近期,安全研究机构 Dilation Effect 监测到针对加密用户的短信钓鱼攻击(SMS Spoofing)。攻击者利用短信伪造技术,将诈骗信息发送至部分交易所的官方短信对话框内。通过迷惑用户误以为这些信息来源可靠,从而诱使点击恶意链接或拨打诈骗电话,实施诈骗行为。
据 Dilation Effect 报告,该类攻击目前主要针对香港地区用户,常见诈骗内容包括“您的账户在新设备上登录”或“账户存在安全风险”,并附带恶意电话号码或网站,诱导用户输入账户信息或进行转账操作。
为避免上述安全风险,Matrixport 现提供详细分析及防范措施,助您防御此类攻击。
什么是短信钓鱼攻击(SMS Spoofing)?
短信钓鱼攻击(SMS Spoofing)是一种常见的社会工程学攻击手法。攻击者通过修改短信的发件人身份,使短信看上去像是来自受信任的机构,如交易所、银行或其他官方平台。由于部分地区的法律尚未对该类技术进行严格监管,使得攻击手法具有较高的隐蔽性。
常见攻击方式
- 冒充官方机构:短信显示官方机构名称,增强欺骗性。
- 制造紧迫感:声称账户有异常登录或安全风险,诱导用户立即采取行动。
- 引导敏感操作:短信包含恶意链接或电话号码,引导用户输入账户密码或直接执行转账。
如何防范短信钓鱼攻击?
1. 不要轻信短信内容,警惕社会工程学攻击
若您遇到自称 Matrixport 官方,并主动向您索取账户或个人信息的情况,如短信、电话等,请务必保持警惕。Matrixport 不会以任何形式主动要求您转账汇款,或提供账户密码、2FA、实名信息等。
若收到类似信息,请直接登录“官方渠道验证”或咨询 Matrixport APP 客服进行验证,切勿直接点击其提供的任何链接或信息采集授权等要求,Matrixport 客服团队很乐意为您提供服务。
客服咨询:前往 Matrixport 官网 – 点击右下角“消息”图标 ;或者前往 Matrixport App 首页 – 点击右上角“消息”图标
2. 注意保护个人信息,防止信息泄漏
- 避免在社交媒体或论坛泄露个人信息,包括注册邮箱、手机号等,以防止被攻击者利用。
- 为加密账户使用专门的邮箱和手机号,降低信息泄露带来的影响。
3. 二次验证很重要
请注意,短信验证码容易被攻击者劫持,Matrixport 建议您使用 TOTP(基于时间的一次性密码) 方案,例如使用 Google Authenticator(GA) 进行二次验证。
TOTP 类验证器的安全使用指南如下:
- 妥善保管二次验证应用的绑定密钥(Key)
该密钥可用于验证账号恢复,可手写保存,或存放在 1Password 等密码管理软件中,切勿存放在云端。 - 关闭云端备份功能
这样可确保验证码仅存储在您的设备上,防止因云端泄露而被黑客获取。 - 仅使用可靠的 TOTP 类应用
推荐使用 Google Authenticator、Microsoft Authenticator、Duo Mobile 或 Okta Verify 等 TOTP 验证器,并确保从主流应用市场下载,例如 Google Play。 - 避免使用 PC 端或浏览器插件
PC 端的 TOTP 类验证器(如 Authy Desktop、WinAuth、Authenticator.cc)存在较高的安全隐患,不建议使用。 - 开启二次验证应用中的隐私保护
在二次应用的设置中启用 Face ID 或指纹解锁,防止手机被盗后引发安全事故。 - 如条件允许,使用专门的离线设备运行 TOTP 类验证器
TOTP 类验证器依赖设备的时间设置,请及时校正设备时间,以防身份验证失败。
请从 Matrixport 官方网站和 Matrixport APP 获取信息,不要轻信任何第三方传播的促销或安全提醒。如收到可疑短信或邮件,建议立即向官方客服反馈,切勿轻易输入账户信息或执行转账操作。
短信钓鱼攻击并非新型黑客技术,但由于其利用用户的信任心理,依然具有较强的欺骗性。面对不断变化的安全威胁,用户需要增强安全意识,采取更严谨的账户安全防护措施,包括不轻信短信内容、加强个人信息保护、采用更安全的二次验证方式、关注官方渠道等。
Matrixport 安全团队将持续关注市场动态。如果您遇到任何可疑情况,请立即联系 Matrixport 官方客服。
Matrixport 官方APP下载:https://invest.matrixport.com/downloadPage/cn
Matrixport 官方X:https://x.com/Matrixport_CN
Matrixport 官方社群:https://t.me/Matrixport_CN