Avviso di sicurezza Web3: spoofing tramite SMS

Panoramica

● Questo articolo spiega la meccanica dello spoofing tramite SMS e come viene utilizzato negli attacchi di phishing rivolti agli utenti di Bitget. Illustra come i truffatori falsificano le identità e sfruttano la psicologia umana per realizzare le loro truffe.

● Descrive inoltre le misure di sicurezza di Bitget, tra cui i periodi di attesa, i canali di verifica ufficiali e l'autenticazione a due fattori (2FA) per proteggere gli account degli utenti.

● Infine, fornisce agli utenti le migliori pratiche per migliorare la sicurezza dell'account, come installare un software antivirus, evitare i link sospetti e gestire le informazioni sensibili tra le varie piattaforme.

Recentemente abbiamo osservato un aumento delle tattiche di phishing in alcuni Paesi e aree geografiche, dove i truffatori falsificano messaggi SMS ufficiali che si mescolano perfettamente alle conversazioni legittime tra gli utenti e la piattaforma Bitget, rendendoli estremamente difficili da individuare. Questa vulnerabilità è stata sfruttata da un'ondata di attacchi di phishing che hanno preso di mira gli utenti di Bitget: i falsi SMS appaiono nella stessa chat di quelli ufficiali, spesso utilizzando ID mittente identici e rappresentando così un rischio significativo per la sicurezza.

Con l'aumento dell'utilizzo degli smartphone per lavoro e per la vita privata, cresce anche la criminalità informatica che prende di mira i dispositivi mobili. Poiché i messaggi di testo sono una delle funzioni più comuni degli smartphone, il phishing basato sugli SMS è diventato una minaccia particolarmente astuta. Vediamo come funziona lo spoofing tramite SMS.

Cos'è lo spoofing tramite SMS?

Lo spoofing tramite SMS è un tipo di frode informatica in cui gli aggressori falsificano il numero di telefono o l'ID del mittente. Quando i messaggi vengono ricevuti, lo smartphone li raggruppa in discussioni esistenti in base alle informazioni del mittente, inducendo le vittime a credere che i messaggi provengano da una fonte affidabile (come una banca, un amico o un'istituzione ufficiale). I truffatori utilizzano questa copertura per indurre le vittime a rivelare informazioni personali, a cliccare su link dannosi, a scaricare malware o persino a trasferire fondi, con conseguenti frodi o furti di dati.

Come funziona

● Falsa identità del mittente: i malintenzionati possono impersonare qualsiasi numero, come quello di Bitget, di agenzie governative o persino di contatti personali, facendo apparire il messaggio altamente credibile.

● Intento nascosto: i messaggi vengono solitamente presentati come avvisi urgenti, avvisi di sicurezza o aggiornamenti importanti per far abbassare la guardia alla vittima.

● Attacchi mirati: i messaggi spesso imitano le notifiche di piattaforme specifiche (come gli exchange di criptovalute), creando confusione e ingannando gli utenti.

Scenari comuni

● Attacco di phishing: induce gli utenti a cliccare su link falsi che rimandano a siti di phishing per rubare le credenziali dell'account.

● Truffe di impersonificazione: i malintenzionati fingono di essere amici, istituzioni o rappresentanti del servizio clienti per richiedere trasferimenti di denaro.

● Trasmissione di malware: vengono incorporati codici o link dannosi negli SMS per infettare il dispositivo dell'utente.

Principio di base

A prescindere dallo scenario, il fulcro degli attacchi di spoofing tramite SMS risiede nell'inganno e nella manipolazione. Fingendo di essere qualcuno di cui l'utente si fida, i truffatori hanno maggiori probabilità di successo. Questi attacchi spesso coinvolgono l'ingegneria sociale, manipolando le emozioni e il comportamento umano per intrappolare le vittime. Ecco come preparano le trappole:

● sfruttamento della fiducia: i criminali informatici si spacciano per entità legittime o identità credibili (supporto Bitget, affiliati, amici e KOL), facendo leva sul nostro istinto a fidarci di nomi familiari. Poiché gli SMS sono percepiti come privati, è più probabile che gli utenti credano alle informazioni senza metterle in discussione;

● rilevanza contestuale: i truffatori adattano i messaggi alle situazioni che hanno senso, come fingere di inviare un avviso di prelievo dal proprio account Bitget. Poiché gli SMS sono tipicamente utilizzati per aggiornamenti importanti, è meno probabile che i destinatari dubitino subito della loro autenticità, rendendoli più suscettibili alla trappola del malintenzionato;

● manipolazione emotiva: creando urgenza (ad esempio, "attività anomala dell'account" o "verifica ora"), o sfruttando la paura, la curiosità o l'ansia, i truffatori prevalgono sul giudizio razionale. Le vittime sono sollecitate a prendere decisioni avventate: cliccare sui link, inserire le password o inviare i codici 2FA. Questa interferenza emotiva è la chiave del successo.

Principi tecnici

● Spoofing dell'ID del mittente: i truffatori utilizzano software o script dannosi per falsificare il numero del mittente e inviare SMS direttamente al telefono.

● Servizi VoIP: i servizi Voice over Internet Protocol (VoIP) consentono ai truffatori di impostare qualsiasi nome o numero del mittente. Ad esempio, possono falsificare il numero ufficiale del servizio clienti di Bitget in modo che i messaggi falsi appaiano all'interno della vostra legittima corrispondenza SMS con Bitget. Quando questi falsi messaggi vengono inviati al telefono, possono apparire direttamente nella normale conversazione SMS con Bitget, ingannandoti nel pensare che si tratti di un avviso ufficiale.

