Invio alla comunità - Autore: WhoTookMyCrypto.com

Il 2017 è stato un anno straordinario per il settore delle criptovalute poiché il rapido aumento delle valutazioni li ha spinti nei media mainstream. Non sorprende che ciò abbia suscitato un immenso interesse sia da parte del pubblico in generale che dei criminali informatici. Il relativo anonimato offerto dalle criptovalute le ha rese preferite dai criminali che spesso le utilizzano per aggirare i sistemi bancari tradizionali ed evitare la sorveglianza finanziaria da parte delle autorità di regolamentazione.

Dato che le persone trascorrono più tempo sullo smartphone che sul desktop, non sorprende che anche i criminali informatici abbiano rivolto la loro attenzione a loro. La discussione seguente evidenzia come i truffatori abbiano preso di mira gli utenti di criptovalute attraverso i loro dispositivi mobili, insieme ad alcuni passaggi che gli utenti possono adottare per proteggersi.


App di criptovaluta false

App false per lo scambio di criptovalute

L’esempio più noto di falsa app per lo scambio di criptovalute è probabilmente quello di Poloniex. Prima del lancio dell'app ufficiale di trading mobile nel luglio 2018, Google Play elencava già diverse app di scambio Poloniex false, progettate intenzionalmente per essere funzionali. Molti utenti che hanno scaricato quelle app fraudolente hanno visto le loro credenziali di accesso a Poloniex compromesse e le loro criptovalute sono state rubate. Alcune app sono addirittura andate oltre richiedendo le credenziali di accesso degli account Gmail degli utenti. È importante sottolineare che sono stati compromessi solo gli account privi di autenticazione a due fattori (2FA).

I seguenti passaggi possono aiutarti a proteggerti da tali truffe.

  • Controlla il sito web ufficiale dell'exchange per verificare se offre effettivamente un'app di trading mobile. In tal caso, utilizzare il collegamento fornito sul loro sito Web.

  • Leggi le recensioni e le valutazioni. Le app fraudolente spesso hanno molte recensioni negative da parte di persone che si lamentano di essere state truffate, quindi assicurati di controllarle prima di scaricarle. Tuttavia, dovresti essere scettico anche nei confronti delle app che presentano valutazioni e commenti perfetti. Qualsiasi app legittima ha la sua giusta dose di recensioni negative.

  • Controlla le informazioni sullo sviluppatore dell'app. Verificare se vengono forniti un'azienda, un indirizzo e-mail e un sito Web legittimi. Dovresti anche eseguire una ricerca online sulle informazioni fornite per vedere se sono realmente correlate allo scambio ufficiale.

  • Controlla il numero di download. Dovrebbe essere considerato anche il conteggio dei download. È improbabile che uno scambio di criptovaluta molto popolare abbia un numero limitato di download.

  • Attiva 2FA sui tuoi account. Sebbene non sia sicura al 100%, la 2FA è molto più difficile da aggirare e può fare un'enorme differenza nella protezione dei tuoi fondi, anche se le tue credenziali di accesso vengono phishing.


App false per portafogli di criptovaluta

Esistono molti tipi diversi di app false. Una variante cerca di ottenere informazioni personali dagli utenti come le password del portafoglio e le chiavi private.

In alcuni casi, le app false forniscono agli utenti indirizzi pubblici generati in precedenza. Quindi presumono che i fondi debbano essere depositati in questi indirizzi. Tuttavia, non hanno accesso alle chiavi private e quindi non hanno accesso ai fondi che vengono loro inviati.

Tali portafogli falsi sono stati creati per criptovalute popolari come Ethereum e Neo e, sfortunatamente, molti utenti hanno perso i propri fondi. Ecco alcune misure preventive che possono essere adottate per evitare di diventare una vittima:

  • Le precauzioni evidenziate nel segmento dell'app di scambio sopra sono ugualmente applicabili. Tuttavia, un'ulteriore precauzione che puoi prendere quando hai a che fare con le app portafoglio è assicurarti che vengano generati nuovi indirizzi quando apri l'app per la prima volta e che tu sia in possesso delle chiavi private (o semi mnemonici). Un'app portafoglio legittima consente di esportare le chiavi private, ma è anche importante garantire che la generazione di nuove coppie di chiavi non venga compromessa. Quindi dovresti utilizzare un software affidabile (preferibilmente open source).

