Web3骗局揭秘-短信欺骗（SMS Spoofing）

摘要

● 介绍了短信欺骗攻击的原理和常见场景，特别是针对Bitget用户的钓鱼攻击，解释了攻击者如何通过伪造发件人身份和利用人性弱点进行诈骗；

● 介绍了Bitget采取了哪些安全防护措施，如冷静期、官方验证渠道和双因素身份验证，以保护用户账户安全；

● 指导用户应采取最佳安全实践，如安装防病毒软件、避免点击可疑链接，并分散管理敏感信息，以增强账户安全。

近期，我们注意到在部分国家和地区，骗子找到了一种更具隐蔽性的钓鱼手法-通过伪造官方短信混入用户与平台的正常对话中，让用户难辨真伪。一批针对Bitget用户的钓鱼攻击正是利用了这一漏洞：骗子发送的虚假信息与平台官方提醒出现在同一聊天窗口，甚至使用相同发件人标识，但这些信息存在极大风险。

越来越多的人将自己的个人智能手机用作工作和生活工具，随着移动设备使用率的上升，针对移动设备的网络犯罪也在不断增加。除了发短信是智能手机最常见的用途外，其他一些因素也使短信钓鱼成为一种特别隐秘的安全威胁。为了解释清楚，我们先了解一下短信欺骗攻击的原理。

什么是短信欺骗？

短信欺骗攻击是一种网络诈骗手段，指攻击者通过技术手段伪造短信的发送方号码或SenderID，智能手机根据发送方号码或SenderID将短信会话合并，使受害者误以为短信来自可信来源（如银行、亲友或官方机构）。攻击者利用这种伪装，诱导受害者泄露个人信息、点击恶意链接、安装恶意软件或进行转账，从而达到诈骗或窃取数据的目的。

核心特点

● 伪造发件人身份：攻击者可以伪装成任何号码（如bitget官方、政府机构或熟人），使短信看起来真实可信。

● 隐藏攻击意图：短信内容通常伪装成紧急通知、安全提醒或重要信息，诱导受害者放松警惕。

● 目标性强：攻击者可能针对特定平台（如加密货币交易所）的用户，伪造官方提醒，混淆视听。

常见场景

● 钓鱼攻击：诱导用户点击虚假链接访问钓鱼网站，窃取账户信息。

● 诈骗转账：伪装成亲友、机构或客户支持，通过各种理由要求受害者转账。

● 传播恶意软件：通过短信附带的链接或附件植入病毒。

核心原理

无论采取哪种场景，短信欺骗攻击的核心都围绕“欺骗”与“诱导”展开。攻击者通过伪装成您可能信任的身份，更容易让受害者配合其要求。这种攻击的成功，本质上依赖于社会工程学中对人类心理的操控，让受害者在不知不觉中落入陷阱。具体表现为以下三个关键因素：

● 信任机制：网络犯罪分子会冒充合法机构或可信身份（如bitget客户支持、代理商、亲友、KOL等等），利用人们默认“熟悉身份=安全”的心理，降低受害者的戒备。短信作为私密性较高的沟通方式，更容易让人放松警惕，误以为信息来源可靠。

● 情境关联：攻击者会利用与目标相关的场景或信息（例如假装来自bitget账户的提币提醒），增强伪装的“合理性”。由于短信通常用于接收重要通知，受害者往往不会第一时间质疑其真实性，反而更易陷入攻击者的预设情境。

● 情绪操控：通过制造紧迫感（如“账户异常”“立即验证”）或利用焦虑、好奇等情绪，攻击者能削弱受害者理性判断的能力，迫使其在冲动下做出错误操作（如点击链接、泄露密码、填写2FA验证码等等）。这种情绪干扰是欺骗成功的关键。

技术原理

● 伪造发件人号码：骗子通过恶意软件或脚本伪造发件人号码，直接向目标手机号发送短信。

● VoIP服务：骗子常使用VoIP（互联网电话服务）来伪造短信，这种技术允许他们随意设定发件号码或名称。例如，攻击者可以输入Bitget的官方客服号码作为发件人，伪装成平台发送信息。当这些伪造的短信发送到你的手机时，它们可能直接出现在你与Bitget的正常短信对话线程中，让你误以为是官方提醒。

