Come riconoscere il phishing. Alcuni esempi
Il phishing è un attacco già spiegato in questo articolo. È importante che un utente sappia riconoscere una mail autentica da una potenzialmente pericolosa.
Vediamo alcuni esempi specifici del mondo delle criptovalute. Tutti quelli riportati si riferiscono ad attacchi ricevuti sulla mia casella di posta elettronica e sono stati analizzati prima di riportarli su questo articolo. Non ho cliccato sui link sospetti, per visualizzarli è sufficiente portare su il puntatore e guardare in basso a sinistra.
Sarà mia cura aggiornare questo articolo ogni volta che riceverò mail “interessanti”.
Phishing mascherato da Metamask
Mi è stata inoltrata da un utente (che ringrazio, la sua mail è stata oscurata) una mail sospetta che va ampiamente annoverata come attacco phishing.
Questa mail non proviene da Metamask.
Innanzi tutto, Metamask non richiede alcuna registrazione, il download e l’utilizzo del wallet è anonimo, per cui è impossibile che l’azienda possieda l’indirizzo mail dell’utente.
Il mittente usa un dominio sospetto e non riconducibile a Metamask. Ricordo che il sito ufficiale è metamask.io.
Inoltre, spostando il puntatore sul bottone in basso (senza cliccare), si viene indirizzati a un altro link che dovrebbe portare a un sito fake o, peggio, all’installazione di un ransomware.
Come ho già spiegato in questo articolo, l’utente aggiorna i plugin in autonomia e metamask non può sapere se la nostra applicazione è aggiornata.
Potrebbe trarre in inganno l’utilizzo corretto della lingua inglese. In questo caso l’autore può benissimo essere anglofono. Quindi non è un elemento da tenere in considerazione.
Finta mail da Coinbase
La mail di sopra è stata filtrata dal mio antispam, tuttavia ho deciso di andare a guardare perché non sempre funzionano per tutti i domini.
Premetto di avere un account Coinbase, tuttavia salta subito all’occhio che si tratta di una mail sospetta. Il dominio del mittente non riconduce in nessun modo a Coinbase. Inoltre, portando il puntatore sul tasto Verify Your Transaction, si nota in basso a sinistra che il link corrispondente non c’entra nulla con l’exchange. Anche la grafica non corrisponde alle solite comunicazioni di Coinbase.
Inoltre, aspetto più importante, un exchange serio come Coinbase non riporta link per verificare dati personali o transazioni ma invita a loggarsi con le proprie credenziali dal sito originale.
Chiaro tentativo di phishing.
Finta mail da Trustwallet
La mail di cui sopra riporta una presunta comunicazione da parte di Trustwallet, wallet non-custodial facente capo a Binance e installabile su smartphone.
Così come Metamask, Trustwallet non richiede dati personali, motivo per cui non esiste modo per ricevere comunicazioni via mail da parte loro.
Inoltre Trustwallet non ha la facoltà di bloccare un wallet. Loro forniscono l’applicazione ma l’utente, tramite la seedphrase, può recuperare il suo wallet su qualsiasi altra applicazione anche in caso di malfunzionamento di Trustwallet.
Il dominio del mittente non è in alcun modo riconducibile a Trustwallet mentre il tasto Verify My Wallet Now, come evidente sulla barra in basso, riporta sicuramente (non ho provato) a un sito malevolo.
Così come nel caso precedente di Metamask, questa mail è da cestinare senza cliccare nulla.
Phishing con presunto mittente autentico
Nell’immagine di cui sopra riporto il mittente e l’oggetto, dato che la mail ricevuta era vuota. Come si evince, il mittente sembra effettivamente Trustwallet. Tuttavia non serve un genio dell’informatica per mascherare un dominio fasullo facendolo apparire come autentico. Nei casi precedenti il criminale informatico non si è neanche preoccupato di mascherarlo. Questa volta si è almeno impegnato.
Stando al gioco (tanto uso Linux), ho copiato e incollato il link sull’oggetto per ottenere TWT, ovvero il token ufficiale di trustwallet (come no). Tuttavia Brave lo segnala subito come ingannevole, dimostrandosi ancora una volta un browser affidabile.
Anche questa mail va segnalata come spam e cestinata. Non provate ad accedere al dominio.
