Basato su preoccupazioni per la sicurezza della comunità - di: WhoTookMyCrypto.com


Il 2017 è stato un anno straordinario per l’industria delle criptovalute, poiché il suo rapido aumento del prezzo ha attirato un’intensa attenzione da parte dei media. Non sorprende che ciò abbia suscitato un enorme interesse sia da parte del pubblico in generale che dei criminali informatici. Il relativo anonimato della criptovaluta l'ha resa una delle preferite da coloro che la utilizzano per aggirare i sistemi bancari tradizionali ed evitare la supervisione finanziaria da parte delle autorità di regolamentazione.

Considerando che le persone trascorrono la maggior parte del loro tempo utilizzando uno smartphone anziché un PC, non sorprende che i criminali informatici abbiano concentrato la loro attenzione su di esso. Ulteriori informazioni mostrano come i truffatori prendono di mira gli smartphone degli utenti di criptovaluta, nonché diversi passaggi che puoi intraprendere per proteggerti.


App false

Scambi di criptovaluta

L'esempio più famoso di tale software per smartphone è l'applicazione mobile per accedere al tuo account Poloniex. Prima del lancio della versione ufficiale nel luglio 2018, Google Play conteneva già diverse app false progettate appositamente per essere indistinguibili dall'originale. Molti utenti che hanno scaricato e installato questi programmi hanno avuto le credenziali di accesso all'exchange compromesse e la loro criptovaluta rubata. Alcune applicazioni sono andate oltre e hanno iniziato a richiedere un account Gmail. È importante notare il fatto che tutti gli account delle vittime non avevano l'autenticazione a due fattori (2FA).

Puoi garantire la tua sicurezza effettuando le seguenti operazioni:

  • Visita il sito Web ufficiale dell'exchange per assicurarti che disponga effettivamente di un'app mobile. In tal caso, utilizzare il collegamento fornito sul loro sito;

  • Leggi recensioni e valutazioni. Le app false spesso hanno molte recensioni negative da parte delle vittime delle truffe, quindi assicurati di controllare prima di installarle. Tuttavia, dovresti essere scettico anche nei confronti delle app che hanno solo valutazioni e commenti positivi. Qualsiasi app legittima ha la sua quota di recensioni negative;

  • Controlla lo sviluppatore dell'app, l'azienda, l'indirizzo email e le informazioni sul sito web. È necessario verificare tutte le informazioni fornite e che l'applicazione sia realmente associata allo scambio;

  • Controlla il numero di download, anche questo dovrebbe essere preso in considerazione. È improbabile che una popolare app mobile per lo scambio di criptovalute abbia un numero limitato di download;

  • Attiva 2FA sul tuo account. Anche se questo non proteggerà il tuo account al 100%, renderà molto più difficile per i truffatori accedervi e può contribuire notevolmente a proteggere i tuoi fondi anche se sei vittima di una truffa di phishing.


Portafogli crittografici

Esistono molte app false diverse. L'essenza di un tipo è ottenere informazioni personali dagli utenti, come password del portafoglio e chiavi private.

In alcuni casi, tali app forniscono indirizzi pubblici pregenerati e presuppongono che gli utenti possano depositarvi. Tuttavia, a loro volta, non hanno accesso alle chiavi private e quindi non possiedono i fondi inviati.

Tali portafogli falsi sono stati creati esclusivamente per le criptovalute più popolari come Ethereum, Neo e purtroppo molti utenti ne sono diventati vittime. 

Precauzioni da prendere per evitare di diventarne vittima:

  • Altrettanto rilevanti sono le operazioni di cui sopra con le richieste di accesso allo scambio. Tuttavia, quando lavori con i portafogli, dovresti assolutamente tenere presente che al primo avvio dovrai ricevere un nuovo indirizzo pubblico e una chiave privata (o frasi mnemoniche). Una vera e propria applicazione wallet ti consente di esportare chiavi private, ma dovresti anche assicurarti che la generazione di nuove coppie di chiavi non sia stata compromessa. Pertanto, è opportuno utilizzare software con un'ottima reputazione (preferibilmente open source);

  • Anche se l'applicazione ti fornisce una chiave privata (o frasi mnemoniche), devi assicurarti di poterla utilizzare per accedere al tuo portafoglio. Ad esempio, alcuni portafogli Bitcoin consentono agli utenti di importare le proprie chiavi o frasi private per visualizzare indirizzi e accedere ai fondi. Per ridurre al minimo il rischio che chiavi e frasi vengano compromesse, è possibile eseguire questa operazione su un computer con air gap (senza accesso a Internet).


Criptojacking

Il cryptojacking è chiaramente uno dei favoriti tra i crimini informatici grazie alla sua bassa barriera all’ingresso e ai costi generali. Inoltre, presuppone un reddito ricorrente a lungo termine. Nonostante abbiano una potenza di elaborazione inferiore rispetto ai PC, i dispositivi mobili diventano sempre più vittime di questo attacco.

Oltre al cryptojacking tramite browser web, i criminali informatici sviluppano anche programmi che assomigliano a normali applicazioni di gioco, di utilità o educative. Tuttavia, molti di essi sono progettati per estrarre silenziosamente la criptovaluta in background.

Esistono anche app che pubblicizzano come mining legittimo per il tuo dispositivo, ma in realtà la ricompensa va allo sviluppatore, non all'utente. A peggiorare le cose, i criminali informatici stanno diventando sempre più sofisticati, sviluppando algoritmi di mining sempre più insignificanti per evitare di essere scoperti.

Il cryptojacking è incredibilmente pericoloso per i tuoi dispositivi mobili poiché riduce le prestazioni e accelera l'usura del processore e della batteria. Ancor peggio, può fungere da cavallo di Troia in aggiunta ad altri virus. 

