Alerta de segurança Web3 - Falsificação de SMS

Visão geral

● Este artigo explora os mecanismos de falsificação de SMS (também conhecida por spoofing) e como têm sido utilizados em ataques de phishing dirigidos a utilizadores da Bitget. Descreve em pormenor a forma como estes burlões falsificam as identidades dos remetentes e servem-se de psicologia humana para levar a cabo as suas burlas.

● Também apresenta as medidas de segurança da Bitget, incluindo períodos de pausa, canais de verificação oficiais e autenticação de dois fatores (2FA) para salvaguardar as contas dos utilizadores.

● Por último, fornece as melhores práticas para os utilizadores reforçarem a segurança das suas contas, tais como a instalação de software antivírus, o reconhecimento de links suspeitos e a gestão de informações sensíveis entre plataformas.

Recentemente, observámos um aumento do uso de táticas de phishing em determinados países e regiões: através delas, os vigaristas forjam mensagens SMS oficiais que se misturam perfeitamente em conversas legítimas entre os utilizadores e a plataforma da Bitget. Isto torna-as extremamente difíceis de detetar. Recentemente, uma vaga de ataques de phishing dirigidos aos utilizadores da Bitget explorou esta falha - os SMS falsos aparecem na mesma conversa que os oficiais, muitas vezes utilizando um ID de remetente idêntico, o que representa um risco de segurança significativo.

À medida que os smartphones se têm tornado essenciais, tanto para o trabalho, como para a vida pessoal, a cibercriminalidade dirigida a estes dispositivos móveis também tem aumentado. Uma vez que as mensagens de texto são uma das funcionalidades mais comuns dos smartphones, o phishing baseado em SMS tornou-se numa ameaça particularmente furtiva. Vamos explicar então como funciona a falsificação destes SMS.

O que é a falsificação de SMS (spoofing)?

A falsificação de SMS (também chamada de spoofing) é um tipo de fraude cibernética em que os atacantes falsificam o número ou o ID do remetente. Quando são recebidas estas mensagens, os smartphones agrupam-nas em tópicos existentes com base nas informações do remetente. Este processo leva as vítimas a acreditar que as mensagens são de uma fonte fiável (tal como um banco, um amigo ou uma instituição oficial). Os vigaristas utilizam este disfarce para induzir as vítimas a revelarem informações pessoais, a clicarem em links maliciosos, a descarregarem malware ou até mesmo a transferirem fundos: tudo isto poderá resultar em fraude e roubo de dados.

Como funciona

● Identidade falsa do remetente: os atacantes podem-se fazer passar por qualquer número, incluindo os da Bitget, de agências governamentais ou até mesmo de contactos pessoais, o que faz com que a mensagem pareça altamente credível.

● Intenções dissimuladas: as mensagens são normalmente enquadradas como avisos urgentes, alertas de segurança ou atualizações importantes - tudo com o objetivo de baixar a guarda da vítima.

● Ataques direcionados: as mensagens imitam frequentemente notificações de plataformas específicas (tal como corretoras de criptomoedas), criando confusão e induzindo os utilizadores em erro.

Cenários comuns

● Ataque de phishing: levam os utilizadores a clicar em links falsos para websites de phishing com o objetivo de lhes roubarem as credenciais da conta.

● Fraudes de falsificação de identidade: fazem-se passar por amigos, instituições ou representantes do apoio ao cliente para pedir transferências de dinheiro.

● Instalação de malware: incluem código ou links maliciosos no SMS para infetar o dispositivo do utilizador.

Princípio subjacente

Independentemente do cenário, a essência destes ataques de falsificação de SMS reside no engano e na manipulação. Ao fingirem ser alguém em quem o utilizador confia, os vigaristas têm maior probabilidade de serem bem sucedidos. Estes ataques envolvem frequentemente engenharia social - a manipulação de emoções e do comportamento humano para enganar as vítimas. Eis como montam as suas armadilhas:

● Exploração de confiança: os cibercriminosos fazem-se passar por entidades legítimas ou credíveis (apoio ao cliente da Bitget, afiliados, amigos e influencers), contando com o seu instinto de confiar em nomes que lhe são familiares. Uma vez que os SMS são considerados privados, é mais provável que os utilizadores acreditem nas informações sem as questionarem.

● Relevância contextual: os vigaristas adaptam as mensagens para que correspondam a situações que fazem sentido, fingindo por exemplo que estão a enviar um alerta de levantamento da sua conta Bitget. Como os SMS são normalmente utilizados para atualizações importantes, é menos provável que os destinatários duvidem imediatamente da sua autenticidade - isto torna-os mais suscetíveis a caírem na armadilha do atacante.

● Manipulação emocional: ao criarem urgência (por exemplo, com expressões como "atividade irregular da conta" ou "verifique já"), ou ao explorar o medo, a curiosidade e a ansiedade, os vigaristas anulam o julgamento racional. As vítimas são forçadas a tomar decisões precipitadas - clicam em links, introduzem palavras-passe ou submetem códigos 2FA (autenticação de dois fatores). Esta interferência emocional é a chave do sucesso.

Princípios técnicos

● Falsificação do ID do remetente: os burlões utilizam software malicioso ou scripts para falsificarem o número do remetente e enviarem SMS diretamente para o seu telemóvel.

