Punti principali
Lo spoofing degli SMS è un tipo di truffa che si basa sulla manipolazione psicologica per indurre le vittime a inviare denaro o a condividere informazioni sensibili.
Gli aggressori modificano la propria identità del mittente per far sembrare che il messaggio SMS provenga da una fonte attendibile.
Hai ricevuto un SMS falsificato? Segnalare immediatamente l'accaduto alle forze dell'ordine.
Scopri di più sullo spoofing degli SMS e su come proteggere le tue criptovalute e i tuoi dati personali dagli aggressori.
Le tendenze nel settore delle frodi cambiano velocemente come altrove. Prima, le truffe via email del principe nigeriano erano di gran moda; oggi si tratta di attacchi di spoofing SMS.
A differenza degli exploit in cui un hacker tenta di utilizzare il codice per entrare nel database di un utente, gli attacchi di spoofing SMS utilizzano principalmente la manipolazione psicologica. Ciò significa che il truffatore cercherà di spacciarsi per una fonte attendibile nel tentativo di ingannare le vittime ignare inducendole a inviare denaro o a condividere informazioni sensibili, come i dettagli del portafoglio.
In questo articolo esamineremo come funzionano gli attacchi di spoofing SMS, i diversi modi in cui gli aggressori possono prenderti di mira e come tu come utente puoi proteggere i tuoi fondi.
Come funziona lo spoofing degli SMS?
L'aggressore modifica l'identità del mittente (il nome o il numero di telefono visualizzato sul telefono del destinatario) per far apparire il messaggio di testo come se provenisse da una fonte attendibile. L'obiettivo è indurre la vittima a seguire le istruzioni contenute nel messaggio.
Un SMS contraffatto può arrivare nella casella di posta del tuo telefono sotto un nome, un numero di telefono falsificato o entrambi. Ad esempio, un testo che appare da "Binance" potrebbe essere un truffatore che cerca di indurti a scaricare malware, a condividere i dettagli del tuo account o a fare clic su un collegamento dannoso.
Sfortunatamente, i meccanismi che consentono lo spoofing degli SMS si trovano in una zona grigia dal punto di vista legale in molte regioni del mondo. Alcuni paesi hanno completamente vietato questa pratica, mentre altri devono ancora affrontare l’abuso di cambiare l’identità del mittente dell’SMS.
Esistono, infatti, alcuni casi d’uso legittimi per alterare il nome del mittente così come appare sul lato del destinatario. Ad esempio, un'azienda potrebbe eseguire una campagna di marketing via SMS e utilizzare un'identità di sottomarchio anziché il marchio principale o il numero di telefono.
Come identificare ed evitare lo spoofing degli SMS?
Anche un'infrastruttura di sicurezza leader del settore può fare ben poco per proteggere un utente che invia volontariamente la propria password a un hacker. La prima linea di difesa è sempre l’utente. Se vuoi mantenere i tuoi fondi al sicuro, dovresti rimanere sempre vigile, rendendo le seguenti pratiche un'abitudine.
1. Verifica i messaggi in arrivo
Controlla sempre la fonte di un messaggio in arrivo prima di rispondere. Fai attenzione ai messaggi non richiesti o a quelli che sembrano sospetti. Puoi verificare i messaggi specifici di Binance utilizzando lo strumento Binance Verify o inviando uno screenshot del messaggio al nostro team di supporto. Per altri servizi, dovresti inviare un messaggio direttamente alla piattaforma pertinente tramite il loro sito Web ufficiale o altri canali affidabili.
2. Abilita l'autenticazione a due fattori
L'autenticazione a due fattori (2FA) aggiunge un ulteriore livello di sicurezza contro gli aggressori che tentano di accedere ai tuoi account, anche tramite spoofing SMS. Abilita sempre 2FA per qualsiasi account che lo supporti.
I codici 2FA, se utilizzati correttamente, possono aiutarti a salvaguardare il tuo account. Inserisci i tuoi codici 2FA solo sui siti Web ufficiali e assicurati di ricontrollare il messaggio 2FA per vedere a cosa serve.
3. Non condividere informazioni personali
Evita di condividere informazioni sensibili (ad esempio password, numeri di carte di credito, numeri di previdenza sociale e altri identificatori emessi dal governo) tramite messaggi di testo, soprattutto con contatti non verificati.
4. Evita collegamenti sospetti
Non cliccare sui link che ti sono stati inviati via SMS senza prima verificarne la legittimità. I collegamenti potrebbero portare a siti Web di phishing che tentano di rubare le tue credenziali di accesso o installare malware sul tuo dispositivo.
Non accedere a siti con simboli "No Lock" o URL non crittografati (HTTP anziché HTTPS); controlla sempre per vedere l'URL prima di fare clic. Assicurati di utilizzare solo siti Web ufficiali. Ad esempio, se non sei sicuro che un link, un'e-mail, un numero di telefono, un ID WeChat, un handle di Twitter o un ID Telegram relativi a Binance siano ufficiali, puoi verificarli su Binance Verify.
