Il 2017 è stato un anno straordinario per il settore delle criptovalute, grazie al rapido aumento nelle valutazioni che le ha catapultate nei media più diffusi. Com’era prevedibile, questo ha suscitato un enorme interesse sia da parte del pubblico generale che dai criminali informatici. La relativa anonimità offerta dalle criptovalute le ha rese uno strumento molto diffuso tra criminali che spesso le usano per bypassare i sistemi bancari tradizionali ed evitare il controllo finanziario dei regolatori.
Considerando che in media si spende più tempo sugli smartphone piuttosto che sui computer, non sorprende che anche i criminali informatici abbiano volto l’attenzione verso di essi. Quanto descritto di seguito mette in evidenza i modi in cui i truffatori stanno prendendo di mira gli utenti di criptovalute attraverso i loro dispositivi mobili, insieme ad alcune misure da adottare per proteggersi.
Finte app di criptovalute
Finte app per exchange di criptovalute
L’esempio più noto di una finta app per exchange di criptovalute è probabilmente il caso di Poloniex. Prima del lancio della loro app ufficiale per il trading da mobile a Luglio 2018, Google Play presentava già un elenco di numerose app fasulle che si spacciavano per l’exchange Poloniex, progettate intenzionalmente per essere funzionali. Diversi utenti che hanno scaricato queste app fraudolente hanno visto le loro credenziali d’accesso compromesse, e le loro criptovalute rubate. Alcune app richiedevano addirittura le credenziali d’accesso all’account Gmail dell’utente. E’ importante evidenziare che solo gli account senza autenticazione a due fattori (2FA) sono stati compromessi.
Queste misure possono aiutare a proteggerti da truffe di questo tipo.
Controlla il sito web ufficiale dell’exchange per verificare se esiste davvero un’app per il trading da mobile. Se sì, usa il link riportato sul sito.
Leggi le recensioni e controlla le valutazioni. Le app fraudolente hanno spesso diverse recensioni negative e persone che si lamentano di essere state truffate, quindi assicurati di dare un’occhiata prima di scaricare. Tuttavia, dovresti essere scettico anche delle app che presentano valutazioni e commenti perfetti. Qualsiasi app legittima ha la sua buona dose di recensioni negative.
Controlla le informazioni sullo sviluppatore della app. Guarda se vengono forniti un sito web, un indirizzo email e un nome legittimi. Fai una ricerca online su queste informazioni per vedere se sono davvero collegate all’exchange ufficiale.
Controlla il numero di download. Il conteggio dei download va sempre considerato. E’ poco probabile che un exchange di criptovalute molto utilizzato abbia un basso numero di download.
- Attiva la 2FA sui tuoi account. Anche se non è sicura al 100%, la 2FA è molto più difficile da bypassare e può fare un’enorme differenza nella protezione dei tuoi fondi, anche nel caso in cui le tue credenziali d’accesso cadano preda di phishing.
Finte app per wallet di criptovalute
Ci sono molti tipi diversi di app fraudolente. Una variazione cerca di ottenere informazioni personali come password e chiavi private di wallet.
Finti wallet di questo tipo sono stati creati per criptovalute popolari come Ethereum e Neo, e purtroppo molti utenti hanno perso i propri fondi. Ecco alcune misure preventive da adottare per non caderne vittima:
Le precauzioni descritte nel segmento sulle app di exchange sono applicabili anche in questo caso. Tuttavia, una precauzione aggiuntiva da prendere quando si tratta di app wallet è assicurarsi che vengano generati indirizzi nuovi alla prima apertura dell’app, e di essere in possesso delle chiavi private (o mnemonic seed). Una app wallet legittima ti permette di esportare le chiavi private, ma è anche importante assicurarsi che la generazione di nuove coppie di chiavi non sia compromessa. Per questo si dovrebbe utilizzare un software affidabile (preferibilmente open source).
Anche se l’app fornisce una chiave privata (o seed), dovresti verificare se gli indirizzi pubblici possono essere derivati o accessibili da essa. Per esempio, alcuni wallet per Bitcoin permettono agli utenti di importare le proprie chiavi private o seed per visualizzare gli indirizzi e accedere ai fondi. Per minimizzare i rischi di compromissione delle chiavi o dei seed, puoi svolgere questo processo su un computer air-gap(non connesso a internet).
App di cryptojacking
Oltre al cryptojacking su browser per il web, i criminali informatici stanno sviluppando programmi che sembrano all’apparenza app di giochi, utilità o educazione legittime. Tuttavia, molte di queste sono progettate per eseguire in segreto degli script di crypto-mining in background.
Ci sono anche app di cryptojacking che vengono pubblicizzate come miner di terze parti legittimi, ma le ricompense vengono inviate allo sviluppatore dell’app invece degli utenti.