● Serviços VoIP: os serviços de Voz sobre IP (VoIP) permitem aos atacantes definir qualquer nome ou número de remetente. Por exemplo, podem falsificar o número oficial do apoio ao cliente da Bitget para que apareçam mensagens falsas dentro do mesmo grupo de SMS legítimos da Bitget. Quando estes SMS falsos são enviadas para o seu telemóvel, podem aparecer diretamente na sua conversa normal por SMS com a Bitget, levando-o a pensar que se trata de um alerta oficial.

● Gateways de SMS: os vigaristas podem alugar ou sequestrar gateways maliciosos de SMS, ou conspirar com provedores de serviços duvidosos para enviarem mensagens falsas que parecem vir da Bitget.

Proteções de segurança da Bitget

A Bitget está empenhada em mantê-lo um passo à frente e totalmente informado sobre tudo o que se passa na sua conta.

Alertas por email

Se vinculou o seu email, receberá um email sempre que iniciar sessão a partir de um novo dispositivo. Estes emails incluem o seu código anti-phishing, código de verificação, localização do início de sessão, endereço IP e detalhes do dispositivo. Verifique sempre se estas informações correspondem à sua atividade.

Se a sua conta for acedida a partir de um local diferente, receberá um email a notificá-lo do início de sessão. Pedimos que verifique sempre este acesso.

Ao efetuar um levantamento, receberá um email com o código de verificação e todos os detalhes da transação. Confirme sempre que os dados nele presentes correspondem integralmente ao levantamento pretendido.

Período de pausa (1 hora ou 24 horas)

Para evitar ações impulsivas causadas por fraudes, a Bitget implementou um período de pausa - uma salvaguarda temporária desencadeada quando o sistema deteta possíveis riscos para a conta (tal como localizações de início de sessão invulgares, transações irregulares ou suspeitas de fraude):

Período de pausa: consoante o nível de risco (1 hora ou 24 horas).

● Período de 1 hora: para cenários de baixo risco (por exemplo, inícios de sessão remotos), este pequeno atraso pausa os levantamentos para que os utilizadores possam verificar a atividade da sua conta.

● Período de 24 horas: para cenários de alto risco (por exemplo, alterações no método de verificação ou riscos de phishing), todos os levantamentos são suspensos, dando aos utilizadores tempo para reavaliarem a segurança da sua conta.

Canais de verificação oficial

Se não tiver a certeza da identidade de alguém, pode sempre verificá-la através do canal de verificação oficial da Bitget.

Melhores práticas para a segurança da conta

Ative vários métodos de 2FA

A autenticação de dois fatores (2FA) é uma camada crítica de proteção que exige dois métodos separados de verificação de identidade. Isto pode incluir combinações de email, palavras-passe, SMS, Google Authenticator, chaves de segurança ou outros métodos. O uso de várias opções de 2FA reforça consideravelmente a segurança e a fiabilidade da sua conta.

Configure o código anti-phishing

O código anti-phishing é uma funcionalidade de segurança fornecida pela Bitget para ajudar os utilizadores a identificarem websites de phishing. Uma vez ativado, todos os emails e SMS oficiais da Bitget (excluindo os códigos de verificação por SMS) incluirão o seu código anti-phishing exclusivo. Os emails e SMS de phishing não contêm códigos anti-phishing, pelo que será mais fácil para os utilizadores identificarem se provêm de canais oficiais da Bitget.

Para o configurar, aceda ao Perfil > Segurança > Código anti-phishing e siga as instruções apresentadas.

Visite este link para obter mais informações sobre códigos anti-phishing.

Ative a confirmação de endereços de levantamento

Ao levantar fundos através do website da Bitget, existe o risco de atividades maliciosas (tais como sequestro de tráfego) adulterarem o seu endereço de levantamento. Para evitar isto, a Bitget oferece um método de verificação entre dispositivos. Terá de ler um código QR utilizando a app móvel da Bitget para confirmar o endereço de levantamento antes que o pedido possa ser efetuado.

Pratique uma boa higiene de conta

Instale software antivírus. Descarregue sempre apps e software de fontes oficiais de confiança e evite clicar em links recebidos por SMS. Para aumentar ainda mais a segurança da sua conta, considere a possibilidade de utilizar um dispositivo dedicado para aceder a contas sensíveis ou confidenciais. Nunca ponha todos os ovos no mesmo cesto. Evite iniciar sessão no seu email, inserir um cartão SIM e armazenar o Google Authenticator no mesmo telemóvel. Se o seu dispositivo se perder ou ficar comprometido, ter tudo concentrado num único dispositivo pode implicar a perda de todos os seus dados. A distribuição do risco pode reduzir significativamente o risco de perdas.

Conclusão: a segurança começa com a consciencialização - começa consigo

A tecnologia pode criar defesas no domínio da segurança de rede. No entanto, a sua consciencialização e vigilância são as melhores salvaguardas possíveis. Os vigaristas aproveitam-se da confusão e da urgência. No entanto, quando estamos bem informados, conseguimos detetar estas armadilhas e responder com confiança. A Bitget fornece uma estrutura de segurança de várias camadas para proteger os utilizadores. Não obstante, a salvaguarda mais poderosa continua a ser a sua própria compreensão do risco. Cada conhecimento que tiver sobre fraudes é mais um escudo a proteger os seus ativos.

O conhecimento é poder. A ação é proteção. A Bitget continuará a melhorar os seus recursos anti-burla e alertas de risco. Sempre que verificar o mesmo detalhe várias vezes ou tomar uma decisão cautelosa, estará a fechar a porta aos vigaristas. Juntos, trabalharemos para tornar a segurança na base que nos une.

Saiba mais: As melhores práticas de segurança da Bitget