Come proteggere le tue criptovalute dagli attacchi di spoofing SMS

Il punto principale

• Lo spoofing degli SMS è un tipo di frode che si basa sull'ingegneria sociale per indurre le vittime a inviare denaro o a condividere informazioni sensibili.

• Gli aggressori modificano l'identità del mittente per far sembrare che i messaggi SMS provengano da una fonte attendibile.

• Hai ricevuto SMS di spoofing? Segnalare immediatamente l'accaduto alle forze dell'ordine.

Scopri di più sullo spoofing degli SMS e su come proteggere le tue criptovalute e i tuoi dati personali dagli aggressori.

Le tendenze nel settore delle frodi cambiano con la stessa rapidità di qualsiasi altro settore. In precedenza, la truffa via email del principe nigeriano era molto popolare. Attualmente, la frode più comune sono gli attacchi di spoofing SMS.

A differenza degli exploit, che sono tentativi di hacker che tentano di penetrare nei database degli utenti tramite codice, gli attacchi di spoofing SMS utilizzano principalmente il social engineering. Ciò significa che i truffatori cercheranno di impersonare una fonte attendibile per indurre le vittime ignare a inviare denaro o a condividere informazioni sensibili, come i dettagli del portafoglio. 

In questo articolo discuteremo dei meccanismi degli attacchi di spoofing SMS, dei vari modi in cui gli aggressori possono prendervi di mira e di come tu, come utente, puoi proteggere i tuoi fondi. 

Come funziona lo spoofing degli SMS?

Gli aggressori modificano l'identità del mittente (il nome o il numero di telefono che appare sul telefono del destinatario) per far apparire il messaggio di testo come se provenisse da una fonte attendibile. L'obiettivo è indurre la vittima a seguire le istruzioni contenute nel messaggio. 

Gli SMS di spoofing possono essere inviati alla casella di posta del tuo telefono con un nome o un numero di telefono falso, o entrambi. Ad esempio, il testo che appare da "Binance" potrebbe provenire da un truffatore che cerca di indurti con l'inganno a scaricare malware, condividere i dettagli dell'account o fare clic su un collegamento dannoso. 

Sfortunatamente, i meccanismi che consentono lo spoofing degli SMS si trovano in una zona grigia dal punto di vista legale in molte regioni del mondo. Alcuni paesi hanno completamente vietato questa pratica, mentre altri devono ancora affrontare l’uso improprio della modifica dell’identità dei mittenti di SMS. 

In effetti, esistono diversi casi d'uso legittimi per modificare il nome del mittente così come appare sul lato del destinatario. Ad esempio, un'azienda potrebbe eseguire una campagna di marketing via SMS e utilizzare un'identità di sottomarchio anziché il marchio principale o il numero di telefono. 

Come riconoscere ed evitare lo spoofing degli SMS?

Anche le infrastrutture di sicurezza leader del settore possono fare ben poco per proteggere gli utenti che inviano volontariamente le proprie password agli hacker. La prima linea di difesa è sempre l’utente. Se desideri conservare i tuoi fondi in modo sicuro, devi rimanere sempre vigile e prendere l'abitudine di seguire le seguenti pratiche. 

1. Verifica i messaggi in arrivo

Controlla sempre la fonte dei messaggi in arrivo prima di rispondere. Fai attenzione ai messaggi inaspettati o ai messaggi che sembrano sospetti. Puoi verificare i messaggi personalizzati di Binance utilizzando lo strumento Binance Verify o inviando uno screenshot del messaggio al nostro team di supporto. Per altri servizi, è necessario inviare un messaggio alla rispettiva piattaforma direttamente tramite il suo sito Web ufficiale o altri canali affidabili.

2. Abilita l'autenticazione a due fattori 

L'Autenticazione a due fattori (2FA) aggiunge un ulteriore livello di sicurezza contro gli aggressori che tentano di accedere al tuo account, anche tramite spoofing SMS. Abilita sempre 2FA per ogni account che lo supporta. 

Se utilizzati correttamente, i codici 2FA possono aiutarti a proteggere il tuo account. Inserisci il tuo codice 2FA solo sul sito ufficiale. Assicurati di ricontrollare i tuoi messaggi 2FA per vedere a cosa servono. 

3. Non condividere informazioni personali 

Evita di condividere informazioni sensibili (ad esempio password, numeri di carta di credito, numeri di previdenza sociale e altri identificatori emessi dal governo) tramite messaggi di testo, soprattutto con contatti non verificati.

4. Evita collegamenti sospetti

Non fare clic sui collegamenti inviati tramite messaggio di testo senza prima verificarne la legittimità. Il collegamento potrebbe portare a un sito Web di phishing che tenta di rubare le tue credenziali di accesso o installare malware sul tuo dispositivo. 

