Punti chiave

  • Lo spoofing SMS è un tipo di truffa che si basa sulla manipolazione psicologica per ingannare le vittime a trasferire fondi, condividere informazioni sensibili o cliccare su link dannosi.

  • Gli aggressori modificano la loro identità di mittente per far apparire il loro messaggio SMS come se provenisse da una fonte fidata.

  • Hai ricevuto un SMS spoofato? Riporta l'incidente alle forze dell'ordine immediatamente.

Le tendenze nel settore delle frodi online cambiano rapidamente man mano che la tecnologia all'avanguardia avanza. Prima, le truffe via email dei principi nigeriani erano molto diffuse; oggi, sono gli attacchi di spoofing SMS.

A differenza degli exploit in cui un hacker cerca di usare il codice per infiltrarsi in un database utente, gli attacchi di spoofing SMS si basano principalmente sulla manipolazione psicologica. Ciò significa che il truffatore cercherà di spacciarsi per una fonte fidata nel tentativo di ingannare vittime ignare a trasferire fondi, condividere informazioni sensibili come i dettagli del portafoglio o persino inviare link dannosi che portano a siti di phishing che potrebbero svuotare i portafogli delle vittime.

In questo articolo, esamineremo come funzionano gli attacchi di spoofing SMS, i diversi modi in cui gli aggressori possono prenderti di mira e come puoi proteggere i tuoi fondi.

Cos'è lo spoofing SMS e come funziona?

L'attaccante di spoofing SMS modifica la propria identità di mittente (il nome o il numero di telefono che appare sul telefono del destinatario) per far apparire il proprio messaggio di testo come se provenisse da una fonte fidata. L'obiettivo è ingannare la vittima a seguire le istruzioni nel messaggio.

A causa di come funzionano i sistemi SMS, il messaggio di un truffatore può apparire nella stessa conversazione dei messaggi legittimi precedenti del fornitore, rendendo più difficile distinguere tra comunicazioni reali e fraudolente. Di conseguenza, gli utenti possono essere indotti a cliccare su link dannosi o contattare un truffatore al numero di telefono falso fornito.

Come identificare ed evitare lo spoofing SMS?

Anche un'infrastruttura di sicurezza leader del settore può fare poco per proteggere un utente che volontariamente invia la propria password a un hacker. La prima linea di difesa è sempre l'utente. Per mantenere i tuoi fondi al sicuro, dovresti rimanere vigile in ogni momento, rendendo le seguenti pratiche un'abitudine.

1. Fai attenzione ai messaggi di avviso con numeri di supporto clienti/di sicurezza falsi

Binance non ti invierà mai un SMS chiedendoti di chiamare un numero e parlare con un supporto clienti o un dipartimento di sicurezza. Qualsiasi messaggio di avviso che ricevi che si riferisce alla sicurezza dell'account/attività o ai trasferimenti di fondi e richiede di chiamare un numero di telefono è una truffa.

Nell'immagine sopra, i messaggi evidenziati sono spoofati e inviati da un truffatore. Contattare questi numeri porterà solo a perdere fondi. Ricorda sempre di contattare solo canali di supporto ufficiali, disponibili nell'app o tramite il sito ufficiale.

Non cliccare su alcun link inviato tramite messaggio di testo. I link potrebbero portare a siti di phishing che tentano di rubare le tue credenziali come password o chiavi private, o addirittura installare malware sul tuo dispositivo. Assicurati di utilizzare solo siti ufficiali.

Ecco alcuni esempi di siti di phishing che tentano di sembrare affiliati a Binance. Questa non è una lista esaustiva, ma i loro nomi di dominio ti danno un'idea di come potrebbe apparire un sito web "falso Binance" i cui creatori cercano di ingannare gli utenti.

Come proteggerti dagli attacchi di spoofing SMS nel crypto

1. Attiva il tuo Codice Anti-Phishing

Per migliorare la sicurezza e combattere tali truffe, abbiamo esteso l'uso della funzionalità Codice Anti-Phishing alle comunicazioni SMS. Precedentemente disponibile per le email, questo codice unico impostato dall'utente aiuta a verificare l'autenticità dei messaggi provenienti da Binance. Ora, quando ricevi un SMS da noi, includerà il tuo codice personalizzato – noto solo a te – consentendoti di confermare che il messaggio è legittimo. Può essere facilmente impostato tramite l'app o il sito web:

  • App: [Profilo] > [Info Account] > [Sicurezza] > [Codice Anti-Phishing].

  • Sito web: [Profilo] > [Account] > [Sicurezza] > [Sicurezza avanzata].

2. Verifica i messaggi in arrivo

Controlla sempre la fonte di un messaggio in arrivo prima di rispondere. Fai attenzione a qualsiasi messaggio non richiesto o che sembri sospetto. Puoi verificare i messaggi specifici di Binance utilizzando lo strumento Binance Verify o inviando uno screenshot del messaggio al nostro team di supporto. Per altri servizi, dovresti contattare direttamente la piattaforma pertinente tramite il loro sito ufficiale o altri canali fidati.

