Punti chiave da ricordare
Derivato dal verbo inglese "to fish", che significa "pescare", il phishing (o "hameçonnage" in francese) è un tipo di cyber attacco in cui i truffatori "vanno a pescare" informazioni personali sensibili spacciandosi per un individuo o un'azienda rispettabile, di cui ti fidi.
Le tattiche di phishing più comuni includono il furto d'identità, l'uso di un linguaggio urgente o minaccioso e l'invio di link pericolosi.
Gli aggressori spesso modificano l'identità del mittente per far credere che la loro email provenga da una fonte affidabile.
In caso di dubbi sulla legittimità di un'email presumibilmente inviata da Binance, contatta il servizio clienti di Binance e invia il file EML dell'email insieme a screenshot pertinenti.
Il tuo account Binance potrebbe essere il bersaglio di tentativi di phishing. Impara a proteggere i tuoi fondi crypto grazie alla nostra guida completa.
Le competenze necessarie per infiltrarsi nel sistema di sicurezza di Binance non sono alla portata dei pirati informatici medi, ma possiedono comunque gli strumenti necessari per indurti con astuzia a rivelare il tuo nome utente, la tua password e il tuo codice di autenticazione a due fattori (A2F).
Perché sforzarsi di forzare una cassaforte ultra sicura quando basta persuadere il suo proprietario a darti le chiavi? Questo è il principio base del phishing: sfruttare gli errori e le emozioni umane.
Continua a leggere per saperne di più sul phishing, scoprire come funziona questa truffa e imparare a proteggere le tue crypto dalle tecniche di phishing più comuni.
Cos'è il phishing e come funziona?
Derivato dal verbo inglese "to fish", che significa "pescare", il phishing (o "hameçonnage" in francese) è un tipo di cyber attacco comune in cui i truffatori "vanno a pescare" informazioni personali sensibili spacciandosi per un individuo o un'azienda nota di cui ti fidi, ad esempio Binance. La tattica di phishing più comune è l'invio di email: infatti, questi messaggi subdoli sono facili da redigere e per alcuni somigliano a tal punto ai loro equivalenti legittimi.
È un metodo che sembra semplice, ma funziona: la maggior parte delle cyberattacchi inizia infatti con un'email di phishing. Uno studio condotto dall'azienda Valimail, specialista nella sicurezza delle email, ha scoperto che più di tre miliardi di messaggi che usurpano l'identità di una persona o di un'azienda vengono inviati ogni giorno, il che rappresenta l'1% del numero di email in circolazione.
Sapere identificare e non cadere nella trappola delle email di phishing è vitale per proteggere le tue crypto e le tue informazioni personali. Vediamo prima alcuni esempi comuni.
Tre esempi di email di phishing
I seguenti paragrafi presentano brevemente le tattiche utilizzate dai truffatori per inviare le loro email di phishing: furto d'identità, linguaggio urgente o minaccioso, link pericolosi... Abbiamo anche incluso diversi esempi di vita reale per aiutarti a comprendere meglio ogni tecnica.
1. Furto d'identità
Il furto d'identità è una tattica che consiste nel creare falsi nomi di dominio e di mittente simili a nomi ufficiali per ingannare il destinatario. Lo scopo è fargli credere che l'email sia legittima poiché una parte dell'indirizzo del mittente sembra affidabile, ad esempio "binance.com".
Ecco un esempio della vita reale in cui i truffatori hanno usato l'indirizzo "do.notereply.mailers247binance@onmail.com", che sembra ufficiale fino a quando non si nota il "onmail" di troppo nell'indirizzo.
2. Linguaggio urgente o minaccioso
Le email di phishing creano spesso un senso di urgenza, paura o curiosità nel destinatario per manipolare le sue emozioni e indurlo a prendere misure immediate. Può ad esempio spingerti a credere che un prelievo imprevisto sia stato effettuato sul tuo account, portandoti a "reimpostare" la tua password mentre in realtà ti stai accingendo a rivelarla a un truffatore.
