Man mano che cresce l’interesse degli utenti verso le cryptovalute e che sempre più persone, a volta anche impreparate dal punto di vista tecnologico, si avvicinano al mondo di Bitcoin & Co., facendo crescere la quantità di denaro movimentato dalle monete virtuali, anche le mire degli hacker su questo settore diventano più concrete, e i criminali informatici mettono a punto tecniche nuove, soprattutto utilizzando il social engineering, per compiere le loro truffe.
A evidenziare il fenomeno è una ricerca di Kaspersky Lab, secondo cui nell’ultimo anno gli hacker avrebbero realizzato più di 10 milioni di dollari grazie a raggiri collegati con il mondo delle monete virtuali, dal più “classico” phishing all’utilizzo di false Initial coin offering, mietendo vittime sia tra chi possiede da tempo portafogli in moneta elettronica sia gli utenti meno esperti che iniziano ad avvicinarsi a questo mondo.
Quanto alle Ico, spiega Kaspersky Lab in una nota, i cybercriminali prendono di mira gli investitori che cercano di mettere a frutto il loro denaro nelle startup con la speranza di ottenere un guadagno in futuro, creando siti web fasulli che riproducono fedelmente le pagine online di progetti Ico ufficiali, o cercano di ottenere l’accesso ai loro contatti, così da inviare una email di phishing con il numero di un portafoglio digitale per investitori al quale inviare criptomoneta. Gli attacchi di maggior successo utilizzano progetti Ico piuttosto noti, spiega Kaspersky Lab, come nel caso dell’Ico di Switcheo, dove utilizzando una proposta per la distribuzione gratis di moneta, i criminali hanno rubato più di 25.000 dollari in criptovalute dopo aver diffuso il link attraverso un falso account Twitter.
“Un altro esempio può essere quello della creazione di siti di phishing per il progetto Ico OmaseGo – prosegue il comunicato – che ha permesso ai truffatori di guadagnare criptovaluta per un valore di oltre 1,1 milioni di dollari. Hanno poi suscitato grande interesse nei cybercriminali le voci intorno alla Ico di Telegram, che ha portato alla creazione di centinaia di siti fake per raccogliere “investimenti”.
Ci sono poi le truffe delle criptovalute in regalo. “Il metodo scelto prevede che le vittime inviino una piccola quantità di moneta elettronica, alla quale seguirà, in cambio, un pagamento molto più grande della stessa valuta, ma in futuro – spiega Kaspersky Lab – I criminali hanno persino utilizzato gli account sui social media di personaggi noti, come il magnate Elon Musk o il fondatore del servizio di messaggistica istantanea Telegram, Pavel Durov. Creando falsi account o rispondendo ai tweet di utenti legittimi tramite account fake, i criminali sono in grado di confondere gli utenti di Twitter, facendoli cadere nella loro trappola e cliccando sulle risposte da account fraudolenti”.
“I risultati della nostra ricerca dimostrano che i cybercriminali sono bravi nel tenersi aggiornati e nello sviluppare le loro risorse per ottenere i migliori risultati possibili nel phishing di criptovalute – spiega Morten Lehn, general manager Italy di Kaspersky Lab – Questi nuovi modelli di truffa si basano su semplici metodi di social engineering, ma si distinguono dai comuni attacchi di phishing perché possono aiutare i criminali a guadagnare milioni di dollari. I criminali che hanno avuto successo sono stati soddisfatti del fatto di aver saputo sfruttare il fattore umano, uno dei legami più deboli nella sicurezza informatica, per fare capitale grazie al comportamento degli utenti”.
Per evitare di cadere in queste trappole Kaspersky ha messo a punto un vademecum in cinque punti, che parte dalla considerazione che “non esistono pranzi gratuiti”, e invita gli utenti a trattare con scetticismo le offerte che sembrano troppo allettanti per essere reali. La seconda regola dice di controllare sempre le fonti ufficiali per avere informazioni sulla distribuzione gratuita di criptovalute, mentre la terza è di verificare se il portafoglio digitale verso il quale di sta pianificando di trasferire i vostri risparmi è collegato a terze parti, consultando siti come etherscan.io e blockchain.info. Infine controllare sempre gli indirizzi e i dati del collegamento ipertestuale nella barra degli indirizzi del browser, e salvare l’indirizzo del proprio e-wallet in una scheda a parte e fare sempre l’accesso da lì, per “evitare di commettere errori di battitura nella barra degli indirizzi e di accedere, invece, al sito di phishing”.