Non accedere a siti con il simbolo "Nessuna chiave" o URL non crittografati (HTTP, non HTTPS). Controlla sempre l'URL prima di fare clic. Assicurati di utilizzare solo siti Web ufficiali. Ad esempio, se non sei sicuro che un collegamento, un'e-mail, un numero di cellulare, un ID WeChat, un account Twitter o un ID Telegram associato a Binance provenga da una fonte ufficiale, puoi verificarlo su Binance Verify

Per informazioni generali su come proteggere i tuoi fondi in criptovaluta, puoi esplorare la sezione sulla sicurezza delle nostre FAQ o Binance Academy. 

Di seguito è riportato un elenco di siti Web sospetti che abbiamo identificato che cercano di sembrare affiliati a Binance. Evita tutti questi siti web. Il nome del dominio dà anche un’idea di come sia un sito web “falso Binance” che cerca di ingannare gli utenti.

Tipi di spoofing SMS

Gli obiettivi e i meccanismi degli attacchi di spoofing SMS possono variare. L'equivalente è che il numero o il nome del mittente effettivo vengono sostituiti, in modo che i truffatori possano apparire come qualcun altro. Gli scenari comuni su come qualcuno potrebbe prenderti di mira con lo spoofing degli SMS includono trasferimenti di denaro e spoof di molestie.

Nel primo caso, i truffatori si spacciano per un legittimo fornitore di servizi finanziari, come Binance, e poi inviano brevi messaggi alla vittima, ad esempio su false transazioni di cashback. Tali messaggi di solito chiedono ai destinatari di scansionare un codice QR o accedere a un collegamento per richiedere il rimborso.

Lo spoofing degli SMS viene utilizzato anche da stalker e cyberbulli che vogliono intimidire le loro vittime inviando messaggi minacciosi o inappropriati da numeri sconosciuti o nominati in modo casuale.

Esempi reali di attacchi di spoofing SMS

Esempio 1: messaggio 2FA falso

Un utente, chiamiamolo Jack, ha ricevuto un messaggio che diceva: "[Binance] L'utente deve aggiornare Web 3.0 per evitare che il suo account venga disabilitato. Bianenc.net"

Jack ha visto che il mittente era "Binance" e che il messaggio proveniva dallo stesso canale da cui solitamente riceveva il codice 2FA. Jack presume che si tratti di un messaggio legittimo, quindi accede al sito Web di phishing e fornisce i dettagli del suo account al truffatore.

Esempio 2. "Annullamento del recesso"

Un utente, chiamiamolo Brad, ha ricevuto un messaggio SMS da qualcuno con l'indirizzo di ritorno "Binance". Il messaggio ricordava a Brad di “annullare il suo ritiro in questo momento”. Credendo che il messaggio fosse ufficiale, Brad ha effettuato l'accesso al sito di phishing. 

L'hacker è riuscito a utilizzare il nome utente, la password e la 2FA di Brad per accedere al sito web ufficiale di Binance e quindi effettuare un prelievo di contanti. 

In questo esempio, l'utente non è riuscito a eseguire due operazioni:

• Verifica il collegamento su Binance Verify.

• Ricontrolla il messaggio 2FA effettivo che contiene effettivamente le informazioni secondo cui il codice 2FA viene utilizzato per effettuare un prelievo, non per annullarlo. 

Esempio 3. Account "Verifica" o "Aggiorna".

Molti dei nostri utenti hanno segnalato di aver ricevuto SMS di spoofing contenenti collegamenti per verificare o aggiornare i propri account. Come spiegato nel messaggio, l'account verrà bloccato se non esegue le azioni richieste. In realtà, il link contenuto nell'SMS porta a un sito di phishing progettato per rubare i dettagli dell'account. Tieni presente che i domini presenti in questi messaggi di testo cercano di apparire come aziende legittime.

Se sei bersaglio di spoofing SMS

• Se sospetti che qualcuno ti abbia inviato SMS di spoofing, contatta immediatamente le forze dell'ordine competenti. Se lo spoofing degli SMS è correlato a Binance, invia una segnalazione anche al team di Supporto Binance.

• Se il tuo account è stato compromesso, congela le tue carte di credito e i tuoi conti bancari e congela il tuo credito per impedire ai criminali di aprire nuovi conti a tuo nome. Per proteggere le tue risorse, dovresti anche disattivare il tuo account seguendo i passaggi in questa guida alle domande frequenti: Come disattivare il mio account Binance.

• Non inviare mai i dettagli del tuo conto Binance, il codice 2FA o le informazioni finanziarie a nessuno, anche se la persona che lo richiede sembra legittima a prima vista. Oltre allo spoofing degli SMS, i truffatori potrebbero tentare di ingannarti anche tramite e-mail o altri canali. 

• Ricontrolla il dominio associato a Binance in Binance Verify. Tuttavia, tieni presente che questo strumento non garantisce che sarai esente da frodi. Devi comunque stare attento se ritieni che qualcosa non va. 

Ulteriori letture

• Conosci la tua truffa

• Mantieni la sicurezza: cos'è un attacco di furto di account? 

• Una guida alle app false: come riconoscerle ed evitarle