Ecco un esempio di email di phishing che afferma che l'utente ha effettuato un prelievo imprevisto: nota il tono della sezione incorniciata, che è deliberatamente redatta in modo da disturbare e spaventare il destinatario con espressioni come "bloccare il tuo account" e "proteggere tutti i tuoi fondi".
3. Link pericolosi e falsi allegati
Le email di phishing contengono generalmente link che rimandano a falsi siti web simili ai loro equivalenti legittimi. Possono anche includere allegati come PDF, file eseguibili o applicazioni rimaneggiate che contengono script o software dannosi. L'apertura di questi allegati può dare ai pirati accesso non autorizzato ai tuoi dispositivi, consentendo loro di rubare informazioni sensibili o persino trasferire fondi senza il tuo consenso.
Ecco un esempio di email di phishing contenente un link malevolo: cliccare su [Verifica l'email] porta a una falsa pagina di accesso a Binance che invita a inserire un nome utente e una password. Questo può permettere poi ai truffatori di recuperare i dati degli utenti per rivenderli o rubare il loro account e i loro fondi.
Quattro modi per smascherare un tentativo di phishing
Ora che ti abbiamo presentato alcuni esempi di email di phishing, affrontiamo diversi modi per identificarli.
1. Binance Verify
Hai ricevuto un'email da Binance che ti sembra sospetta? Prima di tutto, verifica l'indirizzo del mittente su Binance Verify: se lo strumento ti indica una "Fonte non verificata", significa che quest'email è probabilmente pericolosa.
Anche se l'indirizzo sorgente è convalidato da Binance Verify, potrebbe trattarsi di un furto d'identità: come spiegato in precedenza, questa tattica è comunemente usata dai truffatori per rendere le loro comunicazioni legittime. Usano nomi di dominio molto simili ai loro equivalenti legittimi o intestazioni rubate nei campi "Rispondi" o "Percorso di ritorno".
Oltre agli indirizzi del mittente, Binance Verify può anche verificare qualsiasi account sui social media e qualsiasi link di sito web contenuto nell'email sospetta.
Account sui social media
Se l'email ricevuta ti invita a contattare un "dipendente di Binance" sui social media (ad esempio Telegram, Facebook o WeChat), assicurati di verificare il suo nome utente su Binance Verify.
L'immagine qui sotto illustra lo schermo che appare quando il nome utente dell'account Binance è reale. Ricorda che i criminali spesso rubano l'identità di dipendenti dell'azienda: Binance Verify è solo uno dei tanti passaggi da adottare per verificare l'identità di un individuo.
Link di siti web
Fai attenzione quando clicchi su link di siti web contenuti in email. Per verificare un URL di Binance, fai clic destro su di esso e seleziona "Copia link", poi incollalo in Binance Verify per verificare l'autenticità del sito web. L'immagine qui sotto illustra lo schermo che appare quando Binance Verify determina che il sito web è un dominio ufficiale di Binance.
2. Codice anti-phishing
Ti consigliamo vivamente di configurare un codice anti-phishing se non lo hai già fatto. Si tratta di una procedura semplice che richiede solo pochi minuti e, una volta completata, ogni email realmente inviata da Binance menzionerà la combinazione unica di numeri e lettere che hai così definito.
Ecco come appare un'email di Binance con e senza il codice anti-phishing: fai attenzione alle email che presumibilmente sono inviate da Binance e non contengono il tuo codice anti-phishing.
3. Verifica del file EML
Scarica l'email sotto forma di file EML per recuperare informazioni nascoste aggiuntive a fini di verifica. Sebbene sia più tecnico, questo metodo è molto efficace per rilevare i tentativi di phishing.
SPF/DMARC/DKIM
Puoi ad esempio aprire il file e effettuare un controllo SPF/DMARC/DKIM. Se tutti i controlli o alcuni di essi falliscono (se ad esempio il controllo indica "dkim=fail"), l'e-mail proviene molto probabilmente da una fonte non autorizzata.
Reputazione dell'indirizzo IP
Nel file EML, puoi anche trovare l'indirizzo IP e confrontarlo con indirizzi segnalati per attività illecite. Ti basta copiare e incollare l'indirizzo in un verificatore di reputazione degli indirizzi IP come abuseipdb o virustotal. Nota: queste basi di dati a volte non contengono informazioni se l'indirizzo IP verificato è troppo recente. Controlla sempre più fonti prima di trarre le tue conclusioni.
