Crypto truffe e giveaway: i phisher vanno a caccia delle frasi di ripristino

Oggi vi spieghiamo come i truffatori rubano i crypto wallet attraverso tecniche di phishing.

Quando si tratta di rubare criptovalute, gli scammer non si fermano davanti a nulla. Alcuni cercano di vendere strumenti di mining, altri ingannano le loro vittime promettendo loro regali provenienti da exchange di criptovalute o da Elon Musk in persona, oppure pubblicano screenshot su piattaforme pubbliche contenenti le password dei crypto wallet e raccolgono “commissioni” dai cripto investitori allettati dalla prospettiva di un facile bottino. Oggi vi parliamo di una nuova truffa che coinvolge i giveaway (concorsi a premi e regali) e vi ricorderemo nuovamente perché la frase di ripristino del vostro cripto wallet deve essere custodita come se fosse oro.

Soldi gratis

Come spesso accade, tutto inizia con un’e-mail. Le menti che hanno progettato questa truffa hanno scelto come esca un succulento giveaway attraverso il quale è possibile vincere facilmente criptovalute: Bitcoin (BTC), Ethereum (ETH), Litecoin (LTC), Tron (TRX) o Ripple (XRP). In palio c’erano ben 800 milioni di dollari! I generosi truffatori sono stati così gentili da fornire una guida articolata in tre punti per coloro che desiderano partecipare all’estrazione di cripto monete. La guida include ovviamente il link al sito web della “promozione”.

Diamo un’occhiata all’e-mail! Il messaggio è firmato dal team di supporto di una certa Crypto Community: un’associazione di cripto-entusiasti, si potrebbe pensare. Tuttavia, il dominio dell’indirizzo e-mail del mittente non ha nulla a che fare con la crittografia e di certo non ispira fiducia. Il testo del messaggio è approssimativo e pieno di errori e refusi. Probabilmente i truffatori contano sul fatto che la vittima rimanga talmente sbalordita dalla somma a nove cifre del “premio” da far passare inosservato tutto il resto.

E-mail di phishing che invita il destinatario a partecipare a un giveaway grazie al quale è possibile vincere criptovalute

E-mail di phishing che invita il destinatario a partecipare a un giveaway grazie al quale è possibile vincere criptovalute

 

Cliccando sul link si accede a un sito di phishing. Il suo dominio non ha nulla a che vedere con l’indirizzo del mittente e nel design minimalista non c’è alcun riferimento alla Crypto Community.

A questo punto, alla vittima viene chiesto di specificare il portafoglio su cui vuole che i fondi vengano trasferiti. I criminali hanno incluso tutti i portafogli più comuni: Blockchain.com, Trust Wallet, MetaMask, Coinbase, Binance, Crypto.com e Exodus. Non sono stati esclusi nemmeno i portafogli più “esotici”: per loro è stato previsto un pulsante <em>Altri portafogli</em>. Facile da usare, non è vero?

La vittima è invitata a scegliere una cripto moneta per il trasferimento del premio promesso

La vittima è invitata a scegliere una cripto moneta per il trasferimento del premio promesso

 

Passiamo ora alla parte più interessante: per ottenere il premio tanto ambito, l’utente deve inserire una serie di parole segrete,  ovvero la seed phrase (la frase di ripristino associata al wallet). Una volta compilati i campi e cliccato sul pulsante <em>Avanti</em>, sullo schermo appare una notifica che indica che tutto è andato a buon fine e che le criptovalute verranno versate sul conto del fortunato vincitore entro 24 ore.

È interessante osservare che il sito non prevede controlli: se vengono inserite parole a caso o addirittura numeri (che non possono assolutamente far parte di una seed phrase), il sito riporta comunque un trasferimento riuscito. Naturalmente, se viene digitata la vera frase di ripristino, la vittima, lungi dal ricevere un premio, verrà probabilmente privata di tutti i suoi risparmi.

Indipendentemente dalla sequenza di parole e numeri, il trasferimento avrà un esito "positivo".]

Indipendentemente dalla sequenza di parole e numeri, il trasferimento avrà un esito “positivo”.]

 

Seed phrase, ovvero la chiave che apre tutte le porte

I truffatori contano sul fatto che le persone sono solitamente molto protettive nei confronti delle informazioni che danno accesso ai loro crypto wallet; purtroppo però molti non si rendono conto che anche la seed phrase è da proteggere e quando gli si offre un premio, non riflettono molto prima di inserirla su un sito web.

In realtà, la frase di ripristino non è meno preziosa di molte altre password o informazioni confidenziali. Con essa, un hacker può generare una nuova password o chiave privata e quindi accedere al portafoglio della vittima. In altre parole, la frase di ripristino offre effettivamente le stesse opportunità di saccheggio dei vostri risparmi della password originale. Ciò significa che dovete proteggere la prima da occhi e orecchie indiscrete con la stessa cura della seconda.

Come proteggere le vostre cripto finanze

Per concludere, ecco alcuni consigli per evitare di cadere vittima delle crypto truffe:

Mantenete segreta la vostra seed phrase. Non rivelatela mai a nessuno e inseritela solo per recuperare l’accesso al vostro portafoglio. Non salvate la frase di recupero su pagine o servizi pubblici di condivisione di file, né inviatela tramite app di messaggistica istantanea o via e-mail.

Non cliccate sui link contenuti in e-mail riguardanti giveaway, concorsi a premi, regali, account sospesi o chiusure di conti bancari. È molto probabile che tali e-mail provengano da criminali informatici. Seguite i nostri consigli per imparare a riconoscere i truffatori online.

Utilizzate una soluzione di sicurezza affidabile che vi avverta tempestivamente delle pagine di phishing e vi impedisca di fornire informazioni sensibili ai malintenzionati.

 

Consigli