Lo spoofing SMS è un tipo di attacco che consiste nell'inserire messaggi di testo falsi nella stessa conversazione degli SMS ufficiali inviati da marchi o organizzazioni affidabili.
Il pericolo è che questi messaggi simili possano indurti a chiamare numeri di emergenza falsi o a fornire informazioni sensibili, con il rischio di perdere denaro.
Proteggiti verificando tutti i messaggi, impostando il tuo codice anti-phishing e tenendoti aggiornato sulle ultime tattiche utilizzate dai truffatori.
L'articolo è stato aggiornato il 20 maggio 2025 per riflettere la nuova politica che prevede l'utilizzo dell'ID utente Binance al posto del codice anti-phishing nelle comunicazioni con gli utenti che non hanno ancora impostato quest'ultimo.
Stesso mittente. Stessa conversazione. Intenzioni diverse. I truffatori hanno trovato un nuovo modo per intrufolarsi nelle tue conversazioni SMS, ed è incredibilmente convincente. Una nuova ondata di attacchi di phishing sta prendendo di mira gli utenti Binance falsificando gli SMS ufficiali – facendo apparire messaggi fraudolenti all'interno delle stesse conversazioni come avvisi legittimi di Binance. Questi messaggi possono sembrare reali, apparire familiari e avere lo stesso ID mittente fidato, ma non sono affatto sicuri.
In questo articolo spiegheremo come funziona lo spoofing SMS, condivideremo esempi reali di recenti tentativi di phishing e illustreremo le misure che puoi adottare per proteggere il tuo account – in modo da non cadere vittima di un falso che sembra troppo vero per essere ignorato.
Lo spoofing SMS rende più difficile identificare i messaggi fraudolenti, aumentando il rischio di inganno e di perdita di fondi. Ecco come può svolgersi questa truffa:
Il camuffamento: La vittima riceve un SMS relativo a un'attività sospetta dell'account, che sembra provenire da un fornitore affidabile come Binance. Poiché i sistemi SMS raggruppano i messaggi provenienti da quello che sembra essere lo stesso mittente, l'avviso falso si mimetizza tra i messaggi legittimi, facendolo sembrare autentico. Il messaggio esorta la vittima a intraprendere un'azione, ad esempio chiamare un numero per "mettere in sicurezza" i propri account.
La trappola: Una volta che la vittima chiama, i truffatori danno istruzioni per spostare i fondi su un wallet "sicuro" – controllato in realtà dai truffatori. Forniscono una seed phrase tramite email, un altro SMS, un sito web falso o persino durante la chiamata. Credendo che i propri fondi siano al sicuro, la vittima effettua il trasferimento, solo che i truffatori prosciugano immediatamente il wallet.
Per un'analisi più approfondita di questa minaccia, dai un'occhiata a Sicurezza del wallet Web3: Stai alla larga dalle app wallet false e dallo smishing.
Alcuni gateway SMS, ovvero i sistemi responsabili della consegna dei messaggi di testo, presentano falle nella sicurezza. I truffatori sfruttano queste vulnerabilità per modificare l'ID mittente, facendo apparire i loro messaggi di phishing come se provenissero da una fonte ufficiale.
VoIP (Voice over Internet Protocol) è tipicamente utilizzato per chiamate e messaggi inviati tramite internet. Rispetto agli SMS normali, i sistemi VoIP consentono agli utenti di personalizzare il numero o il nome del mittente – una funzionalità sfruttata dai truffatori.
Pertanto, i truffatori possono mascherarsi da Binance inserendo il nostro numero ufficiale come mittente. Quando il messaggio viene recapitato sul tuo telefono, potrebbe finire direttamente nella stessa conversazione SMS dei messaggi reali di Binance, rendendolo più autentico.
Alcuni fornitori di SMS hanno partnership dirette con operatori di telefonia mobile per inviare SMS aziendali di massa (come OTP e avvisi). Quando i truffatori colludono con fornitori senza scrupoli, ottengono l'accesso a questi canali altamente affidabili. Il provider aiuta a inserire informazioni false sul mittente nel messaggio prima che venga inviato. Questo aggira le normali procedure di verifica e riduce la possibilità che l'SMS falso venga bloccato.
