Come proteggere le tue crypto dagli attacchi di spoofing tramite SMS
Informazioni principali
Lo spoofing tramite SMS è un tipo di truffa che si basa sulla manipolazione psicologica per indurre le vittime a inviare denaro o condividere informazioni sensibili.
Gli aggressori modificano l'identità del mittente per far apparire il messaggio SMS come proveniente da una fonte attendibile.
Hai ricevuto un SMS di spoofing? Segnalalo immediatamente alle forze dell'ordine.
Scopri di più sullo spoofing tramite SMS e come proteggere le tue crypto e i tuoi dati personali dai truffatori.
Nel mondo delle truffe, le tendenze cambiano velocemente come in qualsiasi altro settore. Prima c'erano le truffe tramite email dei principi nigeriani, oggi ci sono gli attacchi spoofing tramite SMS.
A differenza degli exploit in cui un hacker cerca di utilizzare codice per entrare nel database di un utente, gli attacchi di spoofing SMS utilizzano principalmente la manipolazione psicologica. Il truffatore quindi cercherà di spacciarsi per una fonte affidabile nel tentativo di ingannare le vittime ignare e convincerle a inviare denaro o condividere informazioni sensibili, come i dati del wallet.
In questo articolo, esamineremo come funzionano gli attacchi di spoofing tramite SMS, i diversi modi in cui gli aggressori possono prenderti di mira e come tu, in quanto utente, puoi proteggere i tuoi fondi.
Come funziona lo spoofing tramite SMS?
L'aggressore modifica l'identità del mittente (il nome o il numero di telefono che appare sul telefono del destinatario) per far sembrare che il messaggio di testo provenga da una fonte affidabile. L'obiettivo è quello di indurre la vittima a seguire le istruzioni contenute nel messaggio.
Un SMS spoofing può arrivare nella casella di posta del telefono con un nome o un numero di telefono falso, o anche entrambi. Ad esempio, un testo che appare da "Binance" potrebbe in realtà nascondere un truffatore che cerca di indurti a scaricare un malware, a condividere i dati del tuo conto o a cliccare su un link dannoso.
Purtroppo, i meccanismi che consentono lo spoofing degli SMS si trovano in una zona grigia dal punto di vista legale in molte regioni del mondo. Alcuni Paesi hanno vietato la pratica, mentre altri devono ancora configurare dal punto di vista giuridico l'abuso della modifica dell'identità del mittente degli SMS.
Ci sono infatti alcuni casi d'uso legittimi che consentono di alterare il nome del mittente così come appare sul lato del destinatario. Ad esempio, un'azienda potrebbe condurre una campagna di marketing tramite SMS e utilizzare l'identità di un brand secondario al posto del brand principale o del numero di telefono.
Come identificare ed evitare lo spoofing tramite SMS?
Anche un'infrastruttura di sicurezza leader del settore può fare ben poco per proteggere un utente che invia volontariamente la propria password a un hacker. La prima linea di difesa è sempre l'utente. Se vuoi mantenere i tuoi fondi al sicuro, dovrai rimanere sempre vigile, adottando le seguenti pratiche e renderle un'abitudine.
1. Verifica dei messaggi in arrivo
Prima di rispondere, verifica sempre la fonte di un messaggio in arrivo. Fai attenzione ai messaggi non richiesti o a quelli che sembrano sospetti. Puoi verificare i messaggi specifici di Binance utilizzando lo strumento Binance Verify o inviando uno screenshot del messaggio al nostro team di supporto. Per altri servizi, è necessario contattare direttamente la piattaforma in questione tramite il sito web ufficiale o altri canali affidabili.
2. Abilita l'autenticazione a due fattori
L'autenticazione a due fattori (2FA) aggiunge un ulteriore livello di sicurezza contro gli hacker che cercano di accedere ai tuoi account, anche tramite lo spoofing SMS. Attiva sempre la 2FA per tutti gli account che la supportano.
I codici 2FA, se usati correttamente, possono contribuire a salvaguardare il tuo account. Inserisci i tuoi codici 2FA solo sui siti web ufficiali e assicurati di controllare due volte il messaggio 2FA per verificare il suo utilizzo.
3. Non condividere informazioni personali
Evita di condividere informazioni sensibili (ad esempio, password, numeri di carte di credito, numeri di previdenza sociale e altri identificativi rilasciati dal governo) tramite messaggi di testo, soprattutto con contatti non verificati.
4. Evita i link sospetti
Non cliccare sui link inviati tramite SMS senza averne prima verificato la legittimità. I link potrebbero portare a siti web di phishing che tentano di rubare le credenziali di accesso o di installare malware sul dispositivo.
