O que é spoofing de SMS e como evitar

O spoofing de SMS é um ciberataque comum. Fraudadores usam softwares especializados para manipular o ID do remetente do SMS, fazendo parecer que a mensagem vem de uma fonte legítima, como o banco. Dessa forma, eles podem roubar informações sensíveis ou baixar malware nos celulares dos destinatários.

Tipos de spoofing de SMS

Pode ser difícil distinguir entre mensagens legítimas e falsificadas. Para se proteger, é crucial permanecer vigilante e cauteloso ao responder a SMS não solicitados. Aqui estão alguns exemplos comuns de spoofing de SMS:

• ID de remetente falso

O tipo mais comum de spoofing é substituir o ID do remetente pelo número ou nome de uma empresa respeitável. Por exemplo, golpistas se passariam por Binance ou TrustWallet para enviar SMS de phishing. Esses SMS seriam agrupados no mesmo tópico das mensagens oficiais, como códigos de 2FA. Isso ocorre porque os hackers usaram spoofing de SMS para manipular o ID do remetente e disfarçar a verdadeira origem da mensagem.

• Transferência de dinheiro falsa

Golpistas alegariam que o destinatário ganhou um prêmio. Em seguida, pediriam os dados bancários do destinatário para poder depositar os ganhos ou que ele acessasse um link para resgatar o prêmio.

• Assédio

Isso envolve o envio de mensagens ameaçadoras ou inadequadas para intimidar as vítimas, na esperança de extorquir dinheiro delas. Por exemplo, ameaçar banir a conta do usuário. Hackers frequentemente se aproveitam do seu medo de perder ativos. Nessa situação, você deve manter a calma e verificar a mensagem antes de agir.

Como evitar spoofing de SMS?

• Ative seu código antiphishing: Para aumentar a segurança e combater esses golpes, estendemos o uso do recurso código antiphishing para comunicações por SMS. Após a configuração, quando você receber um SMS nosso, ele incluirá seu código personalizado – conhecido apenas por você – permitindo confirmar que a mensagem é legítima. Ele pode ser configurado facilmente pelo app ou pelo site:
• App: [Perfil] - [Informações da conta] - [Segurança] - [Código antiphishing].
• Site: [Perfil] - [Conta] - [Segurança] - [Segurança avançada].

• Autoverificação: golpistas tendem a enviar SMS falsos indicando login/saque/vinculação à API na sua conta. Portanto, quando você receber um SMS inesperado, sempre:
  • Verifique seu registro de segurança
    • App: [Perfil] - [Informações da conta] - [Segurança] - [Atividades da conta].
    • Site: [Perfil] - [Conta] - [Segurança] - [Dispositivos e atividades].
  • Observe que receber um SMS/ligação falso(a) não significa necessariamente que sua conta Binance foi hackeada.
• Verificação automatizada: Basta enviar o SMS pelo chatbot para uma verificação rápida se o SMS que você recebeu era genuíno ou não.

• Verifique a origem da mensagem: Sempre verifique novamente a origem de uma mensagem recebida antes de responder. Tenha cuidado com mensagens não solicitadas ou que pareçam suspeitas. Em caso de dúvida, você pode entrar em contato com o Atendimento ao cliente da Binance para verificar a identidade do remetente.
• Ative a autenticação de dois fatores (2FA) e passkeys: a 2FA adiciona uma camada extra de segurança às suas contas, tornando mais difícil para hackers obterem acesso por meio de spoofing de SMS. Passkeys (biometria) tornam mais difícil para atacantes contornarem essa etapa. Para saber mais, consulte Como criar uma passkey para minha conta Binance?.
• Não compartilhe informações pessoais: Nunca compartilhe informações sensíveis (por exemplo, senhas, números de cartão de crédito e números de seguridade social) por mensagens de texto, especialmente com contatos não verificados.
• Não clique em links suspeitos: Não clique em links enviados a você por mensagem de texto sem verificar a legitimidade. Links podem levar a sites de phishing que tentam roubar suas credenciais de login ou instalar malware no seu dispositivo. Certifique-se de usar o site oficial da empresa. Por exemplo, se você não tiver certeza se o link, e-mail, número de telefone, ID do WeChat, conta do Twitter ou ID do Telegram é oficial, você pode verificá-lo no Binance Verify.

Por exemplo, aqui está uma lista de sites de phishing suspeitos que se passam pela Binance.

Exemplos de spoofing de SMS

1. Notificação falsa de atualização de conta

Um usuário da Binance recebeu um SMS com o nome do remetente “Binance”, pedindo que ele atualizasse sua conta para continuar usando o serviço da Binance.

Hackers usaram softwares especializados para manipular o ID do remetente do SMS, fazendo o SMS falso parecer que estava vindo legitimamente da Binance. Como o SMS falso estava no mesmo tópico das mensagens oficiais de código 2FA, o usuário presumiu que a mensagem era legítima. Depois que ele fez login no site de phishing, suas credenciais de conta foram roubadas por hackers.

2. Solicitação falsa de cancelamento de saque

Outro usuário da Binance recebeu um SMS falso para confirmar um saque. O usuário achou que a mensagem era legítima e fez login em sua conta no site de phishing para “cancelar a solicitação de saque”.

Após obter as credenciais do usuário, o hacker iniciou uma solicitação de saque a partir da conta dele e o orientou a inserir o código 2FA no site de phishing. Depois que o usuário inseriu o código, o hacker sacou seus ativos com sucesso.

Alguns aprendizados com este exemplo:

• O usuário não verificou a URL do site. Você deve sempre verificar o link recebido no Binance Verify antes de visitar.
• O usuário achou que o código 2FA era usado para cancelar solicitações de saque. No entanto, se ele tivesse verificado a mensagem com atenção, teria notado que o código 2FA era destinado a confirmar uma solicitação de saque. Portanto, verifique com cuidado quando receber uma mensagem de código 2FA. Sempre confirme o uso do código 2FA antes de inseri-lo.

3. Verificação falsa de conta

Vários usuários da Binance receberam um SMS com um link para verificar ou atualizar suas contas, o que era uma tentativa de phishing para roubar as credenciais de conta.

4. Solicitação de ligação ou declaração pessoal

O phisher pode alegar “novo login” e pedir para você retornar a ligação para um número de telefone suspeito ou declarar dados pessoais por meio de uma URL suspeita.

Não ligue nem clique em nenhuma das fontes fornecidas. Você pode usar o Binance Verify para verificar a legitimidade de qualquer comunicação da Binance. Para mais informações, visite O que é o Binance Verify?

Se você se deparar com qualquer atividade de golpe se passando pela Binance, denuncie imediatamente à nossa equipe.