Le Truffe più Comuni su Dispositivi Mobili

Condividi
Le Truffe più Comuni su Dispositivi Mobili
Ascolta questo articolo
00:00 / 00:00

Articolo della Comunità - Autore: WhoTookMyCrypto.com

Il 2017 è stato un anno straordinario per il settore delle criptovalute, grazie al rapido aumento nelle valutazioni che le ha catapultate nei media più diffusi. Com’era prevedibile, questo ha suscitato un enorme interesse sia da parte del pubblico generale che dai criminali informatici. La relativa anonimità offerta dalle criptovalute le ha rese uno strumento molto diffuso tra criminali che spesso le usano per bypassare i sistemi bancari tradizionali ed evitare il controllo finanziario dei regolatori.

Considerando che in media si spende più tempo sugli smartphone piuttosto che sui computer, non sorprende che anche i criminali informatici abbiano volto l’attenzione verso di essi. Quanto descritto di seguito mette in evidenza i modi in cui i truffatori stanno prendendo di mira gli utenti di criptovalute attraverso i loro dispositivi mobili, insieme ad alcune misure da adottare per proteggersi.


Finte app di criptovalute

Finte app per exchange di criptovalute

L’esempio più noto di una finta app per exchange di criptovalute è probabilmente il caso di Poloniex. Prima del lancio della loro app ufficiale per il trading da mobile a Luglio 2018, Google Play presentava già un elenco di numerose app fasulle che si spacciavano per l’exchange Poloniex, progettate intenzionalmente per essere funzionali. Diversi utenti che hanno scaricato queste app fraudolente hanno visto le loro credenziali d’accesso compromesse, e le loro criptovalute rubate. Alcune app richiedevano addirittura le credenziali d’accesso all’account Gmail dell’utente. E’ importante evidenziare che solo gli account senza autenticazione a due fattori (2FA) sono stati compromessi.

Queste misure possono aiutare a proteggerti da truffe di questo tipo.

  • Controlla il sito web ufficiale dell’exchange per verificare se esiste davvero un’app per il trading da mobile. Se sì, usa il link riportato sul sito.

  • Leggi le recensioni e controlla le valutazioni. Le app fraudolente hanno spesso diverse recensioni negative e persone che si lamentano di essere state truffate, quindi assicurati di dare un’occhiata prima di scaricare. Tuttavia, dovresti essere scettico anche delle app che presentano valutazioni e commenti perfetti. Qualsiasi app legittima ha la sua buona dose di recensioni negative.

  • Controlla le informazioni sullo sviluppatore della app. Guarda se vengono forniti un sito web, un indirizzo email e un nome legittimi. Fai una ricerca online su queste informazioni per vedere se sono davvero collegate all’exchange ufficiale.

  • Controlla il numero di download. Il conteggio dei download va sempre considerato. E’ poco probabile che un exchange di criptovalute molto utilizzato abbia un basso numero di download.

  • Attiva la 2FA sui tuoi account. Anche se non è sicura al 100%, la 2FA è molto più difficile da bypassare e può fare un’enorme differenza nella protezione dei tuoi fondi, anche nel caso in cui le tue credenziali d’accesso cadano preda di phishing.


Finte app per wallet di criptovalute

Ci sono molti tipi diversi di app fraudolente. Una variazione cerca di ottenere informazioni personali come password e chiavi private di wallet.

In alcuni casi, le app finte forniscono agli utenti indirizzi pubblici generati in precedenza. Quindi questi credono che i fondi vengano depositati in questi indirizzi. Tuttavia, non possiedono le chiavi private e non possono di conseguenza accedere ai fondi ad essi inviati.

