Khi điện thoại thông minh ngày càng trở nên quan trọng đối với cả mục đích chuyên môn và cá nhân, chúng cũng trở thành mục tiêu hàng đầu của tội phạm mạng. Trong số các mối đe dọa khác nhau, lừa đảo qua SMS — hay còn gọi là smishing — nổi lên như một rủi ro đặc biệt tinh vi do sự phổ biến rộng rãi của tin nhắn văn bản. Phương thức này thường liên quan đến giả mạo SMS, trong đó kẻ tấn công ngụy trang danh tính của mình để lừa người dùng chia sẻ thông tin nhạy cảm hoặc bấm vào các đường link độc hại.

Giả mạo SMS là gì?

Giả mạo SMS là một hình thức lừa đảo mạng, trong đó kẻ tấn công thao túng số điện thoại hoặc ID của người gửi để khiến tin nhắn trông như được gửi từ một liên hệ hoặc tổ chức đáng tin cậy — chẳng hạn như ngân hàng, bạn bè hoặc cơ quan chính phủ. Khi những tin nhắn giả mạo này được gửi đến, điện thoại thông minh thường nhóm chúng vào các chuỗi hội thoại hiện có dựa trên thông tin người gửi bị làm giả, làm tăng thêm ảo giác về tính hợp pháp. Kẻ lừa đảo lợi dụng sự ngụy trang này để thuyết phục nạn nhân chia sẻ thông tin nhạy cảm, bấm vào đường link độc hại, tải phần mềm nguy hiểm hoặc cho phép các giao dịch gian lận, cuối cùng dẫn đến mất mát tài chính hoặc đánh cắp danh tính.

Cách hành vi giả mạo SMS hoạt động

• Giả mạo danh tính người gửi: Kẻ tấn công ngụy trang số điện thoại hoặc tên người gửi để giả dạng các thực thể đáng tin cậy — chẳng hạn như Bitget, cơ quan chính phủ hoặc liên hệ cá nhân — khiến tin nhắn trông rất đáng tin cậy.
• Mục đích ngụy trang: Những tin nhắn này thường được thiết kế dưới dạng cảnh báo bảo mật khẩn cấp, thông báo có thời hạn hoặc cập nhật quan trọng nhằm thúc đẩy hành động nhanh chóng và giảm sự cảnh giác.
• Cách tiếp cận có mục tiêu: Nhiều vụ lừa đảo bắt chước các thông tin liên lạc chính thức từ những nền tảng cụ thể — như các sàn tiền mã hóa — để tạo sự nhầm lẫn và tăng khả năng lừa người dùng.

Các kịch bản thường gặp

• Tấn công lừa đảo giả mạo: Lừa người dùng bấm vào các đường link giả mạo dẫn đến các trang web giả được thiết kế để đánh cắp thông tin đăng nhập.
• Lừa đảo mạo danh: Giả mạo bạn bè, các tổ chức chính thức hoặc bộ phận chăm sóc khách hàng để yêu cầu tiền hoặc thông tin nhạy cảm một cách gian lận.
• Phân phối phần mềm độc hại: Sử dụng đường link hoặc tệp đính kèm ngụy trang trong SMS để phân phối phần mềm độc hại và xâm nhập vào thiết bị của người dùng.

Nguyên tắc cơ bản

Về cơ bản, giả mạo SMS dựa trên sự lừa dối và thao túng tâm lý. Bằng cách mạo danh các nguồn đáng tin cậy, kẻ tấn công lợi dụng xu hướng tự nhiên của con người — thường sử dụng các kỹ thuật tấn công xã hội để kích thích phản ứng cảm xúc và vượt qua phán đoán lý trí. Các chiến lược chính bao gồm:

• Lợi dụng lòng tin: Mạo danh những thực thể hợp pháp (ví dụ: bộ phận CSKH của Bitget, bạn bè hoặc những nhân vật nổi tiếng) để lợi dụng lòng tin vốn có mà mọi người đặt vào những tên quen thuộc và cảm nhận về tính riêng tư của SMS.
• Sự phù hợp về bối cảnh: Soạn tin nhắn phù hợp với bối cảnh thực tế của người dùng — chẳng hạn như cảnh báo rút tiền giả hoặc thông báo bảo mật — nhằm giảm nghi ngờ và tăng tính đáng tin cậy.
• Thao túng cảm xúc: Sử dụng tính cấp bách, nỗi sợ hoặc sự tò mò (ví dụ, “hành động ngay!” hoặc “phát hiện đăng nhập đáng ngờ”) để kích hoạt hành động bốc đồng như bấm vào đường link hoặc chia sẻ mã xác thực.