● 短信网关：攻击者租用或控制恶意短信网关，或与不道德的服务商勾结时，伪装bitget发件人身份发送短信。

Bitget安全防护措施

在bitget，我们致力于让用户始终领先一步并且清楚的知道自己当前所做的事情。

邮件触达

如果您绑定了电子邮件，当您在新设备登录时，我们首先会向您发送一封包含防钓鱼码、验证码、登录地点、IP地址、设备的电子邮件。请花一些时间来确认其中的所有登录信息和您当前登录的设备信息完全一致。

当您异地登录成功后，我们会再次发送一封邮件，提醒您的账号正在其他设备登录，请核实您的登录信息。

当您提现时，我们会将验证码及本次提现的所有信息发送至您的邮箱，请花一些时间来确认其中的所有提现信息和您预期的一致。

冷静期（1小时或24小时）

为防范诈骗导致的冲动操作，Bitget特别设置了冷静期（Cooling Period）这一临时保护机制。当系统检测到账户存在潜在风险（如异地登录、可疑交易或疑似诈骗行为时），将自动触发该机制：

● 冷静期时长：根据风险等级分为1小时或24小时。

○ 1小时冷静期：适用于低风险情况（如异地登录），短暂限制资金提取，让用户快速核查账户。

○ 24小时冷静期：针对高风险情形（如修改安全项、钓鱼风险），全面暂停资金提取功能，为用户留出充足时间重新评估账户安全。

官方验证渠道

当您无法判断对方身份真实性时，您可以通过Bitget官方 验证通道进行验证。

用户安全防护最佳实践

确保您绑定了足够多的2FA

双因素身份验证 (2FA) 是一种安全流程，需要两种不同的身份验证因素来验证您的身份。这些因素包括邮件、密码、短信、Google Authenticator、密钥或多种因素的组合。多种双因素身份验证方法可以增强帐户的安全性和可靠性。

设置防钓鱼码

防钓鱼码是Bitget提供的一项安全功能，旨在帮助用户识别钓鱼网站。启用此功能后，Bitget的所有官方邮件和短信（不包括短信验证码）都将包含此代码。钓鱼邮件和短信将不包含防钓鱼码，方便用户识别其是否来自Bitget官方渠道。

导航到您的用户资料>安全>防钓鱼代码，然后按照提示设置您的防钓鱼代码。

有关反钓鱼代码的更多信息，请访问以下链接

打开跨段提币验证开关

当您在网页中进行提币操作时，流量劫持或hijacking等非法攻击行为可能会篡改您的提币地址，为此我们增加了跨端提币验证开关，您需要在bitget移动端通过扫描二维码对提币地址进行确认，提现请求才会通过。

保持良好的账号使用习惯

安装防病毒软件。确保始终从受信任的官方来源下载应用程序和程序，并避免访问短信中的链接。为了提高安全性，您可能需要考虑专门为您的敏感/机密帐户使用专用设备。永远不要将鸡蛋放在同一个篮子里，不要同时在一台智能手机上登录您的邮箱、插入电话卡以及保存google authenticator，若手机丢失或被入侵，所有敏感信息集中存放将导致“一失万无”，而分散管理可最大限度减少损失。

结语：安全始于你我，知识是最好的防护盾

在网络安全领域，技术手段能筑起防线，但最终决定防线是否坚固的，始终是用户的警觉与知识。诈骗分子常利用混乱与紧迫感设下陷阱，而当你了解骗术、掌握防范方法，便能识破伪装、从容应对。Bitget通过多层次安全防护体系为用户争取安全空间，但最强大的“保护伞”始终是你对风险的认知——每一份对骗术的了解，都是守护资产的关键。

知识即力量，行动即安全。Bitget将持续更新反诈指南与风险预警，而你的每一次核实、每一个谨慎选择，都将让诈骗无机可乘。与我们并肩前行，让安全成为你我共同的底气。

关于更多Bitget账号使用安全最佳实践，您可以访问.