Tempo di lettura: 6 minuti

Premessa

Per i bitcoiners abituali e per chi per la prima volta vuole comprare bitcoin, la cripto-giungla è un vero casino per quanto riguarda la sicurezza.

Se hai già avuto modo (e probabilmente è così se stai leggendo questo articolo) di utilizzare un qualsiasi servizio relativo alle crittovalute in generale, avrai sicuramente notato che è necessario passare attraverso un “noiosa” serie di livelli di sicurezza che include frasi e codici complessi e lunghi da ricordare che dovresti conservare in modo sicuro da qualche parte (a questo proposito ti consigliamo di leggere la nostra guida sul tenere al sicuro i tuoi bitcoin o altcoin).

Certo, attraverso le crittovalute hai il totale controllo delle tue risorse ma il prezzo da pagare è che sei responsabile della tua sicurezza; e poiché la maggior parte delle persone non è esperta di sicurezza, 9 volte su 10 la gente è esposta ad un sacco di problemi, molte volte senza nemmeno rendersene conto. Ogni volta mi stupisco nel vedere intorno a me quante persone, anche quelle che si professano esperte di tecnologia ed informatica, non adottino misure di sicurezza base.

Sei a rischio, SEMPRE. Anche con un Hardware Wallet come Trezor o il Ledger Nano S, che oggi sono considerati il top dei top per quanto riguarda la sicurezza del mondo delle crittovalute. In effetti la maggior parte dei problemi relativi alla sicurezza si verifica nei “punti di connessione” con il tuo portafoglio, non con il portafoglio stesso. Ciò che è a rischio non è necessariamente il tuo setup, ma la tua attenzione.

Ecco a voi alcune modalità che vengono utilizzate dagli hacker di tutto il mondo ogni giorno per impossessarsi delle chiavi private (ovvero quei dati necessari per accedere al tuo portafoglio e rubare le tue crittovalute) o anche solo per ingannarti nell’inviare monete/tokens ad un indirizzo sbagliato.

  1. Copia/Incolla

    Poniamo il caso che tu debba inviare un pagamento ad un indirizzo, magari che si trova su un sito web oppure che ti è stato inviato via mail. In questo caso per essere sicuri di inviare i tuoi bitcoin all’indirizzo corretto basta fare Copia/Incolla giusto? Bhè… non proprio.
    Negli ultimi mesi sono nati una serie di virus decisamente diabolici chiamati CryptoShuffler, il cui scopo è molto semplice ma allo stesso tempo geniale. Il virus, una volta che riconosce che viene copiato un indirizzo bitcoin, sostituisce silenziosamente quest’ultimo con un altro indirizzo che non ha nulla a che fare con l’originale (sostituendolo nel 99% dei casi con l’indirizzo dell’hacker stesso).

    Consiglio #1: verifica sempre l’indirizzo quando lo incolli; certo è molto noioso, ma meglio spendere 30 secondi in più piuttosto che perdere bitcoins in un secondo.
    Consiglio #2: non installare programmi o app di cui non sei sicuro e cerca di verificarne sempre la firma digitale. Utilizza un antivirus e mantienilo aggiornato, utilizza contemporaneamente un anti-malware come BitDefender o MalwareByte ed effettua scansioni regolari.
    Consiglio #3: utilizza un ENS ufficiale (ne parlerò più approfonditamente tra poco) invece di un indirizzo non verificabile. Alcuni sono economici da acquistare, altri no. A te la scelta 🙂

  2. App mobile modificate

    Gli hacker potrebbero pubblicare false app di trading come successo con Poloniex pochi mesi fa, che anzichè permetterti di acquistare e rivendere crittovalute, l’unico loro scopo è quello di rubarti i dati d’accesso.

    Generalmente il Play Store di Android è più soggetto ad app “fasulle” rispetto alla controparte iOS quindi è d’obbligo essere attenti a ciò che si installa sul proprio device.

    Consiglio: oltre ad effettuare molteplici verifiche sull’autenticità dell’app, abilita l’Autenticazione a 2 fattori (2FA) per ogni servizio di trading o mobile wallet che utilizzi sul tuo smartphone o tablet.

  3. Bot su Slacks

    I bot su Slacks sono una vera piaga… Ti riempiranno di avvisi relativi alla sicurezza di un tuo portafoglio (che ovviamente non esiste) e ti indirizzeranno ad un URL dove ti verrà chiesto di inserire la tua chiave privata. NON FARLO.

    Consiglio:Metacert Ignora completamente i bot su Slacks e se ti contattano chiedendoti informazioni di questo tipo segnalali. Puoi inoltre utilizzare per proteggere i tuoi canali Slacks.

  4. Estensioni del browser

    Stanno sputando come funghi alcune estensioni per Chrome e Firefox che sostengono di migliorare l’esperienza e l’usabilità di alcuni siti web di trading come Bitstamp o Bittrex. Tutto a posto fin qua (perchè la maggior parte lo fanno per davvero), tranne per il fatto che possono leggere nello stesso momento tutti i dati inseriti. Fidati solo dell’esperienza nativa dei siti web che utilizzi 😉

    Consiglio: non scaricare estensioni relative alle crittovalute o al trading. Cerca di utilizzare la modalità incognito/privata quando possibile, in quanto solitamente in questa modalità le estensioni e app terze sono disabilitate. Ti consiglio inoltre di utilizzare un browser specifico per questo tipo di operazioni a scelta tra Firefox (con uBlock Origin + HTTPs Everywhere + Privacy Badger) oppure Brave, che è un browser attento a privacy e sicurezza basato su Firefox.

