LE NEWS SU ETHEREUM IN ITALIA

Menu
Home » SCAM criptovalute » 10 semplici trucchi che gli hacker utilizzano per rubare le tue cripto – Come difendersi

10 semplici trucchi che gli hacker utilizzano per rubare le tue cripto – Come difendersi

08 gennaio 2018 13:00
Tempo di lettura: 6 min.
08 gennaio 2018 13:00
Emanuele

Oggi parleremo di furti di criptovalute dato che si tratta di un tema molto importante e il più delle volte anche preoccupante.

Se hai mai provato un qualsiasi servizio di criptovalute, avrai passato noiosi controlli di sicurezza che includono frasi e lunghi codici complessi da ricordare o conservare in modo sicuro da qualche parte. Sì, hai il controllo delle tue risorse ma il prezzo da pagare è che devi prenderti carico della tua sicurezza. E dal momento che molte persone non sono esperte, sono molto spesso esposte. Sono sempre stupito nel vedere quante persone, anche quelle esperte di tecnologia, non adottano misure di sicurezza di base.

A dirla tutta sei a rischio anche con un Portafoglio Hardware super sicuro, che oggi è considerato il top per la sicurezza. In effetti la maggior parte dei problemi si verifica nei “punti di connessione” con il tuo portafoglio, non nel portafoglio stesso. Ciò che è a rischio non è necessariamente il tuo setup ma la tua attenzione.

Come agisce un hacker

Ecco alcuni trucchi che gli hacker amano utilizzare per rubare le tue chiavi private (le informazioni necessarie per rubare i tuoi averi criptati) o anche per ingannarti nel collegare monete o token alla destinazione sbagliata.

  1. Copia e incolla:

Vedi un a cui vuoi inviare alcuni ethereum ad esempio. Copi e incolli l’indirizzo nel tuo portafoglio. Sarebbe tutto corretto, se non fosse che esistono cose come CryptoShuffler, un piccolo programma che sostituirà l’indirizzo che hai appena copiato con un altro che non ha nulla a che fare con l’originale. Funzionerebbe con qualsiasi tipo di password, inclusa la copia del pass master per il tuo gestore di password.

Suggerimento 1: so che è doloroso ma verifica l’indirizzo dopo averlo incollato. Usa il codice QR se sai qual’è.

Suggerimento n. 2: non installare software fuffa o app di cui non si è sicuri. Esegui regolarmente un anti malware sul tuo computer (Bitdefender, MalwareByte) per pulire il tuo computer.

Suggerimento pro n. 2: utilizzare un ENS ufficiale (leggi altro più avanti) invece di un indirizzo non verificabile maggiormente incline all’errore. Alcuni sono economici da comprare, altri no. Ma è il prezzo per la pace della mente.

  1. App mobili hackerate

Gli hacker possono pubblicare app di trading false che permettono di acquistare cripto su un exchange (ad es. Poloniex) che in realtà non portano all’exchange ufficiale…stai solo inviando denaro a un account fittizio di hacker.

Generalmente Android è più soggetto ad attacchi hacker (più di iOS). Devi stare attento a ciò che installi e assicurati di pulire periodicamente il tuo dispositivo da qualsiasi app spazzatura.

Suggerimenti: E’ ovvio (ma non per tutti), è necessario proteggere i dispositivi con un PIN, Touch ID e / o FaceID, aggiungere l’autenticazione di verifica a 2 fattori (2FA) a qualsiasi app che hai abilitato al trading ed evitare di scaricare spazzatura.

  1. I bot di Slack

I bot su Slack sono una piaga. Vengono avvisati tutti i partecipanti alla chat di un problema di sicurezza relativo al proprio portafoglio (che ovviamente non esiste) a quel punto viene solitamente fornito un URL tramite il quale ti chiederanno la del wallet (fornendo il completo controllo sulle proprie cripto). Da non toccare assolutamente.

