Contenuti forniti dalla community - Autore: WhoTookMyCrypto.com


Il 2017 è stato un anno straordinario per il settore delle criptovalute a causa dell'aumento vertiginoso delle valutazioni, che di conseguenza ha portato a un'ampia esposizione nei media mainstream. Poiché non poteva essere altrimenti, questa circostanza ha suscitato un enorme interesse sia da parte del grande pubblico che dei criminali informatici. Il relativo anonimato offerto dalle criptovalute le ha rese uno strumento ambito da questi attori malintenzionati, che spesso le utilizzano per aggirare i sistemi bancari tradizionali ed evitare la supervisione da parte delle autorità di regolamentazione.

Dato che le persone tendono a trascorrere più tempo utilizzando gli smartphone che i computer desktop, non sorprende che i criminali informatici abbiano rivolto la loro attenzione ai primi. Pertanto, il seguente articolo si concentra sui meccanismi utilizzati dai truffatori per accedere agli utenti di criptovalute attraverso i loro dispositivi mobili, nonché su alcune misure che questi ultimi possono adottare per proteggersi.


App di criptovaluta false

App false per lo scambio di criptovalute

L’esempio più noto di una falsa app per lo scambio di criptovalute è probabilmente Poloniex. Prima del lancio dell'app mobile ufficiale nel luglio 2018, su Google Play si potevano già trovare diverse app di scambio Poloniex false, progettate intenzionalmente per essere funzionali. Molti utenti che hanno scaricato queste app fraudolente hanno visto le loro credenziali di accesso a Poloniex compromesse e le loro criptovalute rubate. Alcune app sono andate oltre, chiedendo persino agli utenti le credenziali di accesso ai propri account Gmail. È necessario notare che solo gli account privi di autenticazione a due fattori (2FA) verrebbero infine compromessi.

I seguenti passaggi possono aiutarti a proteggerti da questi tipi di truffe:

  • Controlla il sito web ufficiale dell'exchange per verificare che offra davvero un'app di trading mobile. In tal caso, utilizzare il collegamento fornito dallo stesso sito.

  • Leggi le recensioni e le valutazioni. Le app truffa hanno spesso numerose recensioni negative da parte di persone che si lamentano di essere state truffate, quindi assicurati di effettuare controlli prima di scaricarle. Allo stesso modo, dovresti essere scettico anche nei confronti delle app che hanno commenti e valutazioni eccessivamente positivi. Ogni app legittima è sempre accompagnata da una buona dose di recensioni negative.

  • Esamina le informazioni relative allo sviluppatore dell'app. Controlla se vengono forniti riferimenti a un'azienda, un sito Web o un'e-mail legittimi. Successivamente, dovresti effettuare una ricerca online delle informazioni fornite per verificare che siano effettivamente collegate alla casa di cambio ufficiale.

  • Controlla il numero di download. Anche questo dettaglio deve essere preso in considerazione perché è improbabile che un exchange molto popolare abbia un basso numero di download.

  • Attiva l'autenticazione 2FA sui tuoi account. Sebbene non sia sicura al 100%, l'autenticazione 2FA è molto più difficile da aggirare e può fare una grande differenza nella protezione dei tuoi fondi, anche se le tue credenziali di accesso sono state compromesse dal phishing.


App false per portafogli di criptovaluta

Esistono molti tipi di app false. Tra questi, quelli che cercano di ottenere dati personali degli utenti, come password e chiavi private dei loro portafogli.

In alcuni casi si tratta di app false che forniscono agli utenti indirizzi pubblici precedentemente generati. Gli utenti presumeranno di poter depositare fondi in modo sicuro presso questi indirizzi, tuttavia, poiché non vengono fornite le chiavi private, non saranno in grado di accedere ai fondi depositati lì.

Portafogli falsi di questo tipo sono stati creati per criptovalute popolari come Ethereum o Neo e, sfortunatamente, molti utenti hanno perso i propri fondi. Ecco alcune precauzioni che puoi adottare per evitare di diventare vittima di tali truffe:

  • Gli accorgimenti evidenziati nella sezione precedente – dedicata alle false app di scambio – valgono anche in questo caso. Tuttavia, un'ulteriore misura che può essere adottata quando si ha a che fare con le app Wallet è quella di garantire che quando tali app vengono aperte per la prima volta vengano generati indirizzi completamente nuovi e che si disponga delle corrispondenti chiavi private o seed mnemonici. Le app di portafoglio legittime ti consentiranno di esportare le tue chiavi private; ma è anche importante garantire che la generazione di nuove coppie di chiavi non venga compromessa. Pertanto, dovresti utilizzare un software affidabile (preferibilmente open source).