Cơ chế kỹ thuật

Giả mạo ID người gửi: Kẻ tấn công sử dụng các công cụ hoặc script chuyên dụng để làm giả số gốc hoặc tên người gửi hiển thị trên thiết bị của người dùng.

• Lạm dụng VoIP: Sử dụng dịch vụ Voice over Internet Protocol (VoIP) để thiết lập ID người gửi tùy ý, cho phép tin nhắn bị giả mạo — ví dụ, giả dạng số chính thức của Bitget — xuất hiện trong các chuỗi tin nhắn hiện có.
• Khai thác cổng SMS: Thuê, chiếm quyền, hoặc cấu kết với những nhà cung cấp cổng SMS không lương thiện để gửi các tin nhắn gian lận hàng loạt giả mạo các nguồn hợp pháp.

Cách bảo mật tài khoản WEEX của bạn

Bật nhiều phương thức 2FA

Xác thực hai yếu tố (2FA) bổ sung một lớp bảo vệ quan trọng cho tài khoản bằng cách yêu cầu hai hình thức xác minh danh tính riêng biệt. Kết hợp các phương thức như email, SMS, Google Authenticator hoặc khóa bảo mật phần cứng sẽ tăng cường đáng kể tính an toàn và khả năng bảo vệ tài khoản.

Thiết lập mã chống lừa đảo

Khi được bật, tất cả email và SMS chính thức từ WEEX (ngoại trừ mã xác minh) sẽ bao gồm mã cá nhân hóa của bạn. Các tin nhắn không có mã này nên được coi là đáng ngờ.

Bật xác nhận địa chỉ rút tiền

Để giảm thiểu các rủi ro như chiếm quyền kiểm soát lưu lượng hoặc giả mạo địa chỉ trong quá trình rút tiền, hãy luôn nhớ bật xác nhận địa chỉ rút tiền trước khi giao dịch được xử lý.

Thực hành vệ sinh tài khoản tốt

• Cài đặt phần mềm diệt virus uy tín và chỉ tải ứng dụng từ các nguồn chính thức.
• Tránh bấm vào các đường link được gửi qua SMS hoặc email không mong muốn.
• Sử dụng thiết bị chuyên dụng cho các tài khoản nhạy cảm khi có thể.
• Tránh tập trung các tài sản quan trọng — chẳng hạn như email, SIM và Google Authenticator — trên cùng một thiết bị để giảm thiểu rủi ro trong trường hợp mất mát hoặc bị xâm phạm. Đa dạng hóa các biện pháp bảo mật của bạn sẽ giảm thiểu thiệt hại tiềm ẩn từ các cuộc tấn công có mục tiêu.

Kết luận

Công nghệ có thể xây dựng những lớp phòng thủ vững chắc trong lĩnh vực an ninh mạng, nhưng nhận thức và sự cảnh giác của bạn vẫn là sự bảo vệ tối thượng. Những kẻ lừa đảo thường dựa vào việc tạo ra sự nhầm lẫn và tính cấp bách để lừa gạt mọi người — việc luôn cập nhật thông tin sẽ giúp bạn nhận ra những cái bẫy này và phản ứng một cách khôn ngoan. Dù các nền tảng cung cấp những khung bảo mật nhiều lớp, thì chính sự hiểu biết của bạn về các rủi ro mới là công cụ mạnh mẽ nhất. Mỗi kiến thức bạn tích lũy được về các thủ đoạn lừa đảo sẽ trở thành một lá chắn bổ sung cho tài sản của bạn.

Kiến thức mang lại sức mạnh; hành động mang lại sự bảo vệ. Chúng tôi cam kết liên tục cung cấp các tài nguyên chống gian lận và cảnh báo rủi ro được cập nhật để giúp bạn luôn nắm bắt thông tin. Mỗi lần bạn xác minh một chi tiết hoặc đưa ra một lựa chọn thận trọng, bạn đang góp phần ngăn chặn những kẻ lừa đảo. Hãy cùng nhau hợp tác để biến an toàn thành nền tảng chung của chúng ta.

Đọc thêm

• Hướng dẫn sử dụng: Bảo vệ tài khoản WEEX của bạn với 4 bước đơn giản
• Phân tích kỹ thuật là gì?
• Thành thạo chiến lược giao dịch tiền mã hóa: Từ nền tảng cơ bản đến giao dịch spot