Suggerimento: ignorare i bot su Slack. Segnalali quando vieni contattato. Utilizza anche Metacert per proteggere i tuoi canali slack.

  1. Estensioni del browser

Alcune estensioni assicurano che miglioreranno la tua esperienza utente sui siti di trading. L’unico problema è che sono in grado di leggere in tempo reale tutto quello che digiti. Utilizza i metodi classici di battitura, sarai più sicuro.

Suggerimento: NON scaricare estensioni per le criptovalute. Naviga in “Modalità privata” dove solitamente le estensioni sono disabilitate. O utilizza un nuovo browser solo per questo. Puoi dare un’occhiata a Brave che è un browser nativo con portafoglio incorporato.

  1. Siti Web clonati

Si inizia a digitare l’URL di un sito Web, a quel punto la barra degli URL (che è stata manomessa) punterà a un sito Web molto simile con lo stesso aspetto e il medesimo logo. Attento.

 

 

Suggerimento: cerca sempre il certificato https, in più utilizza  l’estensione Cryptonite per Chrome / Firefox che può evidenziare URL falsi.

  1. Pubblicità falsa su Google/SEO

E’ una tecnica conosciuta. Stai cercando i tuoi siti di criptovalute preferiti (o meno) su Google, gli hacker acquistano URL simili a quelli dei risultati più pagati (o organici) e ti indurranno invece a visitare il loro sito.

Suggerimento> leggi attentamente l’URL dopo il clic.

  1. Account social fasulli

Attenzione, segui solamente account verificati o semplicemente clicca sui link social dai siti web ufficiali del servizio che si desidera seguire. Non fidarti di nessun’altra fonte, nemmeno gli algoritmi di raccomandazione su Twitter / Facebook che potrebbero spingere nuovi account falsi.

8. Mobile SMS 2FA

Questo è un problema molto conosciuto. I servizi sono soliti chiedere il tuo numero di cellulare per registrarsi o attivare il 2FA (sicurezza a due fattori), purtroppo, specialmente negli Stati Uniti, alcuni hacker hanno molto talento nel prendere in giro il team di supporto degli operatori mobili e ottenere le tue credenziali così da accedere a qualsiasi account collegato al tuo telefonino.

Suggerimento: chiedi al tuo operatore come è protetto il tuo telefono

Suggerimento n. 2: mai MAI utilizzare alcun servizio che richiede il tuo numero di telefono e non impostare mai 2FA con SMS (utilizzare invece una soluzione software)

  1. E-mail di phishing

Ricevi un’email che apparentemente proviene da un servizio che conosci, ma non è così. Useranno esattamente lo stesso formato, modello, design. Molte volte il servizio non ha nemmeno la tua email, ma non importa, non te lo ricorderai. Ricorda, non cliccare ciecamente.

 

 

Suggerimento: fai attenzione ai link su cui fai clic, guardali nella barra del browser. Se sembra strano, esci.

  1. Wifi hacking

Potresti aver sentito le notizie sul WPA, il protocollo di sicurezza per la maggior parte dei router wifi utilizzati è stato compromesso. Con il “krack attack” chiunque può vedere tutti i dati che passano attraverso la tua rete wifi. Problemi simili si verificano nel Wi-Fi pubblico (es. Wifi dell’aeroporto).

Suggerimento: sistema il router, controlla gli aggiornamenti e non fare trading mai usando le Wi-Fi pubbliche  (almeno non senza una VPN sicura)

Bonus 1: Airdrop gratuiti

Un “Airdrop” è la distribuzione casuale di token gratuiti per premiare i titolari di token esistenti o per coinvolgere più utenti in un lancio di criptovaluta. Suona alla grande, apri il tuo portafoglio. Sorpresa! Token gratuiti. Alcune volte viene annunciato l’airdrop anche se in realtà non viene inviato nulla. Altre volte i token vengono effettivamente inviati per farti registrare sul loro sito truffa e ottenere le tue informazioni private. Stai molto attento e non dare mai la tua chiave privata a nessuno.