Finti wallet di questo tipo sono stati creati per criptovalute popolari come Ethereum e Neo, e purtroppo molti utenti hanno perso i propri fondi. Ecco alcune misure preventive da adottare per non caderne vittima:

  • Le precauzioni descritte nel segmento sulle app di exchange sono applicabili anche in questo caso. Tuttavia, una precauzione aggiuntiva da prendere quando si tratta di app wallet è assicurarsi che vengano generati indirizzi nuovi alla prima apertura dell’app, e di essere in possesso delle chiavi private (o mnemonic seed). Una app wallet legittima ti permette di esportare le chiavi private, ma è anche importante assicurarsi che la generazione di nuove coppie di chiavi non sia compromessa. Per questo si dovrebbe utilizzare un software affidabile (preferibilmente open source).

  • Anche se l’app fornisce una chiave privata (o seed), dovresti verificare se gli indirizzi pubblici possono essere derivati o accessibili da essa. Per esempio, alcuni wallet per Bitcoin permettono agli utenti di importare le proprie chiavi private o seed per visualizzare gli indirizzi e accedere ai fondi. Per minimizzare i rischi di compromissione delle chiavi o dei seed, puoi svolgere questo processo su un computer air-gap(non connesso a internet).


App di cryptojacking

Il Cryptojacking è molto utilizzato dai criminali informatici per via delle basse barriere all’ingresso e ai costi generali piuttosto contenuti. Inoltre, offre il potenziale di un reddito costante a lungo termine. Nonostante la potenza di calcolo minore rispetto ai PC, i dispositivi mobili stanno diventando sempre più un obiettivo del cryptojacking.

Oltre al cryptojacking su browser per il web, i criminali informatici stanno sviluppando programmi che sembrano all’apparenza app di giochi, utilità o educazione legittime. Tuttavia, molte di queste sono progettate per eseguire in segreto degli script di crypto-mining in background.

Ci sono anche app di cryptojacking che vengono pubblicizzate come miner di terze parti legittimi, ma le ricompense vengono inviate allo sviluppatore dell’app invece degli utenti.

A complicare la situazione, i criminali sono diventati sempre più sofisticati, impiegando algoritmi di mining leggeri per evitare di essere scoperti.

Il cryptojacking è incredibilmente dannoso per i tuoi dispositivi mobili, in quanto degrada le prestazioni e accelera il deterioramento. Peggio ancora, potrebbero agire da Trojan per malware peggiori.

Le seguenti misure aiutano a difendersi da queste app.

  • Scarica solo app da store ufficiali, come Google Play. Le app piratate non sono state controllate e hanno maggiori probabilità di contenere script di cryptojacking.

  • Controlla il tuo smartphone per surriscaldamento o esaurimento della batteria eccessivi. Una volta rilevati, termina le app che li stanno causando.

  • Mantieni il tuo dispositivo e le app aggiornate per ricevere le patch sulle vulnerabilità di sicurezza.

  • Usa uno web browser che protegge dal cryptojacking o installa plug-in browser affidabili, come MinerBlock, NoCoin e AdBlock.

  • Se possibile, installa un software antivirus per mobile e tienilo aggiornato.


App per giveaway e finti crypto-miner

Queste sono app che fingono il mining di criptovalute per i propri utenti quando in realtà non fanno nulla a parte mostrare pubblicità. Incoraggiano gli utenti a tenere aperta l’app mostrando un aumento graduale nelle ricompense col passare del tempo. Alcune app incentivano gli utenti a lasciare valutazioni da 5 stelle per ricevere ricompense. Ovviamente, nessuna di queste app sta effettivamente facendo mining, e gli utenti non ricevono mai i premi pubblicizzati.

Per proteggersi da queste truffe, è necessario tenere a mente che, per la grande maggioranza delle criptovalute, il mining richiede hardware altamente specializzato (ASIC), quindi non è possibile minare su un dispositivo mobile. L’importo che riusciresti a ottenere sarebbe insignificante, se non inesistente. Stai alla larga da questo tipo di app.


Clipper app

Queste app modificano gli indirizzi per criptovalute che copi sostituendoli con quelli dell’attaccante. Quindi, anche se la vittima copia l’indirizzo destinataria corretto, quello che incolla per elaborare la transazione viene sostituito da uno di proprietà dell’attaccante.