  • Anche se l'app ti fornisce una chiave privata (o seed), dovresti verificare se da essi è possibile derivare e accedere agli indirizzi pubblici. Ad esempio, alcuni portafogli Bitcoin consentono agli utenti di importare le proprie chiavi private o seed per visualizzare gli indirizzi e accedere ai fondi. Per ridurre al minimo i rischi che chiavi e seed vengano compromessi, è possibile eseguire questa operazione su un computer con air gap (disconnesso da Internet).


App di cryptojacking

Il cryptojacking è stato uno dei metodi preferiti dai criminali informatici a causa delle basse barriere all'ingresso e dei bassi costi generali richiesti. Inoltre, offre loro il potenziale per un reddito ricorrente a lungo termine. Nonostante la loro minore potenza di elaborazione rispetto ai PC, i dispositivi mobili stanno diventando sempre più bersaglio del cryptojacking.

Oltre al cryptojacking del browser web, i criminali informatici stanno anche sviluppando programmi che sembrano essere app di gioco, di utilità o educative legittime. Tuttavia, molte di queste app sono progettate per eseguire segretamente script di mining crittografico in background.

Esistono anche app di cryptojacking pubblicizzate come minatori legittimi di terze parti, ma i premi vengono consegnati allo sviluppatore dell'app anziché agli utenti.

A peggiorare le cose, i criminali informatici sono diventati sempre più sofisticati, implementando algoritmi di mining leggeri per evitare il rilevamento.

Il cryptojacking è incredibilmente dannoso per i tuoi dispositivi mobili poiché riducono le prestazioni e accelerano l'usura. Ancora peggio, potrebbero potenzialmente fungere da cavalli di Troia per malware più nefasti.

Per prevenirli è possibile adottare le seguenti misure.

  • Scarica solo app dagli store ufficiali, come Google Play. Le app piratate non vengono pre-scansionate e hanno maggiori probabilità di contenere script di cryptojacking.

  • Monitora il telefono per verificare che la batteria si scarichi o si surriscaldi eccessivamente. Una volta rilevato, termina le app che causano questo problema.

  • Mantieni aggiornati il ​​tuo dispositivo e le tue app in modo che le vulnerabilità della sicurezza vengano risolte.

  • Utilizza un browser web che protegga dal cryptojacking o installa plug-in del browser affidabili, come MinerBlock, NoCoin e Adblock.

  • Se possibile, installa un software antivirus mobile e mantienilo aggiornato.


Omaggi gratuiti e false app di mining di criptovalute

Si tratta di app che fingono di estrarre criptovalute per i propri utenti ma in realtà non fanno altro che visualizzare annunci pubblicitari. Incentivano gli utenti a mantenere aperte le app riflettendo un aumento dei premi dell'utente nel tempo. Alcune app incentivano addirittura gli utenti a lasciare valutazioni a 5 stelle per ottenere premi. Naturalmente, nessuna di queste app faceva effettivamente mining e i loro utenti non ricevevano mai alcun premio.

Per proteggersi da questa truffa, tieni presente che per la maggior parte delle criptovalute, il mining richiede hardware altamente specializzato (ASIC), il che significa che non è possibile eseguire il mining su un dispositivo mobile. Qualunque sia l'importo che estrai, nella migliore delle ipotesi sarebbe banale. Stai lontano da tali app.


App Clipper

Tali app alterano gli indirizzi di criptovaluta che copi e li sostituiscono con quelli dell'aggressore. Pertanto, mentre una vittima può copiare l'indirizzo corretto del destinatario, quello incollato per elaborare la transazione viene sostituito da quello dell'aggressore.