3. Attiva l'autenticazione a due fattori

L'autenticazione a due fattori (2FA) aggiunge un ulteriore livello di sicurezza contro gli aggressori che cercano di accedere ai tuoi account. Attiva sempre la 2FA per qualsiasi account che la supporti. Binance ora supporta le chiavi di accesso per accessi sicuri e più rapidi. Usale per la 2FA su più dispositivi per abilitare una protezione più conveniente e robusta rispetto alle semplici password.

4. Non condividere informazioni personali

Evita di condividere informazioni sensibili (ad es., password, numeri di carte di credito, numeri di previdenza sociale e altri identificatori rilasciati dal governo) tramite messaggi di testo, specialmente con contatti non verificati.

Esempi reali di attacchi di spoofing SMS

Esempio 1: Attività di account falsa

I truffatori amano approfittare del senso di ansia di una vittima e usare messaggi che potrebbero scatenare reazioni impulsive in un utente. Spesso utilizzano messaggi che avvertono di accessi falsi da altri paesi o attività relative ai prelievi o alle API, affermando che l'utente deve contattare un numero di supporto falso. I criminali possono anche includere "numeri di riferimento" che fanno sembrare che l'utente stia parlando effettivamente con un agente genuino.

Chiamare questi numeri di solito porta a convincere la vittima a trasferire fondi in un altro portafoglio per "sicurezza", mentre in realtà tutti i fondi saranno inviati al truffatore.

Esempio 2: "Cancellazione del prelievo"

Un utente, che chiameremo Brad, riceve un messaggio SMS da qualcuno con un indirizzo mittente "Binance". Il messaggio ricorda a Brad di "cancellare il suo attuale prelievo". Brad, credendo che il messaggio sia ufficiale, accede al sito web di phishing.

L'hacker riesce a utilizzare il nome utente, la password e la 2FA di Brad per accedere al sito ufficiale di Binance e avviare un prelievo di denaro.

In questo esempio, l'utente non è riuscito a fare due cose:

  • Verifica il link su Binance Verify.

  • Controlla due volte il messaggio reale della 2FA, che in realtà indicava che il codice 2FA veniva utilizzato per avviare un prelievo, non per cancellarne uno.

Esempio 3: "Verifica" o "aggiorna" account

Molti dei nostri utenti hanno segnalato di aver ricevuto un SMS spoofato con un link per "verificare" o "aggiornare" i loro account o per inviare qualche tipo di verifica. Questi messaggi affermavano anche che il mancato compimento delle azioni richieste avrebbe portato al blocco o alla sospensione dell'account. In realtà, il link nel messaggio di testo porta sempre a un sito web di phishing progettato per rubare i tuoi fondi o ottenere accesso al tuo account.

Se sei stato preso di mira da un SMS spoofato

  • Se sospetti che qualcuno ti abbia inviato un SMS spoofato, contatta immediatamente un'autorità competente delle forze dell'ordine. Se l'SMS spoofato è correlato a Binance, ti preghiamo di presentare anche un rapporto al team di supporto di Binance.

  • Se il tuo account è stato compromesso, congela il tuo credito per impedire ai criminali di aprire nuovi account a tuo nome, oltre a congelare le tue carte di credito e i tuoi conti bancari. Per proteggere i tuoi beni, dovresti anche disabilitare il tuo account seguendo i passaggi in questa guida FAQ: Come disabilitare il mio account Binance.

  • Non inviare mai i dettagli del tuo account Binance, il codice 2FA o altre informazioni finanziarie a nessuno, anche se coloro che lo richiedono sembrano legittimi a prima vista. Oltre allo spoofing SMS, i truffatori possono anche tentare di frodarti tramite email o altri canali.

  • Controlla due volte qualsiasi dominio correlato a Binance su Binance Verify. Nota, tuttavia, che lo strumento non è infallibile. Dovresti comunque esercitare cautela se senti che qualcosa non va.

Per informazioni generali su come proteggere i tuoi fondi crypto, puoi esplorare le sezioni di sicurezza nella nostra FAQ e nei nostri blog sulla sicurezza.

Considerazioni finali

Gli attacchi di spoofing SMS si basano sulla manipolazione della fiducia e dell'urgenza piuttosto che sull'exploitation delle debolezze tecniche. Proteggere i tuoi asset crypto significa rimanere vigili, mettere in discussione messaggi inaspettati e utilizzare misure di sicurezza come i Codici Anti-Phishing e l'autenticazione a due fattori.

Ricorda sempre che i servizi legittimi non ti chiederanno mai di condividere informazioni sensibili o di chiamare numeri sconosciuti tramite SMS. Rimanendo informato, verificando le comunicazioni con attenzione e segnalando tempestivamente attività sospette, puoi ridurre notevolmente il tuo rischio e mantenere sicuri i tuoi crypto da queste truffe ingannevoli.

Ulteriori letture

  • App fake e Smishing

  • Rimani al sicuro dallo Smishing

  • Rimani al sicuro: cosa sono gli attacchi di takeover dell'account?