Un unico consiglio per riassumerli tutti. Stai molto attento.

Fonte: hackernoon.com

Clicca qui per accedere alla guida gratuita su come comprare, vendere, trasferire e conservare in sicurezza gli Ether.

Condividi
  • 4
    Shares

CATEGORIE:

SCAM criptovalute


Emanuele

Crypto-lover. Nerd fin dal principio. Ama analizzare numeri, grafici e andamenti. Crea statistiche anche dove non necessario.


  1. ha commentato:

    Salve ho un grosso problema (credo) e per questo che sto commentando questo articolo, se qualcuno può aiutarmi ben venga e grazie in anticipo.
    Dunque qualche mese fa ho acquistato una nuova cryptovaluta che deve essere ancora lanciata sul mercato, ho investito poche centinaia di euro, ma si sa se non si risica non si rosica.
    Tutto è andato bene fino ad oggi, aggiungo che sono stato seguito da un account manager in tutte le fasi.
    Una settimana fa sono stato contattato dal broker via mail e dall’account manager via telefono che ci sarebbero state dei dividendi di un’altra cryptovaluta ai possessori della prima in proporzione del 10%, fin qui nulla da eccepire, contento si ma non alle stelle in quanto non conoscendo il valore della nuova crypto non mi sono illuso.
    Oggi mi chiama il mio account manager e mi dice che per vedere e usufruire delle nuove crypto (il cosiddetto bonus) avrei dovuto accedere al mio portafoglio.
    Mi chiede di collegarmi con team viewer (un programma che conosco bene e so che è possibile fare screenshot di tutto quello che viene visualizzato e addirittura registrare in un video tutto quello che viene fatto, non sono sicuro se è anche possibile vedere le password che io ho inserito e che a me venivano raffigurate come asterischi) dicevo mi chiede di collegarmi di dargli il mio ID e la PASSWORD per il collegamento ( so anche che una volta chiuso il programma e riaperto la password cambia mentre l’ID rimane uguale per cui non è possibile che si ricolleghi a mia insaputa anche perchè ho un programma che mi avvisa di qualsiasi cosa succede sul pc se l’input non è dato dal mouse o dalla tastiera) questo per essere più preciso possibile.
    Dunque fa delle operazioni salva una chiave sul mio pc apre il wallet che per l’esattezza è il MyEtherWallet.com richiama la chiave che aveva salvato e in automatico appare il mio portafoglio con le 2 chiavi alfanumerici una primaria più corta e una secondaria più lunga e allo stesso tempo viene visualizzato il codice QR delle 2 chiavi.
    Aggiungo che per arrivare a questo punto ho inserito per ben 2 volte la mia password che come ho detto prima appariva come asterischi, a questo punto le mie domande e le mie preoccupazioni sono:
    1 è possibile che possano manomettere il mio portafoglio?
    2 il MyEtherWallet è sicuro?
    3 è possibile cambiare le chiavi per rendere nulle quelle (eventualmente) rubate tramite team viewer?
    infine la domanda delle domande:: se foste voi al mio posto cosa fareste per mettere in sicurezza le attuali e le future crypto????
    Spero che qualcuno mi risponda in fretta perchè sono sui carboni ardenti e grazie infinitamente a chi si prende la briga e la pazienza di rispondermi. Grazie.

    • ha commentato

      Ciao Snoopers, sposta i tuoi ETH e tutti i fondi ERC20 contenuti in quell’indirizzo su un nuovo indirizzo. I tuoi ether non sono al sicuro, i QR-Code sono una visualizzazione differente della chiave privata e dell’indirizzo (chiave pubblica). Per tanto è possibile sottrarre gli ether avendo quei due QR-Code.
      In bocca al lupo.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Condividi questo articolo

Invia questo articolo ad un amico