● Gateway SMS: i malintenzionati possono affittare o rubare gateway SMS fraudolenti, o colludere con fornitori di servizi loschi, per inviare messaggi falsi che sembrano provenire da Bitget.

Protezioni di sicurezza di Bitget

Bitget si impegna a mantenerti sempre un passo avanti e pienamente informato su ciò che accade sul tuo account.

Avvisi e-mail

Se hai collegato la tua e-mail, riceverai un'e-mail ogni volta che accedi da un nuovo dispositivo. Queste e-mail includono il tuo codice anti-phishing, il codice di verifica, la posizione di accesso, l'indirizzo IP e i dettagli del dispositivo. Prenditi sempre un momento per verificare che queste informazioni corrispondano alla tua attività.

Se l'accesso al tuo account avviene da un'altra posizione, riceverai un'e-mail che ti informerà dell'avvenuto accesso. Verifica questo accesso.

Quando effettui un prelievo, riceverai un'e-mail contenente il codice di verifica e i dettagli completi della transazione. Verifica sempre che tutto corrisponda al tuo prelievo.

Periodo di attesa (1 ora o 24 ore)

Per prevenire azioni impulsive causate da truffe, Bitget ha implementato un periodo di attesa, una salvaguardia temporanea che si attiva quando il sistema rileva potenziali rischi per l’account (come posizioni di accesso insolite, transazioni sospette o sospette frodi):

Periodo di attesa: a seconda del livello di rischio (1 ora o 24 ore).

● Periodo di 1 ora: per scenari a basso rischio (ad es., accessi remoti), questo breve ritardo sospende i prelievi in modo che gli utenti possano verificare l'attività dell'account.

● Periodo di 24 ore: per scenari ad alto rischio (ad es., modifiche al metodo di verifica o rischi di phishing), tutti i prelievi sono sospesi, dando agli utenti il tempo di rivalutare la sicurezza dell'account.

Canali di verifica ufficiali

Se non hai la certezza riguardo all'identità di una persona, puoi sempre verificarla tramite il canale di verifica ufficiale di Bitget.

Migliori pratiche per la sicurezza dell’account

Attiva più metodi 2FA

L'autenticazione a due fattori (2FA) è un livello di protezione fondamentale che richiede due metodi separati di verifica dell'identità. Questo può includere combinazioni di e-mail, password, SMS, Google Authenticator, chiavi di sicurezza o altri metodi. L'utilizzo di più opzioni 2FA rafforza notevolmente la sicurezza e l'affidabilità dell’account.

Imposta il codice anti-phishing

Un codice anti-phishing è una funzione di sicurezza fornita da Bitget per aiutare gli utenti a riconoscere i siti web di phishing. Una volta attivato, tutte le e-mail e gli SMS ufficiali di Bitget (esclusi i codici di verifica tramite SMS) includeranno il tuo codice anti-phishing univoco. Le e-mail e gli SMS di phishing non contengono codici anti-phishing, rendendo facile per gli utenti identificare se provengono dai canali ufficiali di Bitget.

Per configurarlo, vai su Profilo > Sicurezza > Codice anti-phishing e segui le istruzioni.

Visita questo link per maggiori dettagli sui codici anti-phishing.

Attiva la conferma dell’indirizzo di prelievo

Quando prelevi fondi tramite il sito web di Bitget, c'è il rischio di attività malevole come il dirottamento del traffico, che possono alterare il tuo indirizzo di prelievo. Per evitare che ciò accada, Bitget offre la possibilità di attivare la verifica su più dispositivi. Dovrai scansionare un QR code utilizzando l'app Bitget per confermare l'indirizzo di prelievo prima che la richiesta possa andare a buon fine.

Adotta buone pratiche per la sicurezza dell'account

Installa un software antivirus. Scarica sempre applicazioni e software da fonti ufficiali affidabili ed evita di cliccare sui link ricevuti tramite SMS. Per migliorare ulteriormente la sicurezza del tuo account, considera l'utilizzo di un dispositivo dedicato per l'accesso agli account sensibili o riservati. Non mettere mai tutte le uova in un solo paniere. Evita di accedere alla tua e-mail, inserire una scheda SIM e memorizzare Google Authenticator sullo stesso telefono. Se il dispositivo viene smarrito o compromesso, avere tutto su un unico dispositivo potrebbe significare perdere tutto. La distribuzione del rischio può ridurre in modo significativo le potenziali perdite.

Conclusione: la sicurezza inizia con la consapevolezza, e inizia con te

La tecnologia può creare difese nel campo della sicurezza di rete, ma la tua consapevolezza e la tua vigilanza sono le ultime garanzie. I truffatori prosperano sulla confusione e sull'urgenza, ma se siete informati, potete individuare le trappole e rispondere con sicurezza. Bitget offre una struttura di sicurezza a più livelli per proteggere gli utenti, ma ciò che più conta è la comprensione del rischio da parte dell'utente. Ogni piccolo elemento di consapevolezza sulle truffe è un ulteriore scudo per proteggere i tuoi asset.

Sapere è potere. L'azione è protezione. Bitget continuerà ad aggiornare le risorse anti-truffa e gli avvisi di rischio. Ogni volta che controlli un dettaglio o prendi una decisione prudente, chiudi la porta ai truffatori. Cerchiamo di lavorare insieme per fare della sicurezza il nostro fondamento comune.

Per saperne di più: Le migliori pratiche di sicurezza di Bitget