chuyển tiền, chia sẻ thông tin nhạy cảm như chi tiết ví, hoặc thậm chí gửi các liên kết độc hại dẫn đến các trang web giả mạo có thể làm cạn kiệt ví của nạn nhân.

Trong bài viết này, chúng tôi sẽ đi qua cách các cuộc tấn công giả mạo SMS hoạt động, các cách khác nhau mà kẻ tấn công có thể nhắm đến bạn và cách bạn có thể bảo vệ quỹ của mình.

Giả mạo SMS là gì và nó hoạt động như thế nào?

Kẻ tấn công giả mạo SMS thay đổi danh tính người gửi của họ (tên hoặc số điện thoại xuất hiện trên điện thoại của người nhận) để khiến tin nhắn văn bản của họ xuất hiện như thể nó đến từ một nguồn đáng tin cậy. Mục tiêu là lừa nạn nhân làm theo các hướng dẫn trong tin nhắn.

Bởi vì cách mà các hệ thống SMS hoạt động, tin nhắn của kẻ lừa đảo có thể xuất hiện trong cùng một chuỗi cuộc trò chuyện với các tin nhắn hợp pháp trước đó từ nhà cung cấp, khiến cho việc phân biệt giữa giao tiếp thật và giao tiếp giả mạo trở nên khó khăn hơn. Làm như vậy, người dùng có thể bị dẫn dụ nhấp vào các liên kết độc hại hoặc liên hệ với một kẻ lừa đảo qua số điện thoại giả mạo được cung cấp.

Cách nhận diện và tránh giả mạo SMS?

Ngay cả một cơ sở hạ tầng bảo mật hàng đầu cũng có thể làm rất ít để bảo vệ một người dùng mà tự nguyện gửi mật khẩu của mình cho một hacker. Dòng phòng thủ đầu tiên luôn là người dùng. Để giữ cho quỹ của bạn an toàn, bạn nên luôn luôn cảnh giác, biến những thực hành sau thành thói quen.

1. Theo dõi các tin nhắn cảnh báo với số điện thoại giả mạo/bộ phận hỗ trợ khách hàng

Binance sẽ không bao giờ gửi cho bạn một tin nhắn SMS yêu cầu bạn gọi một số và nói chuyện với bộ phận hỗ trợ khách hàng hoặc bộ phận bảo mật. Bất kỳ tin nhắn cảnh báo nào bạn nhận được liên quan đến bảo mật/tài khoản hoặc chuyển tiền và yêu cầu bạn gọi một số điện thoại đều là một trò lừa đảo.

Trong hình ảnh trên, các tin nhắn được đánh dấu là giả mạo và được gửi bởi một kẻ lừa đảo. Liên hệ với những số này chỉ dẫn đến việc bạn mất tiền. Luôn nhớ chỉ liên hệ qua các kênh hỗ trợ chính thức, có sẵn trong ứng dụng hoặc qua trang web chính thức.

2. Tránh xa các liên kết nghi ngờ

Đừng nhấp vào bất kỳ liên kết nào được gửi cho bạn qua tin nhắn văn bản. Các liên kết có thể dẫn đến các trang web giả mạo cố gắng đánh cắp thông tin xác thực của bạn như mật khẩu hoặc khóa riêng, hoặc thậm chí cài đặt phần mềm độc hại trên thiết bị của bạn. Hãy chắc chắn chỉ sử dụng các trang web chính thức.

Dưới đây là một số ví dụ về các trang web giả mạo cố gắng làm cho chúng trông như thể chúng liên kết với Binance. Đây không phải là một danh sách đầy đủ, nhưng tên miền của chúng cho bạn một ý tưởng về một trang web “Binance giả” mà những người tạo ra đang cố gắng lừa dối người dùng có thể trông như thế nào.