  • Anche se l'app ti fornisce una chiave privata (o seed), dovresti verificare se da essa è possibile derivare e accedere agli indirizzi pubblici. Ad esempio, alcuni portafogli Bitcoin consentono agli utenti di importare le proprie chiavi private o seed per visualizzare indirizzi e accedere ai fondi. Per ridurre al minimo il rischio che chiavi e seed vengano compromessi, l'ideale è effettuare questa operazione su un computer “air gap” (cioè disconnesso da Internet).


App di cryptojacking

Il cryptojacking è diventato una delle pratiche preferite dai criminali informatici grazie al suo facile accesso e al basso costo, nonché al potenziale di offrire entrate ricorrenti a lungo termine. Nonostante la loro minore potenza di elaborazione rispetto ai PC, i dispositivi mobili stanno diventando un bersaglio sempre più comune per il cryptojacking.

Oltre al cryptojacking del browser web, i criminali informatici stanno anche sviluppando programmi che sembrano essere app e giochi funzionali ed educativi del tutto legittimi. Molte di queste app, tuttavia, sono state progettate per eseguire segretamente script in background.

Esistono anche app di cryptojacking pubblicizzate come legittime applicazioni di mining di terze parti, ma le cui ricompense finiscono per essere date agli sviluppatori invece che ai loro utenti.

A peggiorare le cose, i criminali sono diventati sempre più sofisticati, il che li ha portati a installare algoritmi di mining leggeri che rendono estremamente difficile il loro rilevamento.

Il cryptojacking è incredibilmente dannoso per i dispositivi mobili poiché ne riduce le prestazioni e ne accelera l'usura. Peggio ancora, può anche fungere da cavallo di Troia per altri tipi di malware ancora più dannosi.

I seguenti passaggi possono essere utili per proteggersi dal cryptojacking:

  • Scarica solo app da piattaforme ufficiali come Google Play. Le app piratate non sono state pre-esaminate ed è più probabile che contengano script di cryptojacking.

  • Monitora il tuo telefono per identificare un consumo eccessivo della batteria o un surriscaldamento. Una volta rilevate, annulla le app che causano questi effetti.

  • Mantieni aggiornati il ​​tuo dispositivo e le tue app in modo che le potenziali vulnerabilità della sicurezza vengano corrette.

  • Utilizza un browser Web che protegga dal cryptojacking o installa plug-in affidabili come MinerBlock, NoCoin e Adblock.

  • Se possibile, installa un software antivirus mobile e mantienilo aggiornato.


Omaggi gratuiti e false app di mining di criptovalute

Si tratta di app che simulano il mining di criptovalute, ma in realtà non fanno altro che visualizzare pubblicità. Incentivano gli utenti a mantenere aperte le app riflettendo un aumento dei premi nel tempo. Alcune di queste app incoraggiano addirittura gli utenti a lasciare recensioni a 5 stelle come condizione per ottenere i premi sopra menzionati. Naturalmente, nessuna di queste app esegue il mining in modo efficace e i loro utenti non riceveranno mai una vera ricompensa.

Per proteggersi da questa truffa è necessario comprendere che il mining della maggior parte delle criptovalute richiede hardware altamente specializzato (i famosi ASIC), il che significa che non è possibile effettuare l'operazione da un dispositivo mobile. E in ogni caso, qualsiasi importo che potesse essere estratto in questo modo sarebbe banale. Per questo motivo ti consigliamo di stare lontano da qualsiasi app simile.


App portapapeles (app clipper)

Questo tipo di app alterano gli indirizzi delle criptovalute che si copiano e le sostituiscono con quelle dell'aggressore. In questo modo, anche se la vittima può copiare un indirizzo di ricezione corretto, quello che incolla per elaborare la transazione verrà sostituito da quello dell'aggressore.