    Estensione Cryptonite
    Estensione Cryptonite
  5. Siti web clonati

    Questo è un trucchetto vecchio, semplice ma che continua a mietere vittime ogni giorno: siti web clonati, pressochè identici, con una piccola differenza: solitamente vengono invertite due parole nel nome del dominio (es. coiners.it -> coniers.it).

    Consiglio: Verifica sempre l’esattezza del dominio, controlla che abbia un certificato HTTPs legato ad una società e se proprio sei paranoico effettua una ricerca Whois. Inoltre gli stessi creatori di Metacert hanno sviluppato un’estensione gratuita, Cryptonite, per Chrome e Firefox che permette di verificare l’autenticità dei siti web legati alle crittovalute.

  6. Pubblicità su Google ADS, Bing ed altri motori di ricerca e SEO

    Anche questa è vecchia, però evidentemente la gente continua a non prestare abbastanza attenzione… Durante la ricerca di un particolare sito web (magari legato ad un wallet online, ad un exchange o ad una Token Sale) un hacker potrebbe indirizzarti verso un dominio “trappola” tramite annunci a pagamento o siti web ben posizionati tramite SEO (Search Engine Optimization).

    Consiglio: Anche qui presta attenzione al nome dominio, al certificato ed al whois.

  7. Profili/pagine social fake

    Segui solo i profili e le pagine social che trovi sui siti web ufficiali del servizio/progetto che utilizzi o sostieni (solitamente li trovi nel footer del sito web, ovvero la parte più bassa). Non fidarti di nessun’altra fonte, tantomeno degli algoritmi di raccomandazione che trovi su Facebook o Twitter, perchè potrebbero consigliarti di seguire account falsi.

  8. Mobile SMS 2FA

    Questo è un problema molto conosciuto. Alcuni servizi chiederanno il tuo numero di cellulare per registrarti o attivare 2FA (autenticazione a due fattori) per aumentare la sicurezza del tuo account, ma, soprattutto negli Stati Uniti, alcuni hacker hanno uno spiccato talento nel prendere in giro il gli operatori mobile per ottenere le tue credenziali e da lì accedere a qualsiasi account collegato a Il tuo telefonino.

    Consiglio #1: chiedi al tuo operatore in che modo è messo in sicurezza il tuo numero di telefono
    Consiglio #2: evita di utilizzare l’sms come codice di autenticazione a 2 fattori ma privilegia le app come Google Authenticator o Authy

  9. Phishing tramite Email

    Ci risiamo: ricevi un’email da un servizio che utilizzi, ma non è autentica. Gli hacker per impossessarsi della tua password useranno esattamente lo stesso formato, modello e e design delle email “veritiere”. Controlla sempre mittente e non cliccare alla cieca.

    Mail falsa di MyEtherWallet
    Mail falsa di MyEtherWallet

     

  10. WiFi hacking

    Probabilmente se ti interessi di sicurezza avrai già visto le notizie riguardo la falla relativa al protocollo WPA… Bhè se non ne hai mai sentito parlare, a fine 2017 è stato violato il protocollo di sicurezza che la maggior parte dei router wifi utilizza per gestire le connessioni. Attraverso un Krack attack chiunque può vedere tutti i dati che passano attraverso la tua rete wifi. Problemi simili si verificano nei Wi-Fi pubblici (es. Wifi dell’aeroporto).

    Consiglio: aggiorna il tuo router, preferisci i dati mobili (3g o 4g LTE) al posto dei WiFi pubblici. Anche se nel caso di un KRACK Attack una VPN è inutile, utilizzala lo stesso nella tua quotidianità per avere maggior controllo sulla tua privacy.

Bonus 1 : Fake ENS

Per semplificare, ENS è l’equivalente delle email/DNS per l’address di un wallet. Molte ICO ne hanno fatto uso al posto di un indirizzo convenzionale (che potrebbe essere facilmente falsificato). Puoi immaginarlo come un dominio Coiners.eth. Alcuni hacker potrebbero comunque indurti ad inviare pagamenti ad un ENS sbagliato falsificando l’ENS originale con uno simile (es. ItalyICO.eth anzichè ItaliaICO.eth).

Consiglio #1: assicurati di fare riferimento solo all’ENS fornito dall’azienda e controllalo prima di inviare crittovalute
Consiglio #2: se invece vuoi avviare una ICO, acquista l’ENS relativo al nome del tuo progetto (comprendi inoltre dei possibili errori di battitura)

Bonus 2: Airdrop gratuiti

Un Airdrop è la distribuzione gratuita di token per premiare i titolari di token esistenti o per coinvolgere più utenti in una fase d’avvio di una startup o ICO. Chi non vorrebbe quindi token gratuiti? Solo un pazzo! Dei malintenzionati potrebbero comunque annunciare un airdrop anche quando realmente non esiste. A quel punto per ricevere i token ti faranno registrare sul loro sito web per ottenere le tue informazioni private. Anche qui… molta attenzione!

Riccardo Masutti
Autore

Sono uno startupper, ethical hacker e consulente di Blockchain/Bitcoin e Digital Marketing. Mi considero una persona intraprendente e molto determinata, faccio del learning transfer il mio punto di forza e questo spiega il perchè sono sempre interessato nelle nuove tecnologie ed innovazioni. Ho una mentalità Open-Source oriented, amo la crittografia e tengo molto alla sicurezza, sia relativa a Bitcoin ma non solo… Bitcoin user and miner since 2011.

Scrivi un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.