L’ecosistema Web3 ha continuato a crescere a un ritmo insondabile negli ultimi due anni, con alcuni studi che suggeriscono che entro la fine del prossimo anno, questo spazio in rapida evoluzione varrà 6 trilioni di dollari, in crescita con un CAGR del 44,6% tra dal 2023 al 2030. Tuttavia, non manca una buona dose di problemi in ambito di sicurezza, in particolare con riferimento agli attacchi di phishing, che sono aumentati drasticamente negli ultimi mesi.
Nella sua accezione più elementare, un attacco di phishing è un tipo di frode online che induce utenti ignari a rivelare i loro dati privati sensibili, come password, numeri di carte di credito, ecc., a criminali informatici che si atteggiano a fonti attendibili. Questi schemi possono avvenire in diversi modi tra cui attraverso e-mail, social media o siti web dannosi.
A questo proposito, un rapporto pubblicato dalla famosa società di sicurezza blockchain Certik rileva che solo nel secondo trimestre del 2022, gli attacchi di phishing all’interno dell’arena Web3 sono aumentati del 170% rispetto al trimestre precedente, con la maggior parte degli hacker che sfruttano le piattaforme dei social media degli utenti per facilitare le loro attività illegali. Non solo, tra aprile e giugno di quest’anno sono state individuate un totale di 290 campagne di phishing, una cifra decisamente superiore ai 106 attacchi avvenuti solo pochi mesi prima.
Infine, lo studio afferma che nella prima metà del 2022 vari hack ed exploit sono stati compromessi per oltre 2 miliardi di dollari. In prospettiva, questa cifra è già superiore al volume totale di fondi persi durante tutto il 2021. I ricercatori ritengono inoltre che questo numero continuerà a salire nel breve e medio termine.
Il phishing rimane la forma più popolare di attacco informatico
Secondo la società di sicurezza informatica Web3 TRM Labs, le risorse crittografiche e i token non fungibili (NFT) continuano a essere gli obiettivi più popolari per gli hacker, tanto che solo tra giugno e luglio di quest’anno, il mercato NFT ha assistito ad attacchi/truffe di phishing per oltre 22 milioni di dollari. Una delle tante vittime di questi attacchi includeva l’attore Seth Green, che ha perso quattro NFT – incluso Bored Ape # 8398 – suggerendo che tutti sono sensibili a questi stratagemmi.
Il phishing rimane il primo vettore di attacco per la maggior parte degli hacker perché è progettato per manipolare psicologicamente gli utenti, in particolare gli individui che non sono esperti nella sicurezza informatica di oggi.
A questo punto, la maggior parte delle truffe di phishing utilizza tattiche di ingegneria sociale in cui gli hacker inviano messaggi alle loro potenziali vittime. Normalmente si propone il lancio di token redditizio per assicurarsi violazione dell’account, progetti moonshot che possono consentire di massimizzare il proprio capitale in pochi giorni, ecc. Inoltre, la stragrande maggioranza di questi messaggi richiede agli utenti di agire entro una finestra temporale predeterminata, riproducendo così l’elemento della FOMO (paura di perdere l’occasione) nelle menti delle vittime.
Tipi di phishing sul mercato
Airdrops (che sembrano troppo belli per essere veri)
In sostanza, gli airdrop sono strumenti promozionali che molte aziende implementano per convincere le persone a utilizzare i loro servizi. Poiché forniscono ai firmatari denaro gratuito, sono diventati estremamente popolari tra gli appassionati di criptovalute negli ultimi due anni.
Con questo in mente, non c’è da meravigliarsi se gli airdrop sono le strade principali per eseguire stratagemmi di phishing. Ad esempio, gli hacker possono inviare messaggi a individui ignari, dicendo loro che i loro portafogli sono stati accreditati con una particolare risorsa digitale. Una volta che la vittima viene attirata, viene reindirizzata a una piattaforma di trading dove deve collegare i propri portafogli. Tuttavia, non appena ciò accade, gli hacker possono rubare i fondi.
Frode sociale + clone di phishing
Come sottolineato in precedenza, il mezzo più comune per eseguire un attacco di phishing è l’utilizzo di e-mail e URL falsi. Poiché l’ecosistema Web3 è ancora relativamente giovane, è pieno di falsi siti web fraudolenti ma realistici, account di social media imitatori e altro ancora. Pertanto, è fondamentale che gli utenti non rispondano a messaggi non richiesti, indipendentemente da quanto possano sembrare allettanti o reali.
A questo proposito, va sottolineato che alla fine dell’anno scorso, un dipendente che lavorava per l’importante piattaforma di trading di criptovalute bZx ha aperto una mail di phishing che è costata alla sua azienda ben 55 milioni di dollari.
Clickjacking
Chiamato anche “Ice Phishing”, questo è uno schema elaborato in cui gli hacker devono apportare modifiche all’interfaccia utente dello smart contract di una piattaforma, principalmente iniettandovi uno script dannoso. Di conseguenza, gli utenti inviano inconsapevolmente fondi all’indirizzo del portafoglio sbagliato.
Phishing con seed phrase
Come la maggior parte degli utenti di criptovalute sa, una seed phrase è un insieme di parole casuali che funge da sorta di “chiave principale”, consentendo a chiunque le possieda di accedere alle risorse di una persona. Negli ultimi mesi, sempre più hacker hanno iniziato a utilizzare nuovi mezzi (come siti web imitatori, estensioni del browser false, ecc.) per estrarre le seed phrases degli utenti. Una volta ottenute, possono immediatamente svuotare il portafoglio della vittima.
Capire come proteggersi
Per proteggersi dagli attacchi di phishing, gli utenti non devono rispondere a e-mail, SMS o altri messaggi di terze parti (ricevuti tramite Telegram, Whatsapp, ecc.) da una fonte sconosciuta. Inoltre, gli utenti non devono mai fornire le proprie credenziali o informazioni personali in risposta a questi messaggi poiché la maggior parte delle società di crittografia affidabili non chiederà mai ai propri clienti tali dettagli.
È anche nell’interesse dei proprietari di criptovalute evitare di condividere le proprie credenziali o informazioni personali quando si utilizza una rete WiFi pubblica o condivisa. Un’altra buona pratica è evitare il falso senso di sicurezza se si utilizza un particolare sistema operativo o smartphone pubblicizzato come “non hackerabile”. Che si utilizzi un iPhone, Linux, Mac o iOS, il problema non sono il dispositivo o il sistema operativo stesso, ma il sito web in questione.
Guardando avanti
Anche se l’ecosistema Web3 diventasse più resistente agli attacchi di phishing, gli hacker troveranno comunque nuovi modi per facilitare le loro azioni. Pertanto, è nel migliore interesse degli utenti di criptovalute diffidare delle varie tattiche impiegate dagli hacker, nonché dovere delle società di sicurezza informatica educare le masse a mitigare problemi futuri.
Vuoi scoprire i migliori trade dei nostri professionisti? Per Natale ti offriamo la possibilità di abbonarti alla nostra Newsletter 4 in 1 con il 50% DI SCONTO. E le prime due settimane sono GRATIS! Scopri di più