Lo scorso venerdì sera, alcuni truffatori di criptovalute hanno commesso una violazione ai danni del sito web della Lego, per spingere un falso token Lego acquistabile con Ethereum.
Le cripto truffe sono, infatti, sempre più diffuse. “Questo attacco al sito Lego è interessante”, commenta Paolo Dal Checco, informatico forense, “perché mostra innanzitutto che chi ha compromesso il sito non ha trovato il modo di sfruttare l’ingresso per attività più redditizie rispetto alla pubblicazione di un Token che hanno acquistato in pochi“.
Ecco come proteggersi.
Indice degli argomenti
Lego: hacking per favorire cripto truffe
Lego ha confermato la violazione. Tuttavia, non ha voluto condividere i dettagli su come gli attori delle minacce abbiano avuto accesso al suo sito web.
“Il 5 ottobre 2024, un banner non autorizzato è apparso brevemente su Lego.com. È stato rapidamente rimosso e il problema è stato risolto”, ha dichiarato Lego a BleepingComputer.
Durante la violazione, l’hacker ha sostituito il banner principale del sito ufficiale della Lego con un’immagine che mostrava i token della criptovaluta con il logo “Lego” e un testo che diceva: “La nostra nuova moneta Lego è ufficialmente uscita! Acquista oggi la nuova Lego Coin e sblocca i premi segreti!”.
La violazione sarebbe durata circa 75 minuti, prima del ripristino.
“Ad oggi, infatti, il finto token Lego generato tramite smart contract 0x9bc781476865F720775B481A169eb1528c561650, ha movimentato poche centinaia di dollari con soltanto 5 utenti, probabilmente a causa dei soli 75 minuti durante il quale il banner è rimasto pubblicato sulla homepage”, conferma Dal Checco.
L’anomalia nell’attacco
A differenza di molte truffe di criptovalute, questa non promuoveva un sito malevolo con un prosciugatore di criptovalute che rubava le risorse quando si collegava il portafoglio.
Invece, cliccando sul link “Acquista ora” i visitatori venivano indirizzati alla piattaforma di criptovalute Uniswap, dove era possibile acquistare il token della truffa Lego utilizzando Ethereum.
“Il fatto che non sia avvenuta sottrazione di dati personali e avvio di azioni di estorsione nei confronti della Lego o dei suoi clienti/fornitori”, evidenzia Dal Checco, “indica che – con buona probabilità – l’attacco perpetrato nei confronti del sito web non ha potuto estendersi anche al database, lasciando quindi i criminali a bocca asciutta, dato che certamente avrebbero preferito agire diversamente, causando quindi data breach e problemi annessi”.
Infatti, “la società, tra l’altro, ha confermato che non è avvenuta compromissione di account utente”. Dunque “i clienti possono continuare ad acquistare come di consueto, avendo tra l’altro identificato la causa della compromissione e preso le contromisure necessari per evitare che un episodio simile accada di nuovo”, avverte Dal Checco.
I dettagli della violazione ai danni del sito web di Lego
Nel complesso, l’attacco è stato un fallimento: solo poche persone hanno acquistato il token LEGO per poche centinaia di dollari.
“Possiamo quindi ipotizzare che l’attacco sia avvenuto soltanto sulla parte di gestione del sito web, in sostanza nel frontend sull’area hosting, senza accesso a backend o database”, sottolinea Dal Checco, “permettendo ai delinquenti di modificare tramite una sorta di ‘defacing’ il sito senza poter andare oltre“.
Per un sito di così alto profilo come Lego è sorprendente che gli attori della minaccia abbiano sprecato il loro accesso per una truffa di criptovaluta.
Come difendersi dalle cripto truffe
Le violazioni dei siti web avvengono, più comunemente, per iniettare JavaScript malevoli nelle pagine web, per rubare furtivamente informazioni sui clienti e sulle carte di credito.
Infatti, “rimane in ogni caso anomalo che gli attaccanti non abbiano tentato di utilizzare la compromissione per iniettare nel sito JavaScript malevoli, finalizzati per esempio a rubare credenziali o numeri di carte di credito agli utenti”, mette in evidenza Dal Checco, “probabilmente sapevano che i webmaster avrebbero posto rimedio in pochi minuti e hanno ritenuto più conveniente creare un falso token e provare a venderlo piuttosto che ottenere qualche credenziale“.
Questi dati permettono infatti di estorcere alle aziende pagamenti elevati, venduti su mercati darknet o impiegati per effettuare acquisti fraudolenti online.
“Lo scenario aperto da questo attacco solleva diverse questioni sui token, che possono essere generati da chiunque anche utilizzando nomi di terzi – privati o società – che però nulla hanno a che fare con la loro creazione”, mette in guardia Dal Checco.
Questo anomalo attacco ci impartisce alcune lezioni, oltre a rafforzare la consapevolezza in ambito cyber.
“È sempre importante, quindi, verificare che i token che si desidera acquistare abbiano una storicità, un market cap e un’attendibilità sufficiente per poterli qualificare come ‘originali’, soprattutto se vengono presentati come token prodotti da società, enti, privati”, avverte l’informatico forense da CyberSecurity360 contattato.
“Siti come CoinMarketCap forniscono, per i vari token, delle analisi sul codice sorgente, sulla quantità di fondi scambiati, sugli incassi e sull’attendibilità, in modo da dare agli utenti indicazioni utili prima di procedere con l’acquisto”, conclude Dal Checco: dunque, “è sempre consigliabile, prima di acquistare nuove cryptocurrency, verificare tali informazioni“.