Di seguito, ti presentiamo una serie di misure che puoi adottare durante l'elaborazione delle tue transazioni, per evitare di rimanere vittima di questo tipo di app:

  • Controlla sempre due volte o anche tre volte l'indirizzo che stai incollando nel campo di spedizione. Le transazioni blockchain sono irreversibili, quindi dovresti agire sempre con cautela.

  • È meglio verificare l'intero indirizzo fornito anziché solo parti di esso. Alcune app sono abbastanza sofisticate da incollare indirizzi simili a quello legittimo.


Scambio SIM

In una truffa di scambio SIM, il criminale informatico ottiene l'accesso al numero di telefono dell'utente. Per raggiungere questo obiettivo utilizzano tecniche di ingegneria sociale che consentono loro di ingannare gli operatori di telefonia mobile e di convincerli a fornire loro una copia della carta SIM. La truffa più famosa sullo scambio di SIM è stata quella che ha colpito l'imprenditore di criptovalute Michael Terpin, il quale ha affermato che AT&T aveva negligentemente ceduto le credenziali del suo telefono cellulare a terzi, facendogli perdere gettoni del valore di oltre 20 milioni di dollari USA.

Una volta che i criminali riescono ad accedere al tuo numero di cellulare, possono utilizzarlo per aggirare qualsiasi autenticazione 2FA che si basa su di esso. Da lì, si faranno strada nei tuoi portafogli di criptovaluta e scambieranno i conti.

Un altro metodo che i criminali informatici possono utilizzare è monitorare le tue comunicazioni tramite SMS. Guasti nelle reti di comunicazione possono consentire ai criminali di intercettare i tuoi messaggi, tra cui potrebbe esserci il numero pin 2FA.

Ciò che rende particolarmente inquietanti questi tipi di attacchi è che non richiedono un ruolo attivo da parte delle vittime, come nel caso del download di software falsi o dell'apertura di link dannosi.

Per evitare di cadere in questo tipo di truffe si possono prendere in considerazione le seguenti misure:

  • Non utilizzare il tuo numero di cellulare per autenticazioni 2FA di tipo SMS. Utilizza invece app come Google Authenticator o Authy per proteggere i tuoi account. I criminali informatici non saranno in grado di accedere a questo tipo di app, nemmeno se si appropriano del tuo numero di telefono. In alternativa, puoi anche utilizzare le autenticazioni hardware 2FA, come YubiKey o Titan Security Keys di Google.

  • Non rivelare mai informazioni personali, come il tuo numero di telefono, sui social network. I criminali informatici possono trarre vantaggio da tali informazioni e utilizzarle per impersonare l'utente su altri siti.

  • Non dovresti mai annunciare sui social media che possiedi criptovalute perché ciò potrebbe renderti un bersaglio. Se ti trovi nella posizione in cui tutti sanno che li possiedi, evita di rivelare informazioni personali, come gli scambi o i portafogli che utilizzi.

  • Pianifica la protezione del tuo account con i tuoi operatori di telefonia mobile. Ciò potrebbe includere la richiesta di un PIN o di una password per eventuali modifiche che desideri apportare. In alternativa, puoi anche richiedere che tali modifiche possano essere apportate solo di persona, rendendone impossibile l'esecuzione telefonica.


Wifi

I criminali informatici sono costantemente alla ricerca di possibili modi per accedere ai dispositivi mobili, in particolare a quelli che utilizzano criptovalute. Uno di questi potenziali punti di accesso è il WiFi. Le reti WiFi pubbliche non sono sicure e gli utenti dovrebbero sempre prendere precauzioni prima di connettersi ad esse. Altrimenti rischiano che i criminali informatici possano accedere ai dati memorizzati sui loro dispositivi mobili. Di questi accorgimenti abbiamo parlato nell'articolo dedicato alle reti WiFi pubbliche.


Pensieri finali

I telefoni cellulari sono diventati una parte fondamentale della nostra vita. In effetti, sono così intrecciati con la nostra identità digitale che possono diventare la nostra principale vulnerabilità. I criminali informatici lo sanno ed è per questo che continuano a cercare meccanismi per sfruttarli. Proteggere i propri dispositivi mobili non è più un'opzione, ma è diventata una necessità. Agire sempre con cautela.