Czym jest spoofing i jak się przed nim chronić?

SMS brzmi bardzo niepokojąco: “Zalogowałeś się na swoje konto Binance z nowego urządzenia, lokalizacja: Bukareszt, Rumunia. Jeśli to nie Ty, natychmiast skontaktuj się z biurem obsługi klienta: +48 22 15 31 273”. Spokojnie! To tylko spoofing.

Oszuści nigdy nie śpią

Świat się zmienia, metody oszustw i zabezpieczeń także. Technika idzie do przodu, pojawiają się nowe rozwiązania zwiększające bezpieczeństwo, jak zimne portfele czy Google Authenticator. Także oszustwa NFT powoli przestają być skuteczne.

Nawet w idealnym systemie pozostaje jednak przynajmniej jedno słabe ogniwo – człowiek. Wyrafinowana technika nie pomoże, jeśli właściciel środków dobrowolnie przekaże oszustowi dane, dające nad nimi kontrolę.

Temu właśnie służy spoofing. Jest to podszywanie się przez przestępców pod kogo innego w celu nakłonienia ofiary do udostępnienia wrażliwych informacji lub wręcz przesłania środków na ich konto.

Jak działa spoofing SMS?

W sieci bez problemu można kupić wykradzione bazy danych, pełne nazwisk i numerów telefonów. Niektóre zawierają także dodatkowe informacje, np. o związkach danego numeru z jakąś giełda kryptowalut.

Mając taką listę, atakujący może spróbować nawiązać kontakt. Modyfikuje przy tym tożsamość tak, aby jego wiadomość wyglądała jak wysłana z zaufanego źródła, na przykład Binance.

Twój telefon nie rozpoznaje kantu i dokleja ją do ciągu wiadomości, faktycznie pochodzących z tej giełdy. Wszystko wygląda zatem wiarygodnie.

Sfałszowana wiadomość SMS jest tak spreparowana, aby wzbudzić niepokój i skłonić do natychmiastowego działania. Może nie klikniesz bez namysłu w podany link, ale telefon pod podany numer, aby sprawdzić co się dzieje, to coś zupełnie innego, prawda?

Nieprawda. Jeśli oddzwonisz, trafisz na odpowiednio zaprogramowany automat lub żywego “konsultanta”, który ma tylko jeden cel – ograbić Cię z pieniędzy.

Wektory ataku

Sposobów na oszustwo jest wiele. Najprostszym, ale najbardziej podejrzanym jest prośba o kliknięcie w przesłany link. Niby wszyscy wiedzą, że nie powinno się tego robić, ale skoro konsultant zapewnia, że to jedyna metoda ochrony Twoich pieniędzy… W stresie ludzie robią różne rzeczy. Zwłaszcza, jeśli domena wygląda wiarygodnie, np. ssl-binance.com.

Inną niespodzianką jest powiadomienie o otrzymaniu Mystery Box albo ekstra środków w wyniku spełnienia warunków promocji. Wystarczy kliknąć, żeby 0,1 BNB wpłynęło na Twoje konto! Odmianą tej metody jest zeskanowanie przesłanego kodu QR, aby odebrać należny cashback.

Ba, czasem nie musisz robić nic. Sympatyczny “pracownik” Binance sam do Ciebie zadzwoni, aby poinformować, że Twoje konto mogło zostać naruszone. Seria pytań „weryfikacyjnych” pozwoli mu ocenić sytuację (a przy okazji sprawdzić, czy Twoje portfolio warte jest zachodu).

Najpopularniejszy ostatnio jest jednak spoofing SMS, gdyż wymaga od przestępców najmniej wysiłku.

Jak rozpoznać spoofing i uniknąć problemów?

Po pierwsze – musisz być świadomy, że przestępcy mogą zaatakować zawsze i nie każda wiadomość podpisana “Binance” naprawdę pochodzi z tej giełdy. Stale zachowuj czujność i wyrób sobie kilka prostych przyzwyczajeń.