Per proteggersi è necessario adottare le seguenti misure: 

  • Scarica app solo da fonti ufficiali come Google Play. I programmi piratati non sono pre-controllati e molto probabilmente contengono uno script di cryptojacking;

  • Monitora le prestazioni del tuo telefono in caso di rapido esaurimento della batteria o surriscaldamento. Se la causa viene identificata, chiudere le applicazioni che la causano;

  • Aggiorna il tuo dispositivo e le tue applicazioni per correggere le vulnerabilità nelle versioni firmware precedenti;

  • Utilizza un browser web che ti protegga dal cryptojacking o installa estensioni speciali come: MinerBlock, NoCoin e Adblock;

  • Se possibile, installa un antivirus sul tuo smartphone e aggiornalo regolarmente.


Omaggi gratuiti e app di mining false 

Alcuni dei programmi che “estraggono criptovaluta” per i propri utenti in realtà non fanno altro che visualizzare annunci pubblicitari. Forniscono incentivi per mantenere aperte le app riflettendo l'aumento dei premi nel tempo. Alcuni programmi costringono gli utenti a lasciare una valutazione massima per ricevere un premio. Alla fine, nessuna di queste piattaforme stava estraendo e i loro utenti non riceveranno i loro premi.

Per proteggerti da tali truffe, dovresti capire che la maggior parte delle criptovalute richiede hardware altamente specializzato (ASIC) per il mining, il che significa che non è possibile eseguire il mining su un dispositivo mobile. Qualunque sia l'importo che ottieni, non significa nulla. Stai lontano da tali app.


Clipper

Questi sono programmi che cambiano l'indirizzo che copi e lo sostituiscono con un altro. Pertanto, anche se la vittima può copiare l’indirizzo corretto del destinatario per elaborare la transazione, questo viene a sua volta sostituito con l’indirizzo dell’aggressore.

Per evitare di cadere vittima di tali app, ecco alcune precauzioni da prendere in considerazione quando si inviano transazioni:

  • Controlla sempre il doppio, o meglio ancora il triplo, dell'indirizzo che incolli nel campo del destinatario. Tutte le transazioni sulla blockchain sono irreversibili, quindi dovresti sempre fare attenzione.

  • È meglio controllare l'intero indirizzo, non solo parti di esso. Alcune app sono così intelligenti che utilizzano indirizzi molto simili all'indirizzo del destinatario.


Sostituzione della scheda SIM

Nelle truffe di scambio SIM, un utente malintenzionato ottiene l'accesso al numero di telefono di un utente utilizzando varie tecniche di ingegneria sociale per indurre gli operatori di telefonia mobile a ottenere una nuova carta SIM. Il caso più famoso di tale frode è stato l’imprenditore di criptovaluta Michael Turpin. Ha affermato che AT&T è stata negligente nel gestire le credenziali del suo cellulare, facendogli perdere gettoni per un valore di oltre $ 20 milioni.

Una volta che un criminale informatico ha accesso al tuo numero, può utilizzarlo per aggirare qualsiasi 2FA ad esso associato, dopodiché può accedere ai tuoi portafogli e scambiare conti.

Un altro metodo che i criminali informatici possono utilizzare è monitorare i tuoi messaggi SMS. I difetti nelle reti di telecomunicazioni consentono agli aggressori di intercettare le tue comunicazioni, che includono un secondo elemento di autenticazione.

Ciò che è particolarmente preoccupante di questo attacco è che agli utenti non viene richiesto di intraprendere alcuna azione, come scaricare software falso o cliccare su un collegamento infetto.

Precauzioni da adottare per evitare di cadere vittima di tali truffe:

  • Non utilizzare il tuo numero di cellulare principale per SMS 2FA. Utilizza invece app come Google Authenticator o Authy per proteggere il tuo account. In questo caso, i criminali informatici non avranno accesso alle informazioni anche se hanno il tuo numero di telefono. Inoltre, puoi utilizzare l'hardware 2FA utilizzando YubiKey o Google Titan;

  • Non condividere le tue informazioni identificative sui social media, come il tuo numero di cellulare. Queste informazioni possono essere utilizzate contro di te;

  • Non annunciare sui social network che possiedi criptovaluta, poiché questo ti renderà immediatamente un bersaglio, se sei già in questa posizione, evita di rivelare altre informazioni personali, nonché gli scambi e i portafogli che utilizzi;

  • Concorda con il tuo gestore di telefonia mobile la protezione del tuo numero di cellulare. Ciò può significare avere un codice PIN o una password che indica che solo chi lo conosce può apportare modifiche al tuo account personale. Inoltre, puoi accettare che le modifiche avvengano esclusivamente in tua presenza personale.


Wifi

I criminali informatici sono costantemente alla ricerca di punti deboli nei tuoi dispositivi mobili, soprattutto se legati alla criptovaluta. Uno di questi punti deboli è l'accesso a Internet tramite WiFi. Gli hotspot Internet pubblici non sono sicuri e quando li utilizzi non dovresti trascurare le precauzioni prima di connetterti, altrimenti rischi di dare accesso ai dati del tuo dispositivo. Abbiamo discusso tutte le azioni relative alla garanzia della tua sicurezza nell'articolo sul WiFi pubblico.


Conclusione

I telefoni cellulari sono diventati parte integrante della nostra vita e infatti sono così legati all'identità digitale che possono diventare il nostro punto debole. I criminali informatici lo sanno e continueranno a cercare modi per sfruttarlo. Proteggere i tuoi dispositivi mobili non è più un optional poiché è diventata una necessità, quindi stai sempre attento e stai al sicuro.