Negli ultimi giorni, molti utenti di HYPE, il popolare servizio di mobile banking, hanno segnalato una nuova ondata di SMS fraudolenti progettati per sottrarre credenziali e fondi. Ho ricevuto anch’io questo SMS e, analizzandolo da ethical hacker, posso spiegare nel dettaglio come funziona la truffa e come difendersi.
L’SMS truffa: il contenuto e la tecnica dello spoofing:
L’SMS che ho ricevuto recita:
Il tuo conto è a rischio di sospensione per frode.
Se non compila il modulo https://bit.ly/verificaloginhype
procederemo alla sospensione.
Perché è credibile?
- Proviene dallo stesso numero che HYPE usa per gli SMS ufficiali.
- Il tono è urgente e minaccioso, spingendo l’utente a reagire senza riflettere.
- Il link è abbreviato, impedendo di vedere subito il dominio reale
Questa tecnica si chiama spoofing SMS: i truffatori falsificano il mittente, facendo apparire l’SMS come inviato direttamente da HYPE. Questo è possibile sfruttando vulnerabilità nei protocolli di invio SMS, spesso poco sicuri.
Come funziona l’attacco?
L’utente riceve l’SMS
Il messaggio arriva nella stessa chat che HYPE utilizza per inviare codici OTP e notifiche. Questo induce la vittima a credere che il messaggio sia autentico.
Il sito di phishing
Cliccando sul link bit.ly/verificaloginhype, l’utente viene reindirizzato a una pagina identica a quella ufficiale di HYPE, ma in realtà ospitata su un dominio controllato dai cybercriminali.
Il furto delle credenziali
Il sito chiede all’utente di inserire:
✅ Username e password di HYPE
✅ Codice OTP ricevuto via SMS
Una volta inseriti i dati, i truffatori possono accedere al conto e prelevare il denaro o eseguire bonifici fraudolenti.
HYPE aveva già avvisato della minaccia:
Nella mattinata dello stesso giorno, HYPE mi aveva inviato un SMS di allerta, avvisando della presenza di frodi in corso via SMS. Questo significa che i criminali avevano già avviato la loro campagna su larga scala.
Analisi tecnica: perché lo spoofing SMS è così efficace?
Il protocollo SMS è vecchio e insicuro. Non c’è un’autenticazione robusta per il mittente, quindi gli attaccanti possono falsificare il numero di provenienza usando servizi online o configurazioni personalizzate su gateway SMS.
HYPE non può impedire a terzi di inviare SMS a nome suo. Solo l’utente può proteggersi riconoscendo i segnali di una truffa.
Come difendersi?
1. Diffidare degli SMS con urgenza e link abbreviati
Le banche non minacciano mai la sospensione immediata di un conto via SMS. Se ricevi un messaggio simile, sospetta subito una truffa.
2. Non cliccare su link sconosciuti
Se devi accedere a HYPE, fallo solo digitando manualmente www.hype.it nel browser.
3. Attivare l’autenticazione a due fattori
Se HYPE offre autenticazione forte con biometria o dispositivi di fiducia, usala sempre.
4. Segnalare subito l’SMS a HYPE
Invia una segnalazione all’assistenza clienti per aiutarli a bloccare ulteriori tentativi.
5. Controllare il saldo e attivare le notifiche push
Se ricevi un accesso sospetto, contatta immediatamente il supporto HYPE.
Ulteriori informazioni:
Questa nuova truffa è particolarmente pericolosa perché sfrutta tecniche avanzate di spoofing SMS e phishing mirato. Anche utenti esperti possono cadere nella trappola se non prestano attenzione. La sicurezza bancaria dipende dalla consapevolezza dell’utente. Se ricevi un SMS simile, ignora il messaggio, non cliccare sul link e segnala il tentativo di frode a HYPE.
