O que é uma falsificação de SMS e como evitar

Uma falsificação de SMS é um ciberataque comum. Os fraudadores utilizam um software especializado para manipular o ID do remetente do SMS, fazendo parecer que a mensagem provém de uma fonte legítima, como do banco. Desta forma, podem roubar informações sensíveis ou descarregar malware para os telemóveis dos destinatários.

Tipos de falsificação de SMS

Pode ser difícil distinguir entre mensagens legítimas e falsas. Para te protegeres, é crucial manteres-te vigilante e cauteloso ao responder a SMS não solicitadas. Eis alguns exemplos comuns de falsificação de SMS:

• ID de remetente falso

O tipo mais comum de falsificação consiste em substituir o ID de remetente pelo número ou nome de uma empresa respeitável. Por exemplo, os fraudadores podem fazer-se passar pela Binance ou pela TrustWallet para enviar SMS de phishing. Estas SMS seriam agrupados no mesmo tópico que as mensagens oficiais, como os códigos A2F. Isto acontece porque os hackers utilizaram falsificação de SMS para manipular o ID de remetente e disfarçar a fonte real da mensagem.

• Transferência de dinheiro falsa

Os fraudadores alegam que o destinatário ganhou um prémio. Em seguida, pedem os dados bancários do destinatário para poderem depositar os ganhos ou pedem para aceder a um link para este reclamar o prémio.

• Assédio

Isto envolve o envio de mensagens ameaçadoras ou inadequadas para intimidar as suas vítimas, na esperança de lhes extorquir dinheiro. Por exemplo, ameaçar banir a conta do utilizador. Muitas vezes, os hackers tiram partido do teu medo de perder ativos. Nesta situação, deves manter a calma e verificar a mensagem antes de agires.

Como evitar a falsificação de SMS?

• Ativar o teu Código Anti-Phishing: Para reforçar a segurança e combater este tipo de fraudes, alargámos a utilização da funcionalidade Código Anti-Phishing às comunicações por SMS. Depois de configurado, quando receberes um SMS nosso, este incluirá o teu código personalizado – conhecido apenas por ti – permitindo-te confirmar que a mensagem é legítima. Pode ser facilmente configurado através da aplicação ou do website:
• Aplicação: [Perfil] - [Informações da conta] - [Segurança] - [Código anti-phishing].
• Website: [Perfil] - [Conta] - [Segurança] - [Segurança avançada].

• Verificação própria: Os fraudadores tendem a enviar SMS falsos a indicar o Início de sessão/Levantamento/Ligação à API na tua conta. Por isso, quando receberes um SMS inesperado, faz sempre o seguinte:
  • Verifica o teu registo de segurança
    • Aplicação: [Perfil] - [Informações da conta] - [Segurança] - [Atividades da conta].
    • Website: [Perfil] - [Conta] - [Segurança] - [Dispositivos e atividades].
  • Tem em atenção que receber um SMS/chamada falsos não significa necessariamente que a tua conta Binance tenha sido comprometida.
• Verificação automatizada: Basta carregar o SMS através do chatbot para uma verificação rápida de se o SMS que recebeste era genuíno ou não.

• Verifica a fonte da mensagem: Verifica sempre novamente a fonte de uma mensagem recebida antes de responderes. Tem cuidado com quaisquer mensagens não solicitadas ou que pareçam suspeitas. Em caso de dúvida, podes contactar o Serviço de Apoio ao Cliente da Binance para verificar a identidade do remetente.
• Ativa a autenticação de dois fatores (A2F) e as chaves de acesso: A A2F adiciona uma camada extra de segurança às tuas contas, tornando mais difícil para os hackers obterem acesso através da falsificação de SMS. As chaves de acesso (dados biométricos) tornam mais difícil aos atacantes contornar este passo. Para saber mais, consulta Como criar uma chave de acesso para a minha conta Binance?.
• Não partilhes informações pessoais: Nunca partilhes informações confidenciais (por exemplo, palavras-passe, números de cartão de crédito e números de segurança social) através de mensagens de texto, especialmente com contactos não verificados.
• Não cliques em links suspeitos: Não cliques em quaisquer links que te sejam enviados por mensagem de texto sem verificar a sua legitimidade. Os links podem levar-te a websites de phishing que tentam roubar as tuas credenciais de início de sessão ou instalar malware no teu dispositivo. Certifica-te de que utilizas o website oficial da empresa. Por exemplo, se não tiveres a certeza se o link, e-mail, número de telefone, ID do WeChat, conta do X (antigo Twitter) ou ID do Telegram é oficial, podes verificá-lo em Verificação Binance.

Por exemplo, aqui está uma lista de websites de phishing suspeitos que se fazem passar pela Binance.

Exemplos de falsificação de SMS

1. Notificação de atualização de conta falsa

Um utilizador da Binance recebeu um SMS com o nome do remetente “Binance”, a pedir-lhe para atualizar a sua conta para continuar a utilizar o serviço da Binance.

Os hackers utilizaram software especializado para manipular o ID do remetente do SMS, fazendo com que o SMS falso parecesse ter sido legitimamente enviado pela Binance. Como o SMS falso estava no mesmo tópico das mensagens oficiais de códigos A2F, o utilizador assumiu que a mensagem era legítima. Depois de iniciar sessão no website de phishing, as credenciais da conta foram roubadas pelos hackers.

2. Pedido de cancelamento de levantamento falso

Outro utilizador da Binance recebeu um SMS falso para confirmar um levantamento. O utilizador pensou que a mensagem era legítima e iniciou sessão na sua conta no website de phishing para “cancelar o pedido de levantamento”.

Depois de obter as credenciais do utilizador, o hacker iniciou um pedido de levantamento a partir da sua conta e orientou-o para introduzir o código A2F no website de phishing. Depois de o utilizador introduzir o código, o hacker levantou os seus ativos com sucesso.

O que aprendemos com este exemplo:

• O utilizador não verificou o URL do website. Deves sempre verificar o link recebido na Verificação Binance antes de o abrires.
• O utilizador pensou que o código A2F era utilizado para cancelar pedidos de levantamento. No entanto, se tivesse verificado cuidadosamente a mensagem, teria reparado que o código A2F se destinava a confirmar um pedido de levantamento. Por isso, verifica cuidadosamente sempre que receberes uma mensagem com um código A2F. Confirma a utilização do código A2F antes de o introduzires.

3. Verificação de conta falsa

Vários utilizadores da Binance receberam um SMS com um link para verificar ou atualizar as suas contas, o que foi uma tentativa de phishing para roubar as credenciais das suas contas.

4. Pedido de chamada ou declaração pessoal

O phisher pode alegar um "novo início de sessão" e pedir-te que ligues de volta para um número de telefone suspeito ou que indiques dados pessoais através de um URL suspeito.

Não ligues nem cliques em nenhuma das fontes fornecidas. Podes utilizar a Verificação Binance para verificares a legitimidade de qualquer comunicação da Binance. Para mais informações, visita O que é a Verificação Binance?

Se te deparares com qualquer atividade fraudulenta de phishing que se faça passar pela Binance, reporta-a imediatamente à nossa equipa.