Cinque truffe di phishing nel mondo crypto e come evitarle.

Le truffe phishing avvengono già da prima dell’industria delle criptovalute, con il primo attacco documentato che si ritiene sia stato effettuato a metà degli anni ’90.

Sebbene l’obiettivo principale del phishing sia semplicemente rubare dalle vittime ignare, denaro, il fatto che tali stratagemmi siano eseguiti da hacker esperti di tecnologia significa che vengono sempre più utilizzati per rubare asset digitali. Non da ultimo perché le criptovalute offrono maggiori protezioni sulla privacy rispetto alle monete a corso legale, il che significa chefunzionamento gli hacker possono sparire nel nulla con i loro bottini.

Ecco cinque dei più comuni attacchi phishing, oltre ad alcuni consigli utili per proteggerti dai cybercriminali.

1 – Spear phishing

Un recente rapporto ha evidenziato la crescente diffusione degli attacchi di spear phishing, in cui gli aggressori mirano a individui specifici con messaggi personalizzati, tipicamente una email falsa che sembra provenire da un mittente di fiducia.

Spesso l’obiettivo dell’attaccante sarà costringere i destinatari a rivelare informazioni sensibili, o indurli a visitare un sito web infestato da malware.

Per quanto riguarda le cripto, le email e i messaggi di testo phishing che si spacciano per provenire da fornitori di hardware wallet come Trezor e Ledger o addirittura da exchange di criptovalute, cercano di indurre il destinatario ad ‘aggiornare’ la loro recovery seed o a cambiare la loro password, dopo di che il ladro può rubare le credenziali di accesso e svuotare il wallet in questione. Un’altra tattica è attirare gli utenti con promozioni plausibili.

Quindi, come puoi immunizzarti dallo spear phishing? A livello aziendale, ci sono molteplici soluzioni: formazione del personale per aumentare la consapevolezza e la segnalazione dei dipendenti; utilizzo dell’apprendimento automatico per analizzare i modelli di comunicazione; strumenti AI per garantire protezioni da prese di possesso dell’account. Gli individui, nel frattempo, dovrebbero prendere provvedimenti per verificare l’autenticità dei mittenti, controllare attentamente i link e gli indirizzi email dei mittenti, evitare reti Wi-Fi aperte e avere l’Autenticazione a 2 Fattori attiva. Soprattutto, sii estremamente cauto riguardo a qualsiasi email da cui ti viene chiesto di inserire un login e una password.

2 -Dirottamento DNS

Alcuni schemi di phishing sono più sofisticati di altri. Prendiamo ad esempio gli attacchi di spoofing DNS. In questa truffa vecchia di decenni, i cybercriminali dirottano siti web legittimi e li sostituiscono con un’interfaccia malevola, prima di indurre gli utenti a inserire le loro chiavi private sul dominio falso.

Uno dei modi più efficaci per proteggersi da un attacco DNS è utilizzare una VPN, poiché bypassa le impostazioni del router inviando il traffico attraverso un tunnel crittografato. Si dovrebbe anche essere diligenti nel controllare l’URL nel browser per assicurarsi che il certificato del sito web sia affidabile, e prestare attenzione a qualsiasi avviso che indica che la connessione a un sito non è sicura. Naturalmente, conservare le proprie criptovalute offline in un hardware wallet a prova di manomissione, piuttosto che interagire con le crypto online, è anche una buona pratica.

3 – Bot di phishing

Cinque anni fa, un esercito di ‘bot’ ha influenzato sia il referendum sulla Brexit che le elezioni presidenziali statunitensi. Ad esempio esiste un tipo di attacco creato per rubare le nostre preziose Recovery Seed.

A maggio 2021, il wallet basato su Ethereum, MetaMask ha attirato l’attenzione degli utenti per un attacco di phishing perpetrato da bot che rubano Recovery Seed via Twitter. “La richiesta di phishing proviene da un account che sembra ‘normale’ (ma pochi follower), suggerisce di compilare un modulo di supporto su un sito verificato come Google sheets (difficile da bloccare).

Metamask suggerisce di utilizzare solamente il supporto ufficiale via app, ma sebbene possa sembrare una buona idea verificare che il messaggio provenga da un account ufficiale, questa strategia non è infallibile: gli account dei social media possono essere hackerati come qualsiasi altro, come dimostrato dal grande hack di Twitter del 2020 che ha fruttato ai cybercriminali $121,000 in bitcoin.

4 – Estensioni del browser false

Nel mondo della crittografia, siamo abituati a utilizzare una varietà di estensioni del browser, come ad esempio MetaMask che si dimostra particolarmente popolare. Sfortunatamente, i cybercriminali stanno sfruttando questa predilezione a loro vantaggio creando estensioni fake e rubando fondi agli utenti. L’anno scorso, una pericolosa estensione di Chrome chiamata Ledger Live è stata scaricata più di 120 volte prima di essere bannata dal Chrome Web Store. Inquietante il fatto che gli aggressori siano riusciti a sfruttare Google Ads per promuovere il prodotto e ottenere un’aria di legittimità.

La lezione da imparare? Non fare affidamento solamente sugli app-store per controllare adeguatamente le estensioni che rendono disponibili. Se stai scaricando un’estensione browser crittografica, controlla la sua pagina del profilo per assicurarti che abbia molte recensioni e provenga da uno sviluppatore di fiducia. Esamina i permessi che l’estensione richiede (Impostazioni Chrome>Estensioni>Dettagli) per verificare che siano in linea con le sue funzionalità. Infine potresti scaricare un’estensione direttamente da un link sul sito web dell’azienda, senza passare da una ricerca sull’app store.

5 – Ice phishing

In questa forma di phishing, l’attaccante invierà alla vittima una falsa transazione che sembra provenire da una fonte legittima. La transazione richiederà alla vittima di firmarla con la propria chiave privata.

In altre parole, la vittima viene indotta a firmare una transazione che trasferisce l’autorità sui propri token al truffatore. Se la vittima procede, avrà inconsapevolmente trasferito la proprietà dei propri token all’aggressore.

Conclusione

Ci sono altre regole generali che dovresti considerare di seguire per proteggerti dalle truffe di phishing. Ad esempio, è intelligente aggiungere ai preferiti i siti verificati in cui di solito inserisci informazioni sensibili. Lo stesso vale per salvare gli indirizzi email di contatto delle aziende di criptovalute con cui interagisci. Innumerevoli persone sono cadute vittime di email di phishing o siti web malevoli che presentano un buon copywriting e un indirizzo web legittimo. Potrebbe sembrare un task noioso, ma controllare due volte gli URL è un’abitudine buona da acquisire.

Conoscere le truffe di phishing è il primo e più importante passo per proteggere i tuoi asset crittografici in un mondo sempre più digitale. Segui i consigli sopra riportati e l’unica cosa di cui dovrai preoccuparti… è acquistare un buon hardware wallet e iniziare ad usarlo in modo consapevole evitando di divulgare la tua Recovery Seed nemmeno alla moglie…