Cos'è lo spoofing SMS e come evitarlo

Lo spoofing SMS è un comune attacco informatico. I truffatori utilizzano software specializzati per manipolare l'ID mittente degli SMS, facendo sembrare che il messaggio provenga da una fonte legittima, come una banca. In questo modo, possono rubare informazioni sensibili o scaricare malware sui telefoni dei destinatari.

Tipi di spoofing SMS

Può essere difficile distinguere tra messaggi legittimi e messaggi truffa. Per difenderti, è fondamentale rimanere vigile e prudente quando rispondi a SMS non richiesti. Ecco alcuni esempi comuni di spoofing SMS:

• ID mittente falso

Il tipo di spoofing più comune consiste nel sostituire l'ID mittente con il numero o il nome di un'azienda affidabile. Ad esempio, i truffatori potrebbero impersonare Binance o TrustWallet per inviare SMS di phishing, che vengono raggruppati nello stesso thread dei messaggi ufficiali, come i codici 2FA. Questo è possibile perché gli hacker hanno utilizzato lo spoofing SMS per manipolare l'ID mittente e mascherare la reale origine del messaggio.

• Falso trasferimento di denaro

I truffatori potrebbero affermare che il destinatario ha vinto un premio. Segue poi la richiesta delle coordinate bancarie del destinatario per poter depositare la vincita oppure viene inoltrato un link su cui cliccare per riscattare il premio.

• Molestie

Questo comporta l'invio di messaggi minacciosi o inappropriati per intimidire le vittime, sperando di estorcere loro denaro. Ad esempio, minacciando di bloccare l'account dell'utente. Gli hacker spesso sfruttano la tua paura di perdere asset. In questa situazione, dovresti mantenere la calma e verificare il messaggio prima di agire.

Come evitare lo spoofing SMS?

• Abilita il tuo codice Anti-Phishing: Per migliorare la sicurezza e contrastare questo genere di truffe, abbiamo esteso l'utilizzo della funzionalità del codice Anti-Phishing alle comunicazioni tramite SMS. Una volta configurata, quando riceverai un SMS da parte nostra, questo includerà il tuo codice personalizzato – che conosci solamente tu – consentendoti di confermare che il messaggio è legittimo. Può essere impostato facilmente tramite l'app o il sito web:
• App: [Profilo] - [Info account] - [Sicurezza] - [Codice Anti-Phishing].
• Sito web: [Profilo] - [Account] - [Sicurezza] - [Sicurezza avanzata].

• Verifica autonoma: i truffatori tendono a inviare SMS falsi che indicano accesso/prelievo/collegamento all'API sul tuo account. Quando ricevi un SMS inaspettato, procedi sempre come segue:
  • Controlla il tuo registro di sicurezza
    • App: [Profilo] - [Info account] - [Sicurezza] - [Attività account].
    • Sito web: [Profilo] - [Account] - [Sicurezza] - [Dispositivi e attività].
  • Tieni presente che ricevere un SMS/una chiamata falsi non significa necessariamente che il tuo account Binance sia stato hackerato.
• Verifica automatizzata: carica semplicemente l'SMS tramite chatbot per un controllo rapido che confermi se l'SMS ricevuto era autentico o meno.

• Verifica la fonte del messaggio: controlla sempre attentamente la fonte di un messaggio in arrivo prima di rispondere. Fai attenzione a qualsiasi messaggio non richiesto o che sembri sospetto. In caso di dubbi, puoi contattare il Supporto clienti Binance per verificare l'identità del mittente.
• Abilita l'autenticazione a due fattori (2FA) e le passkey: la 2FA aggiunge un ulteriore livello di sicurezza ai tuoi account, rendendo più difficile per gli hacker ottenere l'accesso tramite spoofing SMS. Le passkey (biometria) rendono più difficile per gli aggressori aggirare questo passaggio. Per saperne di più, consulta Come creare una passkey per il mio account Binance?.
• Non condividere informazioni personali: non condividere mai informazioni sensibili (ad es. password, numeri di carta di credito e numeri di previdenza sociale) tramite messaggi di testo, soprattutto con contatti non verificati.
• Non cliccare su link sospetti: non cliccare su link inviati tramite messaggio di testo senza averne verificato la legittimità. I link potrebbero portare a siti web di phishing che tentano di rubare le tue credenziali di accesso o installare malware sul tuo dispositivo. Assicurati di utilizzare il sito web ufficiale dell'azienda. Ad esempio, se non sei sicuro che il link, l'email, il numero di telefono, l'ID WeChat, l'account Twitter o l'ID Telegram siano ufficiali, puoi verificarli su Binance Verify.

Ad esempio, ecco un elenco di siti web di phishing sospetti che impersonano Binance.

Esempi di spoofing SMS

1. Falsa notifica di aggiornamento dell'account

Un utente Binance ha ricevuto un SMS con il nome del mittente “Binance”, che chiedeva di effettuare l'aggiornamento dell'account per continuare a utilizzare il servizio Binance.

Gli hacker hanno utilizzato software specializzati per manipolare l'ID mittente degli SMS, facendo apparire l'SMS falso come se provenisse legittimamente da Binance. Poiché l'SMS falso era nello stesso thread dei messaggi ufficiali con i codici 2FA, l'utente ha ritenuto che il messaggio fosse legittimo. Dopo aver effettuato l'accesso al sito web di phishing, le credenziali dell'account sono state rubate dagli hacker.

2. Falsa richiesta di annullamento del prelievo

Un altro utente Binance ha ricevuto un SMS falso per confermare un prelievo. L'utente ha pensato che il messaggio fosse legittimo e ha effettuato l'accesso al proprio account sul sito di phishing per “annullare la richiesta di prelievo”.

Dopo aver ottenuto le credenziali dell'utente, l'hacker ha avviato una richiesta di prelievo dal suo account e lo ha guidato a inserire il codice 2FA sul sito web di phishing. Dopo che l'utente ha inserito il codice, l'hacker ha prelevato i suoi asset.

Alcuni insegnamenti da questo esempio:

• L'utente non ha verificato l'URL del sito web. Dovresti sempre verificare il link ricevuto su Binance Verify prima di visitarlo.
• L'utente pensava che il codice 2FA venisse utilizzato per annullare le richieste di prelievo. Tuttavia, se avesse controllato attentamente il messaggio, avrebbe notato che il codice 2FA era destinato a confermare una richiesta di prelievo. Pertanto, controlla attentamente quando ricevi un messaggio con un codice 2FA. Conferma sempre l'utilizzo del codice 2FA prima di inserirlo.

3. Falsa verifica dell'account

Diversi utenti Binance hanno ricevuto un SMS con un link per verificare o effettuare l'upgrade dei propri account, un tentativo di phishing per rubare le credenziali dell'account.

4. Richiesta di una chiamata o dichiarazione personale

Il phisher potrebbe affermare che c'è un ‘nuovo accesso’ e chiederti di richiamare un numero di telefono sospetto o di dichiarare dati personali tramite un URL sospetto.

Non chiamare né cliccare su alcuna delle fonti fornite. Puoi utilizzare Binance Verify per verificare la legittimità di qualsiasi comunicazione di Binance. Per maggiori informazioni, visita Cos'è Binance Verify?

Se ti imbatti in un'attività di truffa che impersonifica Binance, ti preghiamo di segnalarla immediatamente al nostro team.