Per evitare di cadere vittima di tali app, ecco alcune precauzioni che puoi prendere durante l'elaborazione delle transazioni.

  • Controlla sempre due o tre volte l'indirizzo che stai incollando nel campo del destinatario. Le transazioni blockchain sono irreversibili, quindi dovresti sempre fare attenzione.

  • È meglio verificare l'intero indirizzo invece che solo alcune parti di esso. Alcune app sono abbastanza intelligenti da incollare indirizzi simili all'indirizzo desiderato.


Scambio SIM

In una truffa di scambio SIM, un criminale informatico riesce ad accedere al numero di telefono di un utente. Lo fanno impiegando tecniche di ingegneria sociale per indurre gli operatori di telefonia mobile a emettere loro una nuova carta SIM. La truffa più nota dello scambio di SIM ha coinvolto l'imprenditore di criptovaluta Michael Terpin. Ha affermato che AT&T è stata negligente nella gestione delle credenziali del suo telefono cellulare, con la conseguenza di perdere token per un valore di oltre 20 milioni di dollari USA.

Una volta che i criminali informatici hanno avuto accesso al tuo numero di telefono, possono utilizzarlo per aggirare qualsiasi 2FA che si basa su quello. Da lì, possono farsi strada nei tuoi portafogli e nei tuoi scambi di criptovaluta.

Un altro metodo che i criminali informatici possono utilizzare è monitorare le tue comunicazioni SMS. Difetti nelle reti di comunicazione possono consentire ai criminali di intercettare i tuoi messaggi che possono includere il PIN di secondo fattore che ti è stato inviato.

Ciò che rende questo attacco particolarmente preoccupante è che agli utenti non viene richiesto di intraprendere alcuna azione, come scaricare un software falso o fare clic su un collegamento dannoso.

Per evitare di cadere preda di tali truffe, ecco alcuni passaggi da considerare.

  • Non utilizzare il tuo numero di cellulare per SMS 2FA. Utilizza invece app come Google Authenticator o Authy per proteggere i tuoi account. I criminali informatici non sono in grado di accedere a queste app anche se possiedono il tuo numero di telefono. In alternativa, puoi utilizzare l'hardware 2FA come YubiKey o Titan Security Key di Google.

  • Non rivelare informazioni di identificazione personale sui social media, come il tuo numero di cellulare. I criminali informatici possono raccogliere tali informazioni e utilizzarle per impersonificarti altrove.

  • Non dovresti mai annunciare sui social media che possiedi criptovalute perché questo ti renderebbe un bersaglio. Oppure, se ti trovi nella posizione in cui tutti sanno già che li possiedi, evita di divulgare informazioni personali, inclusi gli scambi o i portafogli che utilizzi.

  • Prendi accordi con i tuoi operatori di telefonia mobile per proteggere il tuo account. Ciò potrebbe significare allegare un PIN o una password al tuo account e imporre che solo gli utenti a conoscenza del PIN possano apportare modifiche all'account. In alternativa, puoi richiedere che tali modifiche vengano apportate di persona e impedirle telefonicamente.


Wifi

I criminali informatici sono costantemente alla ricerca di punti di accesso ai dispositivi mobili, in particolare a quelli degli utenti di criptovaluta. Uno di questi punti di accesso è quello dell’accesso WiFi. Il WiFi pubblico non è sicuro e gli utenti dovrebbero prendere precauzioni prima di connettersi ad esso. In caso contrario, rischiano che i criminali informatici abbiano accesso ai dati sui loro dispositivi mobili. Queste precauzioni sono state trattate nell'articolo sul WiFi pubblico.


Pensieri conclusivi

I telefoni cellulari sono diventati una parte essenziale della nostra vita. In effetti, sono così intrecciati con la tua identità digitale che possono diventare la tua più grande vulnerabilità. I criminali informatici ne sono consapevoli e continueranno a trovare modi per sfruttarlo. Proteggere i tuoi dispositivi mobili non è più un optional. È diventata una necessità. Rimani al sicuro.