Безпека у Web3 – SMS-спуфінг

Огляд

● У цій статті ми розповіли, як працює SMS-спуфінг і як він використовується у фішингових атак, спрямованих на користувачів Bitget. Ми докладно описали, як шахраї видають себе за надійного відправника та використовують психологічний підхід для здійснення своїх афер.

● Також у цій статті ви дізнаєтеся про заходи безпеки від Bitget, зокрема офіційні канали верифікації, двофакторну аутентифікацію (2FA) та тимчасове блокування. Все це допоможе вам захистити свій акаунт.

● Зрештою, у статті наведено найкращі методи підвищення безпеки акаунта, зокрема йдеться про антивірусне програмне забезпечення, уникнення підозрілих посилань і керування конфіденційною інформацією на різних платформах.

Останнім часом ми спостерігаємо зростання кількості фішингових атак у деяких країнах і регіонах. У цих атаках шахраї підробляють SMS-повідомлення, які майже ідентичні до офіційних, тобто користувачу дуже складно розрізнити актуальний чат з Bitget і шахрайські дії, тож їх дуже складно виявляти. У хвилі фішингових атак, спрямованих на користувачів Bitget, фейкові SMS-повідомлення зʼявлялися в тому ж вікні чату, що й офіційні, часто з тими самими ID відправника. Це створює значну загрозу безпеці.

Смартфони стали невіддільною частиною нашого життя, тому, звісно, кіберзлочинність з їх використанням також зростає. Оскільки текстові повідомлення є однією з найпоширеніших функцій смартфонів, фішинг з використанням SMS став особливо частою загрозою. Далі ми розглянемо, як працює SMS-спуфінг.

Що таке SMS-спуфінг?

SMS-спуфінг — це вид кібершахрайства, під час якого зловмисники підробляють номер телефону або ID відправника. Коли надходить повідомлення, смартфон думає, що це те саме джерело, оскільки дані відправника збігаються, тому показує його в тій саме гілці. Це змушує жертв повірити, що повідомлення надійшло з надійного джерела (наприклад, це може бути банк, близька людина або офіційна установа). Шахраї використовують цю пастку, щоб отримати від жертви персональні дані, змусити перейти за фішинговим посиланням, завантажити шкідливе програмне забезпечення або навіть переказати кошти. Так вони викрадають дані або гроші (хоча результатом завжди є останнє).

Як це працює

● Підробляння особи відправника: зловмисники можуть видавати себе за іншу особу, підробляючи номер телефону. Так вони можуть видати себе за Bitget, офіційні установи або навіть близьку особу жертву. Повідомлення в таких випадках виглядають максимально правдоподібними.

● Прихований намір: такі повідомлення часто маю терміновий характер, виглядають як сповіщення від системи безпеки або важливі оновлення. Це робиться для того, щоб знизити пильність жертви.

● Цільові атаки: повідомлення часто імітують сповіщення від певних платформ (наприклад, криптобіржі). Це робиться для того, щоб ввести користувачів в оману й викрасти дані їх акаунтів.

Типові сценарії

● Фішингова атака: мета полягає в тому, щоб обманом змусити користувачів перейти за фейковим посиланням, яке веде на фішинговий сайт, за допомогою якого шахраї викрадають облікові дані.

● Шахрайство, повʼязане з видаванням себе за іншу особу: тут шахраї видають себе за друзів або родичів користувача, представників установ або служби підтримки й намагаються обманом змусити тих переказати кошти.

● Шкідливе програмне забезпечення: в цьому випадку шахраї додають шкідливий код або посилання в SMS, щоб встановити вірус на пристрій користувача.

Основний принцип

Незалежно від того, який сценарій використовується, суть SMS-спуфінгу полягає в обмані та маніпуляціях. Видаючи себе за когось, кому довіряє користувач, шахраї мають більше шансів на успіх. У цих атаках часто використовують соціальну інженерію — маніпулювання людськими емоціями та поведінкою, щоб заманити жертв у пастку. Ось як вони встановлюють пастки:

● Використання довіри: кіберзлочинці видають себе за осіб, які справді існують, і тих, кому довіряють (служба підтримки Bitget, партнери, друзі та KOL), знаючи, що люди звикли довіряти, коли їм пишуть зі знайомого імені. Оскільки SMS сприймається як приватне повідомлення, користувачі з великою ймовірністю повірять інформації, не ставлячи її під сумнів.

● Контекстуальна релевантність: шахраї роблять так, щоб повідомлення було схоже на реальну ситуацію, наприклад, надсилають сповіщення про зняття з вашого акаунта Bitget. Оскільки SMS зазвичай використовується для важливих сповіщень, отримував з меншою ймовірністю одразу засумнівається в його справжності. Це створює вразливе місце для пасток зловмисників.

● Маніпулювання емоціями: створюючи ефект терміновості (наприклад, це може бути повідомлення в стилі «підозріла активність на акаунті» або «терміново пройдіть верифікацію») або граючи на страху, цікавості чи тривозі, шахраям вдається змусити не мислити раціонально. Жертв штовхають на необдумані рішення — вони переходять за посиланнями, вводять свої паролі та надсилають коди 2FA. Тут емоції є ключем до успіху.

Технічні принципи

● Підробка ID відправника: шахраї використовують шкідливе програмне забезпечення або скрипти, щоб підробити номер відправника та надіслати з нього SMS на ваш телефон.

● VoIP-сервіси: за допомогою сервісів передачі голосу через інтернет-протокол (VoIP) зловмисники можуть встановлювати будь-яке імʼя або номер відправника. Наприклад, вони можуть підробити офіційний номер служби підтримки Bitget, щоб у гілці SMS від Bitget з’являлися фальшиві повідомлення. Коли ці фальшиві SMS-повідомлення надсилаються на ваш телефон, вони можуть відображатися безпосередньо у вашому звичайному SMS-чаті з Bitget. Це змусить вас думати, що це офіційне сповіщення.