Per non cadere vittima di app di questo tipo, ecco alcune precauzioni da seguire quando esegui transazioni.

  • Controlla e ricontrolla sempre l’indirizzo che stai incollando nel campo del destinatario. Le transazioni blockchain sono irreversibili, pertanto è bene fare molta attenzione. 

  • E’ meglio verificare l’intero indirizzo, non solo delle parti. Alcune app sono abbastanza intelligenti da incollare indirizzi che sembrano simili all’indirizzo originale.


SIM swapping

In una truffa che coinvolge il SIM swapping, un criminale ottiene l’accesso al numero di telefono di un utente, in genere attraverso tecniche di social engineering per ingannare operatori telefonici in modo da farsi inviare una nuova scheda SIM. La truffa di SIM swapping più nota ha colpito l’imprenditore in criptovalute Michael Terpin. A quanto affermato, AT&T è stata negligente nella gestione delle sue credenziali mobili, portando alla perdita di token per un valore equivalente a 20 milioni di USD.

Quando i criminali informatici hanno ottenuto l’accesso al tuo numero di telefono, possono usarlo per bypassare qualsiasi 2FA ad esso associata. A questo punto, possono accedere a wallet e account su exchange di criptovalute.

Un altro metodo impiegato dai criminali informatici è il monitoraggio delle comunicazioni via SMS. Dei punti deboli nelle reti di comunicazione possono consentire ai criminali di intercettare messaggi che potrebbero contenere codici di autenticazione.

Ciò che rende questo attacco particolarmente preoccupante è il fatto che gli utenti non devono effettuare alcuna azione, come scaricare un software fasullo o cliccare un link maligno.

Per evitare queste truffe, si consiglia di adottare queste misure.

  • Non usare il tuo numero di cellulare per la 2FA via SMS. Al suo posto, usare app come Google Authenticator o Authy per proteggere i tuoi account. I criminali informatici non possono accedere a queste app anche se entrano in possesso del tuo numero di telefono. In alternativa, puoi usare un hardware per la 2FA come YubiKey o la Titan Security Key di Google.

  • Non rivelare informazioni personali, come il tuo numero di telefono, su social media. I criminali informatici possono raccogliere queste informazioni e usarle per impersonarti da qualche altra parte.

  • Affermare di possedere criptovalute su social media significa diventare un obiettivo. Se ti trovi in una posizione in cui tutti sanno già che ne possiedi, evita di rivelare informazioni personali, inclusi gli exchange o gli wallet che usi.

  • Dai disposizioni al tuo operatore mobile per proteggere il tuo account. Questo può significare associare un codice o una password al tuo account e indicare che solo gli utenti che conoscono il codice possono fare modifiche. In alternativa, puoi richiedere che queste modifiche siano possibili soltanto di persona e non consentirle via telefono.


WiFi

I criminali informatici sono alla costante ricerca di punti d’accesso a dispositivi mobili, soprattutto quelli in mano a utenti di criptovalute. Uno di questi punti d’accesso è il WiFi. Le reti WiFi pubbliche non sono sicure ed è necessario prendere le dovute precauzioni prima di connettersi. Altrimenti, si rischia di scoprire un punto debole che gli attaccanti possono sfruttare per accedere ai dati sui dispositivi mobili. Queste precauzioni sono già state descritte nell’articolo sull reti WiFi pubbliche.


In chiusura

I telefoni cellulari sono diventati una parte essenziale delle nostre vite. Infatti, sono così intrecciati con l’identità digitale dell’utente da diventare la sua più grande vulnerabilità. I criminali informatici lo sanno molto bene e continueranno a trovare nuovi modi per trarne vantaggio. Proteggere i propri dispositivi mobili non è più opzionale. E’ diventato una necessità. Stai attento.

Loading