4. Contattare il servizio clienti di Binance
Se hai dei dubbi su un'email ricevuta, ti raccomandiamo di contattare il servizio clienti di Binance inviando screenshot e il file EML. Tra tutti i metodi descritti in questa guida, questo è davvero infallibile: una volta ricevuto il tuo dossier, il nostro team molto esperto nel campo dei tentativi di phishing ti aiuterà a verificare l'autenticità dell'email.
Per scaricare il file EML, segui i passaggi dettagliati nel paragrafo qui sotto.
Scaricamento di un file EML
Vediamo come scaricare il contenuto di un'email in formato EML da Gmail e Outlook.
Gmail
Apri l'email che desideri scaricare in formato EML. Clicca sui tre punti nell'angolo in alto a destra dell'email.
Nel menu a discesa, seleziona "Scarica il messaggio".
Outlook
Apri l'email che desideri scaricare in formato EML. Clicca sui tre punti nell'angolo in alto a destra dell'email.
Nel menu a discesa, seleziona "Scarica".
Una volta scaricata l'email, fai clic destro sul file EML e seleziona [Apri con], poi [Altro]. Seleziona quindi TextEdit su macOS o Notepad(++) su Windows.
Come sfuggire ai tentativi di phishing?
Rimani vigile di fronte ai tentativi di phishing e impara a proteggere i tuoi fondi da oggi per evitare un futuro disastro. Ecco un riepilogo rapido delle migliori pratiche da adottare:
Configura il tuo codice anti-phishing grazie a questa guida.
Prima di tutto, cerca qualsiasi indirizzo email, URL o qualsiasi nome utente di "Binance" su Binance Verify.
Non cliccare su link sospetti: potresti accidentalmente installare software dannoso sul tuo dispositivo o accedere a un falso sito creato per recuperare le tue informazioni sensibili.
Non rivelare alcuna informazione personale a uno sconosciuto, comprese le tue informazioni di accesso, numeri di telefono, conti bancari, frasi di recupero del portafoglio o chiavi private.
Attiva l'autenticazione a due fattori (A2F): se le informazioni del tuo account vengono rubate, l'A2F può complicare le cose per il truffatore che cerca di impossessarsi del tuo account.
Interagisci solo con aziende legittime nell'ambito delle attività, e fai attenzione agli inviti a "concorsi gratuiti" o "airdrops" ricevuti via email.
Se hai ancora dei dubbi su un'email, chiedi aiuto al servizio clienti di Binance: saremo lieti di verificare il file EML per te.
Per ulteriori informazioni
La presa del giorno: i codici anti-phishing e come proteggerti
Rimani al sicuro: cosa fare se il tuo account è stato compromesso?
Come proteggere le tue crypto dagli attacchi di furto d'identità tramite SMS?
Trada ovunque grazie all'app mobile di crypto-trading Binance (iOS/Android)
Trova noi su:
Instagram: https://www.instagram.com/binancefrench
Twitter: https://twitter.com/LeBinanceFR
Facebook: https://www.facebook.com/BinanceFrance
Telegram: https://t.me/BinanceFrench
Avvertenza sui rischi: I prezzi degli asset digitali sono soggetti a un alto rischio di mercato e a una volatilità dei prezzi. Il valore del tuo investimento può diminuire o aumentare e potresti non recuperare l'importo investito. Sei l'unico responsabile delle tue decisioni di investimento e Binance non è responsabile delle perdite che potresti subire. Le performance passate non sono un indicatore affidabile delle performance future. Dovresti investire solo in prodotti che conosci e di cui comprendi i rischi. Devi esaminare attentamente la tua esperienza in materia di investimenti, la tua situazione finanziaria, i tuoi obiettivi di investimento e la tua tolleranza al rischio e consultare un consulente finanziario indipendente prima di effettuare qualsiasi investimento. Questo non dovrebbe costituire né una consulenza in investimento, né un'incitazione o una raccomandazione ad operare su qualsiasi asset digitale.