● SMS-шлюзи: зловмисники можуть орендувати або перехоплювати SMS-шлюзи або ж змовлятися з сумнівними постачальниками послуг, щоб надсилати фальшиві повідомлення, які виглядатимуть так, ніби вони надійшли від Bitget.

Захист безпеки Bitget

Bitget робить усе можливе, щоб ви були на крок попереду та мали всю інформацію про те, що відбувається на вашому акаунті.

Сповіщення електронною поштою

Якщо ви прив’язали свою електронну пошту, ви отримуватимете електронного листа щоразу, коли входитимете з нового пристрою. Ці електронні листи містять ваш антифішинговий код, код підтвердження, місце, з якого було здійснено вхід, IP-адресу та дані про пристрій. Витратьте хвилину й перевірте, чи відповідає вказана в листі інформація дійсності.

Якщо у ваш акаунт було здійснено вхід з іншого місця, ви отримаєте електронний лист із повідомленням про вхід. Обовʼязково перевірте, чи це були ви.

Під час зняття ви отримаєте електронний лист із кодом підтвердження та повною інформацією про транзакцію. Завжди перевіряйте, чи відповідають дані сумі, яку вводили ви.

Період тимчасового блокування (1 година або 24 години)

Щоб запобігти імпульсивним діям, спричиненим шахрайством, Bitget запровадила період тимчасового блокування. Це запобіжний захід, який спрацьовує, коли системи виявляє потенційні ризики для акаунта (наприклад, незвичне місце входу, підозрілі транзакції або підозра на шахрайство).

Період тимчасового блокування: залежно від рівня ризику (1 година або 24 години).

● 1-годинний період: при нижчому рівні ризику (наприклад, віддалений вхід) завдяки цьому блокуванню можна затримати зняття, щоб користувач встиг перевірити, що відбувається на акаунті.

● 24-годинний період: при вищому рівні ризику (наприклад, зміна методів верифікації чи підозра на фішинг) закривається доступ до зняття, завдяки чому користувач матиме час, щоб перевірити дії на акаунті й захистити себе за потреби.

Офіційні канали верифікації

Якщо ви не впевнені щодо особи відправника, ви завжди можете перевірити її через офіційний канал верифікації Bitget.

Найкращі методи захисту акаунта

Кілька методів 2FA

Двофакторна аутентифікація (2FA) — це надважливий рівень захисту, в якому потрібно підтвердити особу двома різними способами. Це може бути комбінація адреси електронної пошти, паролів, SMS, Google Authenticator, ключів безпеки чи інших методів підтвердження. При використанні кількох варіантів 2FA значно підвищується рівень безпеки та надійність вашого акаунта.

Антифішинговий код

Антифішинговий код — це функція безпеки, яку надає Bitget, щоб допомогти користувачам ідентифікувати фішингові вебсайти. Після ввімкнення в усіх офіційних листах та SMS від Bitget (за винятком кодів для підтвердження через SMS) буде міститися цей унікальний антифішинговий код. Фішингові електронні листи та SMS не матимуть антифішингового коду, тому користувач зможе легко визначити, що лист або повідомлення надійшли не з офіційних каналів Bitget.

Щоб встановити код, перейдіть у свій Профіль > Безпека > Антифішинговий код і дотримуйтесь інструкцій на екрані.

Щоб дізнатися більше про антифішинговий код, перейдіть за цим посиланням.

Підтвердження адреси для зняття

Під час зняття через вебсайт Bitget є ризик перехоплення трафіку, коли шахраї змінюють вашу адресу зняття. Щоб запобігти цьому, Bitget пропонує використовувати перехресну верифікацію між пристроями. Щоб підтвердити адресу зняття, перед опрацюванням запиту вам потрібно буде відсканувати QR-код за допомогою мобільного застосунку Bitget.

Дотримуйтесь правил захисту акаунта

Встановіть антивірусне програмне забезпечення Завантажуйте застосунки та програмне забезпечення виключно з перевірених джерел і ніколи не переходьте за посиланнями, отриманими в SMS. Щоб ще більше підвищити безпеку свого акаунта, якщо у вас є така можливість, використовуйте окремий пристрій для всіх операцій, де потрібно вводити конфіденційні дані. Ніколи не кладіть всі яйця в один кошик. Не використовуйте один телефон для електронної пошти, SIM-картки та Google Authenticator. Якщо ви загубите чи втратите доступ до пристрою, на якому зберігатимете все одразу, ви можете втратити все. Розподіл ризиків може значно зменшити потенційні збитки.

Висновок: безпека починається з обізнаності — і вона починається з вас

Технології можуть надавати скільки завгодно рішень для кібербезпеки, але якщо ви не будете обізнаними й втратите пильність, вони не допоможуть. Шахраї заробляють на обмані та терміновості, але коли ви поінформовані, ви можете виявити пастку та одразу зреагувати. Bitget надає багаторівневу систему безпеки для захисту користувачів, але найпотужнішим запобіжником є ​​ваше власне розуміння ризиків. Кожна нова інформація, яку ви дізнаєтеся про можливі шахрайства, — це ще один щит, що захищає ваші активи.

Знання — це сила. Дія — це захист. Bitget продовжуватиме оновлювати інформацію для боротьби з шахрайством та попередження користувачів про ризики. Щоразу, коли ви перевіряєте дані або зважуєте свої дії, ви зачиняєте двері для шахраїв. Давайте працювати разом над захистом світу цифрових активів.

Дізнайтеся більше: Найкращі заходи безпеки від Bitget