簡訊釣魚是一種常見的網路攻擊。詐騙者會使用專門軟體更改簡訊寄件者 ID,讓訊息看起來像是來自真實來源,例如銀行。透過這種方式,他們可能竊取敏感資訊,或將惡意軟體下載到收件者的手機上。
簡訊釣魚的類型
要區分合法訊息與偽冒訊息可能很困難。為了保護自己,在回覆未經請求的簡訊時,務必保持警覺並謹慎行事。以下是一些常見的簡訊釣魚範例:
最常見的偽冒類型,是將寄件者 ID 替換為知名企業的號碼或名稱。例如,詐騙者會冒充幣安或 TrustWallet 發送網路釣魚 SMS。這些 SMS 會與官方訊息 (例如兩步驟驗證碼) 被歸在同一個對話串中。這是因為駭客使用 SMS 偽冒來操控寄件者 ID,並偽裝訊息的實際來源。
詐騙者會聲稱收件者中了獎,接著要求提供收件者的銀行資料,以便存入獎金,或要求前往連結領取獎品。
這類手法涉及發送威脅性或不當訊息來恐嚇受害者,並希望藉此勒索金錢。例如,威脅要封鎖使用者的帳號。駭客常利用你害怕失去資產的心理。在這種情況下,請保持冷靜,並在採取行動前先驗證訊息真偽。
如何避免簡訊釣魚?
- 啟用你的反釣魚碼:為了提升安全性並打擊此類 詐騙,我們已將 反釣魚碼功能延伸至簡訊寄送。設定完成後,當你收到我們發送的簡訊時,訊息中會包含僅你本人知曉的個人化代碼,讓你能確認該訊息為真實來源。你可透過 App 或網站輕鬆設定:
- App: [個人檔案] - [帳戶資訊] - [安全] - [反釣魚碼]。
- 網站:[個人檔案] - [帳戶] - [安全] - [進階安全]。
- 自行驗證:詐騙者常發送假簡訊,聲稱你的帳戶出現登入/提領/API 綁定等情況。因此,當你收到非預期的簡訊時,請務必:
- 查看你的安全日誌
- App:[個人檔案] - [帳戶資訊] - [安全] - [帳戶活動]。
- 網站:[個人檔案] - [帳戶] - [安全] - [裝置與活動]。
- 請注意,收到假簡訊/來電不一定代表你的幣安帳戶已遭駭。
- 自動驗證:只要透過聊天機器人上傳簡訊,即可快速檢查你收到的簡訊是否為真實訊息。
- 驗證訊息來源:在回覆前,務必再次確認來訊的來源。對任何未經請求或看似可疑的訊息保持警惕。如有疑慮,你可聯絡簡訊客戶服務以驗證寄件者身分。
- 啟用兩步驟驗證 (2FA) 與通行密鑰:2FA 可為你的帳戶增加額外的安全防護層,讓駭客更難透過簡訊釣魚取得存取權限。通行密鑰 (生物辨識) 也會讓攻擊者更難繞過此步驟。欲了解更多資訊,請參閱 如何為我的幣安帳戶建立通行密鑰?。
- 請勿分享個人資訊:切勿透過簡訊分享敏感資訊 (例如密碼、信用卡號碼與社會安全號碼 ),尤其是與未經驗證的聯絡人。
- 請勿點擊可疑連結:在未確認合法性前,請勿點擊任何透過簡訊傳送的連結。連結可能導向網路釣魚網站,企圖竊取你的登入憑證或在你的裝置上安裝惡意軟體。請務必使用商家的官方網站。例如,若你不確定某個連結、電子郵件、電話號碼、WeChat ID、X 帳號或 Telegram ID 是否為官方來源,可在幣安驗證上進行驗證。
例如,以下是一些冒充幣安的可疑網路釣魚網站清單。
簡訊釣魚範例
1. 偽造帳戶升級通知
一位幣安用戶收到一則寄件者名稱為「Binance」的 SMS,要求其升級帳戶以繼續使用幣安服務。
駭客使用專門軟體操控 SMS 寄件者 ID,讓假 SMS 看起來像確實是由幣安發送。由於該假簡訊與官方 2FA 驗證碼訊息位於同一個對話串中,使用者便以為該訊息為真。當使用者登入網路釣魚網站後,其帳戶憑證即遭駭客竊取。
2. 偽造提領取消請求
另一位幣安使用者收到一則假簡訊,要求確認提領。使用者以為訊息為真,並在網路釣魚網站登入其帳戶以「取消提領請求」。
在取得使用者憑證後,駭客從其帳戶發起提領請求,並引導使用者在網路釣魚網站輸入 2FA 驗證碼。使用者輸入驗證碼後,駭客成功提走其資產。
從此範例可學到:
- 使用者未驗證網站 URL。你應在造訪前,先在幣安驗證上驗證收到的連結。
- 使用者以為 2FA 驗證碼是用來取消提領請求。然而,若仔細查看訊息,就會發現該 2FA 驗證碼其實是用於確認提領請求。因此,當你收到 2FA 驗證碼訊息時,請務必仔細確認。在輸入 2FA 驗證碼前,務必先確認其用途。
3. 偽造帳戶驗證
多位幣安使用者收到一則含有連結的 SMS,要求驗證或升級帳戶,這是一種網路釣魚手法,企圖竊取其帳戶憑證。
4. 要求回電或個人聲明
釣魚者可能聲稱「有新的登入」,並要求你回撥至可疑電話號碼,或透過可疑 URL 提交個人資料聲明。
請勿撥打或點擊所提供的任何來源。你可使用幣安驗證來檢查任何幣安通訊的真實性。欲了解更多資訊,請造訪 什麼是幣安驗證?
若你遇到任何冒充幣安的詐騙釣魚活動,請 立即向我們的團隊舉報。