Cách bảo vệ bản thân khỏi các trò lừa đảo giả mạo SMS

1. Bật Mã chống lừa đảo của bạn

Để tăng cường bảo mật và chống lại các trò lừa đảo như vậy, chúng tôi đã mở rộng việc sử dụng tính năng Mã chống lừa đảo cho các giao tiếp SMS. Trước đây chỉ có sẵn cho email, mã độc nhất này do người dùng thiết lập giúp xác minh tính xác thực của các tin nhắn từ Binance. Bây giờ, khi bạn nhận được một tin nhắn SMS từ chúng tôi, nó sẽ bao gồm mã cá nhân hóa của bạn - chỉ bạn biết - cho phép bạn xác nhận rằng tin nhắn là hợp pháp. Nó có thể dễ dàng được thiết lập qua ứng dụng hoặc trang web:

• Ứng dụng: [Hồ sơ] > [Thông tin tài khoản] > [Bảo mật] > [Mã chống lừa đảo].

• Trang web: [Hồ sơ] > [Tài khoản] > [Bảo mật] > [Bảo mật nâng cao].

2. Xác minh các tin nhắn đến

Luôn kiểm tra kỹ nguồn của một tin nhắn đến trước khi phản hồi. Hãy cẩn thận với bất kỳ tin nhắn nào không yêu cầu hoặc những tin nhắn có vẻ nghi ngờ. Bạn có thể xác minh các tin nhắn cụ thể của Binance bằng cách sử dụng công cụ Binance Verify hoặc gửi ảnh chụp màn hình của tin nhắn cho đội ngũ hỗ trợ của chúng tôi. Đối với các dịch vụ khác, bạn nên nhắn tin trực tiếp cho nền tảng liên quan qua trang web chính thức hoặc các kênh đáng tin cậy khác.

3. Bật xác thực hai yếu tố

Xác thực hai yếu tố (2FA) thêm một lớp bảo mật bổ sung từ các kẻ tấn công cố gắng truy cập vào tài khoản của bạn. Luôn luôn bật 2FA cho bất kỳ tài khoản nào hỗ trợ nó. Binance hiện hỗ trợ passkeys để đăng nhập an toàn và nhanh chóng hơn. Sử dụng chúng cho 2FA trên các thiết bị để kích hoạt bảo vệ thuận tiện và mạnh mẽ hơn so với chỉ mật khẩu.

4. Đừng chia sẻ thông tin cá nhân

Tránh chia sẻ thông tin nhạy cảm (ví dụ: mật khẩu, số thẻ tín dụng, số an sinh xã hội và các định danh do chính phủ cấp khác) qua tin nhắn văn bản, đặc biệt là với các liên hệ chưa được xác minh.

Ví dụ thực tế về các cuộc tấn công giả mạo SMS

Ví dụ 1: Hoạt động tài khoản giả mạo

Các kẻ lừa đảo thích lợi dụng cảm giác lo lắng của nạn nhân và sử dụng các tin nhắn có thể kích thích phản ứng ngay lập tức của người dùng. Họ thường sử dụng các tin nhắn cảnh báo về các lần đăng nhập giả mạo từ các quốc gia khác hoặc hoạt động tài khoản liên quan đến việc rút tiền hoặc API, nói rằng người dùng cần liên hệ với một số hỗ trợ giả mạo. Tội phạm thậm chí có thể bao gồm "số tham chiếu" khiến nó có vẻ như người dùng đang thực sự nói chuyện với một đại diện chính thức.

Gọi những số này thường dẫn đến việc nạn nhân bị thuyết phục chuyển tiền sang một ví khác để "an toàn", trong khi thực tế tất cả tiền sẽ được gửi cho kẻ lừa đảo.

Ví dụ 2: “Hủy bỏ rút tiền”

Một người dùng, mà chúng tôi sẽ gọi là Brad, nhận được một tin nhắn SMS từ ai đó có địa chỉ người gửi là “Binance”. Tin nhắn nhắc nhở Brad “hủy bỏ việc rút tiền hiện tại của anh ấy.” Brad, tin rằng tin nhắn là chính thức, đăng nhập vào trang web giả mạo.

Kẻ hacker quản lý để sử dụng tên người dùng, mật khẩu và 2FA của Brad để đăng nhập vào trang web chính thức của Binance và bắt đầu một giao dịch rút tiền.

