C’è allarme per alcune app fasulle di criptovalute sfruttate dai cyber criminali per derubare ignari investitori. L’allerta è stata lanciata dall’FBI, ma l’allarme è globale e non riguarda solo gli USA.
“Non si tratta di nulla di particolarmente innovativo”, commenta Pierguido Iezzi, CEO di Swascan: “alla fine il social engineering è forse la tecnica più ‘antica’ di cyber attacco in circolazione”. Inoltre, continua l’analista, l’uso delle “criptovalute come leva non è necessariamente una novità assoluta”. Tuttavia, stare in guardia ed essere consapevoli dei rischi è sempre positivo, anche perché “questo schema, nel dettaglio, è probabilmente più targhettizzato di altri”, sottolinea Iezzi.
Ecco i consigli per proteggersi dai furti dai crypto wallet.
Indice degli argomenti
Allarme app fasulle di criptovalute
In questa nuova campagna malevola, i cyber criminali hanno già afflitto 244 vittime, con un bottino che ammonta a circa 42,7 milioni di dollari.
Ecco lo schema di attacco. Gli attori del cyber crimine operano sotto il nome di Yibit (fra ottobre 2021 e maggio 2022) e Supayos aka Supay (novembre 2021). Contattano gli investitori per offrire legittimi servizi di investimenti in criptomonete. A quel punto li convincono a effettuare il download di false app di criptovalute e a depositare i loro depositi nei wallet fasulli, con gli account associati. In pratica, in questa nuova forma di social engineering i cyber criminali interpretano il ruolo di crypto exchange o quello dello staff di supporto a piattaforme di pagamento.
Questo schema di attacco, come anticipava prima Iezzi, è “probabilmente più targhettizzato di altri visto che prevede un’infrastruttura di fake app e di finto customer care: ciononostante presenta segnali ben riconoscibili – a un occhio attento – di tentativo di scam”.
Inoltre, “il social engineering ha resistito così tanto e continua a essere temibile per la sua semplicità e soprattutto perché ricade prettamente nella sfera umana”, evidenzia ancora l’esperto di cyber security.
“Promesse di facili guadagni, urgenze, possibilità d’incorrere in penali: sono tutte esche valide, costruite dai criminal hacker per creare una risposta emotiva da parte della potenziale vittima così da poter abbassare il livello di attenzione”, mette in guardia Iezzi.
I consigli per proteggersi dai furti
Ancora una volta i virtual asset sono nel mirino del cybercrime. Ecco come proteggersi dai furti.
“Fortunatamente c’è un antidoto a questo tipo di attacchi“, conclude Iezzi: “awareness e formazione. La conoscenza è l’arma più forte che abbiamo per sconfiggere il social engineering. Sia a livello privato che a livello aziendale non dobbiamo mai sottovalutare il ruolo che riveste la formazione nella costruzione di un perimetro di resistenza e resilienza cyber”.
Innanzitutto, occorre proteggere i clienti con soluzioni proattive. Le istituzioni finanziarie devono informare i clienti, offrendo loro metodi e servizi per distinguere le comunicazioni legittime da quelle fasulle e pericolose.
Solo le istituzioni legittime devono informare i clienti devono dell’esistenza di mobile app legittime. Inoltre, chi opera nel mercato di Bitcoin e crypto deve periodicamente verificare online se sul Web appaiono logo e siti associati ad attività fraudolente.
Gli investitori invece devono prestare grande attenzione alle richieste: devono scaricare le app solo dai marketplace ufficiali, ma solo dopo aver verificato che si tratta di applicazioni legittime. Non devono fidarsi di persone della cui identità non sono in grado di accertarsi con sicurezza.
Infine, devono essere scettici su app con funzionalità limitate o non funzionanti o con refusi: le app vanno sempre verificate con ragionevole certezza.