Non accedete a siti con simboli "No Lock" o URL non criptati (HTTP invece di HTTPS); controlla sempre l'URL prima di cliccare. Assicurati di utilizzare solo siti web ufficiali. Ad esempio, se non sei sicuro che un link, un'email, un numero di telefono, un ID WeChat, un handle Twitter o un ID Telegram relativi a Binance siano ufficiali, puoi verificarli su Binance Verify.
Per informazioni generali su come salvaguardare i tuoi fondi crypto, puoi consultare le sezioni sulla sicurezza nelle nostre FAQ o Binance Academy.
Ecco un elenco di siti web sospetti che abbiamo identificato e che cercano di sembrare affiliati a Binance. Stai alla larga da tutti questi. I loro nomi di dominio danno anche un'idea di come possa apparire un "finto sito web Binance" i cui creatori cercano di ingannare gli utenti.
Tipi di spoofing SMS
Gli attacchi di spoofing SMS possono variare in termini di obiettivi e meccanismi. Quello che hanno in comune è che il numero o il nome del vero mittente vengono sostituiti, consentendo ai truffatori di apparire sotto le vesti di un'altra persona. Gli scenari più comuni in cui qualcuno può prendere di mira l'utente con un SMS di spoofing includono trasferimenti di denaro e molestie.
Nel primo caso, i truffatori si spacciano per un fornitore di servizi finanziari legittimi come Binance e inviano alle vittime, ad esempio, un messaggio su una falsa transazione di cashback. Questi messaggi di solito istruiscono i destinatari a scansionare un codice QR o ad accedere a un link per richiedere il cashback.
Lo spoofing SMS è utilizzato anche da stalker e cyberbulli che vogliono intimidire le loro vittime inviando messaggi minacciosi o inappropriati da numeri sconosciuti o con nomi casuali.
Esempi reali di attacchi spoofing tramite SMS
Esempio 1: Messaggio 2FA falso
Un utente, che chiameremo Marco, riceve un messaggio che dice: "[Binance] Gli utenti devono aggiornare al Web 3.0 per evitare la disattivazione dei conti. Bianenc.net”
Marco vede che il mittente è "Binance" e che il messaggio è arrivato attraverso lo stesso canale da cui solitamente riceve i suoi codici 2FA. Pensa quindi che si tratti di un messaggio ufficiale e si collega al sito web di phishing, fornendo così i dati del suo account al truffatore.
Esempio 2. "Annullamento del prelievo"
Un utente, che chiameremo Andrea, riceve un messaggio SMS da qualcuno con un indirizzo mittente "Binance". Il messaggio ricorda ad Andrea di "annullare il suo attuale prelievo". Credendo che il messaggio sia ufficiale, Andrea si collega al sito web di phishing.
L'hacker riesce a utilizzare il nome utente, la password e la 2FA di Andrea per accedere al sito ufficiale di Binance e avviare un prelievo di denaro.
In questo esempio, l'utente non ha fatto due cose:
Verificare il link su Binance Verify.
Ricontrollare il vero messaggio 2FA, in base al quale il codice 2FA veniva utilizzato per avviare un prelievo, non per annullarne uno.
Esempio 3. "Verifica" o "Aggiornamento" dell'account
Molti dei nostri utenti hanno segnalato di aver ricevuto un SMS di spoofing con un link per verificare o aggiornare il proprio account. Come spiegato nel messaggio, la mancata esecuzione dell'azione richiesta avrebbe comportato il blocco dell'account. In realtà, il link contenuto nel messaggio di testo conduce a un sito web di phishing progettato per rubare i dati del conto. I domini in questi messaggi di testo cercano di apparire come società legittime.
Se sei stato un bersaglio dello spoofing tramite SMS
Se sospetti che qualcuno ti abbia inviato un SMS spoofato, contatta immediatamente le autorità di polizia competenti. Se l'SMS spoofato è legato a Binance, inoltra una segnalazione anche al team del supporto Binance .
Se il tuo conto è stato compromesso, congela il tuo credito per impedire ai criminali di aprire nuovi conti a tuo nome, oltre a congelare le tue carte di credito e i tuoi conti bancari. Per proteggere i tuoi asset, dovresti anche disattivare il tuo conto seguendo i passi di questa guida delle FAQ: Come disattivare il mio conto Binance.
Non inviare mai a nessuno i dati del tuo conto Binance, il codice 2FA o le informazioni finanziarie, anche se chi te li chiede sembra a prima vista un soggetto legittimo. Oltre agli SMS di spoofing, i truffatori possono anche tentare di truffarti tramite email o altri canali.
Verifica accuratamente qualsiasi dominio legato a Binance su Binance Verify. Ricorda, tuttavia, che lo strumento non è infallibile. Dovresti comunque prestare attenzione se noti qualcosa di strano.