Trong ví dụ này, người dùng đã không làm hai điều:

• Xác minh liên kết trên Binance Verify.

• Kiểm tra kỹ lại tin nhắn 2FA thực tế, mà thực sự nói rằng mã 2FA đang được sử dụng để khởi tạo một giao dịch rút tiền, không phải để hủy bỏ.

Ví dụ 3: “Xác minh” hoặc “nâng cấp” tài khoản

Nhiều người dùng của chúng tôi đã báo cáo nhận được một tin nhắn SMS giả mạo với một liên kết để “xác minh” hoặc “nâng cấp” tài khoản của họ hoặc để gửi một loại xác minh nào đó. Những tin nhắn này cũng tuyên bố rằng việc không thực hiện các hành động cần thiết sẽ dẫn đến việc tài khoản bị chặn hoặc đình chỉ. Trên thực tế, liên kết trong tin nhắn văn bản luôn dẫn đến một trang web giả mạo được thiết kế để đánh cắp tiền của bạn hoặc truy cập vào tài khoản của bạn.

Nếu bạn đã bị nhắm đến bởi một tin nhắn SMS giả mạo

• Nếu bạn nghi ngờ rằng ai đó đã gửi cho bạn một tin nhắn SMS giả mạo, hãy liên hệ với cơ quan thực thi pháp luật liên quan ngay lập tức. Nếu tin nhắn SMS giả mạo liên quan đến Binance, vui lòng gửi báo cáo cho đội ngũ Hỗ trợ Binance.

• Nếu tài khoản của bạn đã bị xâm phạm, hãy khóa tín dụng của bạn để ngăn chặn tội phạm mở tài khoản mới dưới tên của bạn, bên cạnh việc khóa thẻ tín dụng và tài khoản ngân hàng của bạn. Để bảo vệ tài sản của bạn, bạn cũng nên vô hiệu hóa tài khoản của mình bằng cách làm theo các bước trong hướng dẫn FAQ này: Cách vô hiệu hóa tài khoản Binance của tôi.

• Không bao giờ gửi chi tiết tài khoản Binance, mã 2FA hoặc thông tin tài chính khác cho bất kỳ ai, ngay cả khi những người yêu cầu có vẻ hợp pháp ở cái nhìn đầu tiên. Ngoài việc giả mạo SMS, các kẻ lừa đảo cũng có thể cố gắng lừa đảo bạn qua email hoặc các kênh khác.

• Kiểm tra kỹ bất kỳ miền nào liên quan đến Binance trên Binance Verify. Lưu ý rằng công cụ này không hoàn hảo. Bạn vẫn nên cẩn trọng nếu bạn cảm thấy có điều gì đó không ổn.

Để biết thông tin chung về cách bảo vệ quỹ tiền điện tử của bạn, bạn có thể khám phá các phần bảo mật trong FAQ của chúng tôi và các blog về bảo mật của chúng tôi.

Những suy nghĩ cuối cùng

Các cuộc tấn công giả mạo SMS dựa vào việc thao túng lòng tin và sự khẩn cấp hơn là khai thác các điểm yếu kỹ thuật. Bảo vệ tài sản tiền điện tử của bạn có nghĩa là giữ cảnh giác, đặt câu hỏi về các tin nhắn bất ngờ và sử dụng các biện pháp bảo mật như Mã chống lừa đảo và xác thực hai yếu tố.

Luôn nhớ rằng các dịch vụ hợp pháp sẽ không bao giờ yêu cầu bạn chia sẻ thông tin nhạy cảm hoặc gọi cho các số không xác định qua SMS. Bằng cách giữ thông tin, xác minh các thông tin liên lạc một cách cẩn thận và báo cáo các hoạt động khả nghi kịp thời, bạn có thể giảm thiểu rủi ro của mình và giữ cho tiền điện tử của bạn an toàn khỏi những trò lừa đảo lừa đảo này.

Đọc thêm

• Các ứng dụng ví giả mạo và Smishing

• Giữ an toàn khỏi Smishing

• Giữ an toàn: Cuộc tấn công chiếm đoạt tài khoản là gì?