1. Niespodziewana wiadomość od giełdy z dużym prawdopodobieństwem będzie fałszywa. Binance nie rozdaje bonusów każdemu, również włamania na konto są rzadkością. Jeśli musisz coś zrobić NATYCHMIAST – brzmi to bardzo podejrzanie.
2. Warto dokładnie sprawdzić źródło informacji, zanim podejmiesz jakiekolwiek działanie. Możesz to zrobić, choćby korzystając z narzędzia Binance Verify.
3. Dokładnie czytaj nadchodzące wiadomości. Jeśli akceptujesz jakąś transakcje przy pomocy SMS czy Google Authenticator, upewnij się, że zezwalasz np. na wyłączenie jakiejś opcji, a nie dokonanie transferu środków.
4. Nie udostępniaj danych osobowych. Hasła, identyfikatory, numer Pesel albo karty kredytowej powinny pozostać znane tylko Tobie. Jeśli nawet prawdziwe Binance będzie ich wymagać, nie będzie prosiło o przesłanie ich mailem albo podanie przez telefon.
5. Co oczywiste – nie klikaj żadnych linków, przesłanych SMS lub mailem, nie skanuj też nieznanych kodów QR. Takie linki mogą prowadzić do stron phishingowych, które wyglądają jak strony Binance. Są one kontrolowane przez przestępców próbujących wykraść Twoje dane uwierzytelniające.
6. Zwróć uwagę, czy strona na która wchodzisz zaczyna się od HTTPS (zwykłe HTTP nie zapewnia bezpiecznego połączenia) a obok adresu widnieje ikona kłódki. Sprawdź też nazwę domeny: właściwa to rzecz jasna binance.com.
7. Włącz uwierzytelnianie dwuskładnikowe. Wbijanie kodów 2FA nie jest może wygodne, ale oferuje dodatkową warstwę bezpieczeństwa. Dzięki 2FA nie wystarczy poznać loginu i hasła, by przejąć Twoje konto.

Co zrobić, jeśli dostałeś podejrzany SMS?

Po pierwsze, zachowaj spokój. Prawdopodobieństwo, że faktycznie coś złego dzieje z się z Twoim kontem jest niewielkie, zwłaszcza jeśli masz włączone 2FA. W żadnym wypadku nie klikaj ewentualnych linków, nie przesyłaj żadnych danych ani nie wykonuj połączeń telefonicznych.

Nadawcę wiadomości warto sprawdzić przy pomocy Binance Verify – wynik prawdopodobnie będzie negatywny. Zaloguj się także na swoje konto mailowe oraz do aplikacji Binance by sprawdzić, czy nie ma tam jakichś wiadomości o naruszeniu bezpieczeństwa.

Jeśli podejrzewasz, że wiadomość SMS jest fałszywa, zgłoś to Binance – pomoże to ochronić kolejnych klientów. Możesz rozważyć zgłoszenie sprawy na Policję, jednak prawdopodobieństwo wykrycia sprawców jest niestety niewielkie.

Spoofing stanowi ryzyko dla użytkowników krypto, ponieważ atakujący wykorzystują nasze naturalne emocje. Aby im nie ulec, z automatu należy założyć, że wiadomość jest fałszywa i wszelkie kroki podejmować dopiero po jej dokładnej weryfikacji. Dla zwiększenia bezpieczeństwa warto też włączyć uwierzytelnianie 2FA, jeśli jeszcze tego nie zrobiłeś.

PS. Więcej o spoofingu SMS przeczytasz na stronie Binance.

Powiązane wpisy:

Czym jest Rug Pull? Jak się przed nim chronić? Jak chronić się podczas handlu na dApps i unikać oszustw? Oszustwa NFT: 7 popularnych kantów. Jak się chronić? Czym jest Binance Megadrop i jak na nim zarobić? Kim jest górnik Bitcoin i jak nim zostać? Wskaźnik MACD – wszystko co musisz o nim wiedzieć Czy stakowanie BNB się opłaca? Co to jest CeFi? Czym różni się od DeFi? Co to jest Web5? Czym różni się od Web3? APR i APY w kryptowalutach. Co oznaczają i czym się różnią?