A complicare la situazione, i criminali sono diventati sempre più sofisticati, impiegando algoritmi di mining leggeri per evitare di essere scoperti.
Il cryptojacking è incredibilmente dannoso per i tuoi dispositivi mobili, in quanto degrada le prestazioni e accelera il deterioramento. Peggio ancora, potrebbero agire da Trojan per malware peggiori.
Le seguenti misure aiutano a difendersi da queste app.
Scarica solo app da store ufficiali, come Google Play. Le app piratate non sono state controllate e hanno maggiori probabilità di contenere script di cryptojacking.
Controlla il tuo smartphone per surriscaldamento o esaurimento della batteria eccessivi. Una volta rilevati, termina le app che li stanno causando.
- Mantieni il tuo dispositivo e le app aggiornate per ricevere le patch sulle vulnerabilità di sicurezza.
Usa uno web browser che protegge dal cryptojacking o installa plug-in browser affidabili, come MinerBlock, NoCoin e AdBlock.
Se possibile, installa un software antivirus per mobile e tienilo aggiornato.
App per giveaway e finti crypto-miner
Queste sono app che fingono il mining di criptovalute per i propri utenti quando in realtà non fanno nulla a parte mostrare pubblicità. Incoraggiano gli utenti a tenere aperta l’app mostrando un aumento graduale nelle ricompense col passare del tempo. Alcune app incentivano gli utenti a lasciare valutazioni da 5 stelle per ricevere ricompense. Ovviamente, nessuna di queste app sta effettivamente facendo mining, e gli utenti non ricevono mai i premi pubblicizzati.
Per proteggersi da queste truffe, è necessario tenere a mente che, per la grande maggioranza delle criptovalute, il mining richiede hardware altamente specializzato (ASIC), quindi non è possibile minare su un dispositivo mobile. L’importo che riusciresti a ottenere sarebbe insignificante, se non inesistente. Stai alla larga da questo tipo di app.
Clipper app
Queste app modificano gli indirizzi per criptovalute che copi sostituendoli con quelli dell’attaccante. Quindi, anche se la vittima copia l’indirizzo destinataria corretto, quello che incolla per elaborare la transazione viene sostituito da uno di proprietà dell’attaccante.
Per non cadere vittima di app di questo tipo, ecco alcune precauzioni da seguire quando esegui transazioni.
- Controlla e ricontrolla sempre l’indirizzo che stai incollando nel campo del destinatario. Le transazioni blockchain sono irreversibili, pertanto è bene fare molta attenzione.
E’ meglio verificare l’intero indirizzo, non solo delle parti. Alcune app sono abbastanza intelligenti da incollare indirizzi che sembrano simili all’indirizzo originale.
SIM swapping
Quando i criminali informatici hanno ottenuto l’accesso al tuo numero di telefono, possono usarlo per bypassare qualsiasi 2FA ad esso associata. A questo punto, possono accedere a wallet e account su exchange di criptovalute.
Un altro metodo impiegato dai criminali informatici è il monitoraggio delle comunicazioni via SMS. Dei punti deboli nelle reti di comunicazione possono consentire ai criminali di intercettare messaggi che potrebbero contenere codici di autenticazione.
Ciò che rende questo attacco particolarmente preoccupante è il fatto che gli utenti non devono effettuare alcuna azione, come scaricare un software fasullo o cliccare un link maligno.
Per evitare queste truffe, si consiglia di adottare queste misure.
Non usare il tuo numero di cellulare per la 2FA via SMS. Al suo posto, usare app come Google Authenticator o Authy per proteggere i tuoi account. I criminali informatici non possono accedere a queste app anche se entrano in possesso del tuo numero di telefono. In alternativa, puoi usare un hardware per la 2FA come YubiKey o la Titan Security Key di Google.
Non rivelare informazioni personali, come il tuo numero di telefono, su social media. I criminali informatici possono raccogliere queste informazioni e usarle per impersonarti da qualche altra parte.
Affermare di possedere criptovalute su social media significa diventare un obiettivo. Se ti trovi in una posizione in cui tutti sanno già che ne possiedi, evita di rivelare informazioni personali, inclusi gli exchange o gli wallet che usi.
Dai disposizioni al tuo operatore mobile per proteggere il tuo account. Questo può significare associare un codice o una password al tuo account e indicare che solo gli utenti che conoscono il codice possono fare modifiche. In alternativa, puoi richiedere che queste modifiche siano possibili soltanto di persona e non consentirle via telefono.
WiFi
In chiusura
I telefoni cellulari sono diventati una parte essenziale delle nostre vite. Infatti, sono così intrecciati con l’identità digitale dell’utente da diventare la sua più grande vulnerabilità. I criminali informatici lo sanno molto bene e continueranno a trovare nuovi modi per trarne vantaggio. Proteggere i propri dispositivi mobili non è più opzionale. E’ diventato una necessità. Stai attento.