Un utente Binance di nome Jack ha ricevuto un messaggio di testo che sembrava reale. È apparso nella stessa conversazione SMS dei precedenti messaggi ufficiali di Binance e lo avvertiva di accessi sospetti da più città. Il messaggio lo esortava a chiamare un numero specifico se non era stato lui ad aver effettuato gli accessi.
Fidandosi del messaggio, Jack ha chiamato. Poco dopo, ha ricevuto un'email ufficiale di ripristino della password da Binance. All'insaputa di Jack, l'email era stata inviata in modo fraudolento dai truffatori, semplicemente cliccando su “Reimposta password” nella pagina di accesso, per aumentare la pressione e rendere la loro storia più convincente. Scegliendo il momento giusto, hanno fatto credere a Jack che il suo account fosse davvero sotto attacco.
Durante la chiamata, un truffatore che si spacciava per un dipendente di Binance ha condiviso con Jack una seed phrase di recupero presuntamente collegata al suo account Binance e lo ha esortato a trasferire rapidamente i suoi fondi al wallet associato a questa seed phrase per mantenerli al sicuro. Quello che Jack non sapeva era che la seed phrase era stata creata dal truffatore e associata al wallet controllato dal criminale piuttosto che collegata al vero account di Jack. Se avesse seguito le istruzioni, i fondi sarebbero finiti direttamente nel wallet del truffatore.
L'SMS contraffatto era stato progettato per indurre Jack a effettuare la chiamata. Una volta in linea, i truffatori non conoscevano la sua password, quindi hanno attivato una richiesta di reimpostazione della password reale per rendere la storia più convincente. Si è trattato di un gioco psicologico: aumentare l'urgenza, imitare il comportamento credibile dei rappresentanti di Binance e spingere l'utente ad agire rapidamente. Ecco perché questi messaggi sono pericolosi: sembrano autentici, urgenti e fanno leva sulla fiducia.
Tutta l'attività dell'account, gli avvisi di sicurezza e le azioni di supporto avvengono all'interno dell'app Binance o sul sito ufficiale – da nessun'altra parte. Se un SMS ti chiede di chiamare un numero o di cliccare su un link sospetto, fermati: è una truffa! Se hai dubbi, utilizza Binance Verify per controllare qualsiasi link, email o contatto.
Questo codice di 8 caratteri appare in ogni email ufficiale o notifica di Binance, aiutandoti a confermare che sia legittimo. Se non c'è, pensaci bene. Non l'hai ancora attivato? Configuralo subito! Se non hai ancora impostato il tuo codice anti-phishing , utilizzeremo il tuo numero ID utente Binance per impostazione predefinita, allegandolo all'SMS che ti inviamo. Puoi trovare il tuo UID cliccando sull'icona di Binance nell'angolo in alto a sinistra della home dell'app.
Tuttavia, ti consigliamo vivamente di impostare il tuo codice anti-phishing unico, poiché è più facile da memorizzare e riconoscere, offrendoti una protezione migliore. Controlla sempre il codice anti-phishing o il numero ID utente nei messaggi SMS per evitare di cadere vittima di attacchi di phishing.
I truffatori escogitano sempre nuovi stratagemmi, ma la conoscenza è la tua prima e migliore linea di difesa. Rimani vigile seguendo Binance Risk Sniper su Square, dove analizziamo le ultime truffe, le tattiche di account takeover e le tendenze delle frodi in tempo reale. Per migliorare le tue abilità nel riconoscere le truffe, dai un'occhiata a Binance Academy e alla nostra serie di blog sulla sicurezza.
Quando si tratta di sicurezza online, la tecnologia può fare solo fino a un certo punto: il resto dipende da te. I truffatori approfittano della confusione e dell'urgenza, ma più sai, più è difficile per loro ingannarti. In Binance, ci impegniamo ad aiutarti a stare sempre un passo avanti. Dall'implementazione di 9 livelli di misure di controllo del rischio anti-truffa agli aggiornamenti in tempo reale sulle truffe su Binance Risk Sniper, siamo qui per te. Ma lo scudo più potente? La conoscenza – perché quando sei consapevole, hai il controllo.
