Il phishing nel mondo delle criptovalute

Alessandro G
Alessandro G
  • Aggiornato

Il phishing non riguarda più solo le false email inviate da un "Principe" che chiede un bonifico bancario. Nel mondo delle criptovalute, il phishing è un tentativo sofisticato, automatizzato e rischioso di indurre l'utente a cedere i propri asset.

Mentre gli hacker tradizionali attaccano il codice informatico, i phisher attaccano la psicologia umana. Sfruttano il dubbio, la curiosità e la "paura di perdersi qualcosa" (FOMO) per rubare password, frasi seed e risorse digitali.

L'evoluzione: oltre l'email

La definizione classica riguarda l'email, ma il crypto-phishing moderno è multiforme. Si verifica su:

  • Motori di ricerca: I truffatori acquistano annunci su Google per termini come "Supporto Trezor" o "Accesso Metamask" per indirizzarti verso siti falsi.

  • Social media: Bot falsi di "Assistenza clienti" su X (Twitter), Discord e Telegram che ti inviano messaggi privati ​​offrendoti di "sincronizzare il tuo portafoglio" o di "correggere la tua transazione".

  • App di incontri: Conosciuto come "Pig Butchering" (Macello del maiale), il truffatore costruisce un rapporto di fiducia sentimentale a lungo termine prima di convincerti a investire in una piattaforma di criptovalute falsa.

4 tattiche specifiche per le criptovalute che devi conoscere

Per proteggere i tuoi asset, devi riconoscere le tattiche peculiari del mondo blockchain.

1. Ice Phishing (la trappola del "permesso")

A differenza del phishing tradizionale in cui si fornisce una password, Phishing sul ghiaccio ti induce a firmare un permesso dannoso sulla blockchain.

  • La trappola: Provi a coniare un NFT gratuito o a richiedere un airdrop su un sito web. Appare un pop-up che ti chiede di "Approvare" o "Firmare" una transazione.

  • La realtà: Non stai reclamando un oggetto; stai firmando un impostaApprovazionePerTutti o una firma "Permesso". Questa concede allo smart contract del truffatore il permesso di muovere tutti i tuoi token senza il tuo aiuto, svuotando il tuo wallet pochi minuti dopo.

  • Difesa: Non confermare mai una transazione se non sai esattamente cosa fa. Leggi attentamente la richiesta di autorizzazione: se richiede l'accesso a tutti i tuoi fondi, rifiutarla.

2. Address Poisoning (Avvelenamento dell'indirizzo)

Questa tattica si basa sull'abitudine di copiare e incollare gli indirizzi dallo storico delle transazioni.

  • La trappola: I truffatori monitorano la blockchain. Quando vedono che invii una transazione, usano un software per generare un "vanity address" identico al tuo indirizzo al 95% (corrispondente ai primi e agli ultimi 4 caratteri). Ti inviano token (dust) per un valore di 0,00 $ o un falso NFT da questo indirizzo.

  • L'obiettivo: Sperano che la prossima volta che dovrai copiare il tuo indirizzo dalla cronologia delle transazioni, copierai accidentalmente il loro indirizzo simile al tuo.

  • Difesa: Non copiare mai gli indirizzi alla cieca dalla cronologia. Controlla sempre ogni carattere o utilizza la funzione "Rubrica" ​​nell'app del tuo portafoglio.

3. Wallet drainer o Svuota-portafogli (script automatizzati)

Si tratta di kit "truffa come servizio" venduti ai criminali. Scansionano automaticamente il tuo portafoglio nel momento in cui lo colleghi a un sito falso.

  • La trappola: "Urgente! Il tuo portafoglio è compromesso. Clicca qui per proteggere i tuoi beni."

  • La realtà: Il sito esegue uno script che rileva i tuoi beni più preziosi e ti chiede di firmare una transazione per "spostarli" in un luogo sicuro. In realtà, li stai inviando all'hacker.

4. Supporto falso & imitazione

Spesso gli hacker falsificano le e-mail o creano falsi profili sui social media spacciandosi per supporto tecnico.

  • La bugia: "Abbiamo bisogno che tu verifichi la tua identità per sbloccare il tuo account. Rispondi con la tua frase di 12 parole."

  • La regola: Nessun agente di supporto legittimo, incluso lo staff di SwissBorg, ti chiederà MAI la password, la frase di recupero di 12 parole o le chiavi private.

Protocolli di sicurezza specifici di SwissBorg

Se sei un utente dell'app SwissBorg, rispetta queste rigide regole di comunicazione:

  1. Solo supporto in-app: Utilizzare solo il Centro assistenza SwissBorg o la pagina Supporto per comunicare con l'assistenza clienti.

  2. Siti ufficiali: Non installare aggiornamenti dell'applicazione da siti Web di terze parti. Tutti gli aggiornamenti dell'app SwissBorg sono disponibili solo su App Store di Apple E Google Play Store.

  3. Fiducia Zero: Se ricevi un'e-mail che afferma di provenire da SwissBorg e che richiede credenziali personali o un pagamento, si tratta di una truffa.

Come segnalare il phishing

La sicurezza è uno sforzo collettivo. Segnalare le truffe aiuta a bloccare domini o indirizzi di wallet in modo da inserirli in una blacklist, salvando altri utenti.

  1. Analisi delle blockchain & CryptoScamDB: Segnala indirizzi e domini cripto sospetti a CryptoScamDB. Questo database alimenta gli strumenti di sicurezza che avvisano gli altri utenti.

  2. Navigazione sicura di Google: Se trovi un sito di phishing, segnalalo a Google Safe Browsing per far apparire sul sito un "Avviso rosso" per gli utenti di Chrome.

  3. Segnalazione via e-mail: La maggior parte dei provider (come Gmail) consente di segnalare un messaggio specifico come "Phishing" tramite le opzioni del menu in alto a destra.

  4. Forze dell'ordine: In caso di perdite significative, presenta una segnalazione alla divisione locale per la criminalità informatica (ad esempio, Action Fraud nel Regno Unito).

Le regole d'oro

  • Non fidarti, verifica: Passa sempre il mouse sui link per vedere l'URL reale.

  • Aggiungi ai preferiti i siti ufficiali: Non cercare mai il tuo exchange di criptovalute su Google; vai ai tuoi segnalibri.

  • Utilizzare un portafoglio hardware: Per grandi quantità, utilizza un Ledger o un Trezor.

  • Controlla i permessi: Utilizza regolarmente strumenti come Revoke.cash per verificare quali siti web hanno l'autorizzazione a trasferire i tuoi fondi e revoca l'accesso a siti vecchi o sospetti.

Ora sai esattamente cos'è il phishing.

Questo articolo ti è stato utile?