Per informazioni generali su come salvaguardare i tuoi fondi in criptovaluta, puoi esplorare le sezioni sulla sicurezza nelle nostre FAQ o in Binance Academy.
Ecco un elenco di siti Web sospetti che abbiamo identificato che tentano di sembrare affiliati a Binance. Stai alla larga da tutti loro. I loro nomi di dominio ti danno anche un'idea di come potrebbe apparire un sito web "falso Binance" i cui creatori stanno cercando di fuorviare gli utenti.
Tipi di spoofing SMS
Gli attacchi di spoofing tramite SMS possono variare nei loro obiettivi e meccanismi. Ciò che hanno tutti in comune è che il numero o il nome del vero mittente viene sostituito, il che consente ai truffatori di apparire come qualcun altro. Gli scenari comuni in cui qualcuno può prenderti di mira con un SMS contraffatto includono trasferimenti di denaro e spoof di molestie.
Nel primo caso, i truffatori si spacceranno per un legittimo fornitore di servizi finanziari come Binance e invieranno messaggi alle vittime, ad esempio, su una falsa transazione di cashback. Tali messaggi in genere richiedono ai destinatari di scansionare un codice QR o di accedere a un collegamento per richiedere il rimborso.
Lo spoofing degli SMS viene utilizzato anche da stalker e cyberbulli che vogliono intimidire le loro vittime inviando messaggi minacciosi o inappropriati da numeri sconosciuti o con nomi casuali.
Esempi reali di attacchi di spoofing SMS
Esempio 1: messaggio 2FA falso
Un utente, che chiameremo Jack, riceve un messaggio che dice: “[Binance] Gli utenti devono aggiornare il Web 3.0 per evitare di disabilitare gli account. Bianenc.net”
Jack vede che il mittente è "Binance" e che il messaggio è arrivato attraverso lo stesso canale da cui solitamente riceve i suoi codici 2FA. Jack presume che si tratti di un messaggio ufficiale e accede al sito di phishing, fornendo così i dettagli del suo account al truffatore.
Esempio 2. “Annullamento del recesso”
Un utente, che chiameremo Brad, riceve un messaggio SMS da qualcuno con un indirizzo mittente "Binance". Il messaggio ricorda a Brad di “annullare il suo attuale ritiro”. Brad, credendo che il messaggio sia ufficiale, accede al sito di phishing.
L'hacker riesce a utilizzare il nome utente, la password e la 2FA di Brad per accedere al sito web ufficiale di Binance e avviare un prelievo di contanti.
In questo esempio, l'utente non è riuscito a eseguire due operazioni:
Verifica il collegamento su Binance Verify.
Ricontrolla il vero messaggio 2FA, che in realtà dice che il codice 2FA è stato utilizzato per avviare un prelievo, non per annullarne uno.
Esempio 3. Account "Verifica" o "Aggiorna".
Molti dei nostri utenti hanno segnalato di aver ricevuto un SMS contraffatto con un collegamento per verificare o aggiornare il proprio account. Come spiegato nel messaggio, la mancata esecuzione dell'azione richiesta comporterebbe il blocco dell'account. In realtà, il link contenuto nell'SMS porta a un sito di phishing progettato per rubare i dettagli dell'account. Tieni presente che i domini in questi messaggi di testo stanno cercando di apparire come aziende legittime.
Se sei stato preso di mira da un SMS contraffatto
Se sospetti che qualcuno ti abbia inviato un SMS contraffatto, contatta immediatamente le forze dell'ordine competenti. Se l'SMS contraffatto è correlato a Binance, invia una segnalazione anche al team di supporto di Binance.
Se il tuo account è stato compromesso, congela il tuo credito per impedire ai criminali di aprire nuovi conti a tuo nome, oltre a congelare le tue carte di credito e i conti bancari. Per proteggere le tue risorse, dovresti anche disabilitare il tuo account seguendo i passaggi in questa guida alle domande frequenti: Come disattivare il mio account Binance.
Non inviare mai via SMS i dettagli del tuo account Binance, il codice 2FA o le informazioni finanziarie a nessuno, anche se coloro che lo richiedono sembrano legittimi a prima vista. Oltre allo spoofing degli SMS, i truffatori potrebbero anche tentare di frodarti tramite e-mail o altri canali.
Ricontrolla qualsiasi dominio correlato a Binance su Binance Verify. Tieni presente, tuttavia, che lo strumento non è infallibile. Dovresti comunque prestare attenzione se ritieni che qualcosa non va.
Ulteriori letture
Conosci la tua truffa
Stai al sicuro: cosa sono gli attacchi di acquisizione di account?
Una guida alle app false: come individuarle ed evitarle