Phishing mascherato da Agenzia delle Entrate
Questa mail si riferisce a una presunta comunicazione da parte dell’Agenzia delle Entrate.
A parte l’italiano improbabile con tanto di decreto legge convertito in chissà cosa, come evidenziato dalla freccia, il link riporta a un sito che con l’Agenzia delle Entrate non c’entra niente. Questo link potrebbe mirare a ottenere i vostri dati personali o lanciare un attacco ransomware sul vostro pc.
L’Agenzia delle Entrate non vi scrive una mail per accedere a una presunta notifica. Se deve contattarvi lo fa per vie ufficiali.
Si tratta di un chiarissimo attacco phishing.
Finto Airdrop
In questa mail apparentemente proveniente da OKX, noto exchange centralizzato, veniamo informati di un airdrop del token SUI sol nostro wallet.
Dall’indirizzo vediamo che la mail non arriva da OKX ma da Marcelo con dominio brasiliano e non penso proprio si tratti dell’ex Real Madrid. Certo ci vuole poco a camuffare un mittente ma il nostro amico carioca avrebbe dovuto metterci più impegno.
Inoltre, veniamo invitati a cliccare su un link per controllare l’airdrop per finire indirizzati a un indirizzo sospetto che, ovviamente, non ho verificato.
Per non parlare della Airdrop Live Inc., addirittura un’azienda americana creata apposta per inviare token gratuitamente.
A questo proposito, per quale motivo qualcuno dovrebbe regalarmi soldi? Nessuno regala niente e non vedo perché il caro Marcelo dovrebbe prodigarsi per tanta bontà.
Il mio account di posta l’ha spostato in automatico fra la posta indesiderata, però non tutti i filtri funzionano come il mio.
Mail da cestinare senza cliccare nulla.
Altra cryptosegnalazione di spam non filtrato dal mio account di posta.
La mail in questione viene inviata a una presunta community AAVE per l’airdrop del token. Basterebbe cliccare sul tasto per ottenerlo. Semplicissimo…peccato che si tratti di un tentativo di phishing.
Innanzi tutto, gli airdrop si effettuano per lanciare un nuovo token in una community e farlo conoscere al mondo previo attività come condivisione sui social o fra contatti. Io non faccio parte di nessuna community AAVE, quindi non possono avere il mio indirizzo.
Secondo, AAVE non è un nuovo token ma è stato creato nel 2020 nella transizione dal protocollo di lending/borrowing ETHLend. Non si lancia un airdrop per una moneta vecchia di 3 anni. Inoltre il protocollo AAVE è decentralizzato, quindi non richiede iscrizione.
Infine, sia il dominio del mittente che il bottone riportano a siti sospetti assolutamente da non cliccare.
Finto giveaway
Il caso di cui sopra è riconducibile in vari aspetti a quello precedente, a cominciare dal dominio brasiliano.
Questa mail è giunta nella mia posta in arrivo (quindi il filtro antispam non ha funzionato) e parla di un giveaway da parte di nientepocodimenoche Elonio Muschio.
Il giveaway è un metodo di distribuzione gratuita di token ma spesso viene usato come termine per truffe sui social o via mail. Questo a differenza degli ardrop che richiedono un’azione.
In questo caso, il mittente ricorda il mago delle televendite mentre il tasto riporta, come evidente in basso a sinistra, a un sito non attendibile. Lo stesso il link al presunto “help center”. Inoltre il logo di OpenAi e la scrittura non curata con caratteri sballati unita a un pessimo uso delle punteggiature rafforza la pochezza di questa comunicazione.
Da segnalare come spam e cestinare.
Phishing via SMS camuffato da comunicazione Binance
L’attacco phishing di cui sopra è arrivato via SMS a un utente effettivamente in possesso di un account su Binance.
In questo caso, non era stato richiesto alcun bonifico, eppure è pervenuta questa comunicazione sul cellulare dell’utente. Salta all’occhio che l’indirizzo per annullare il prelievo non ha nulla a che vedere con Binance, tuttavia un utente impreparato potrebbe cliccare sul link. Dopotutto se questo attacco va in giro vuol dire che c’è chi ci casca.
In effetti la pagina a cui si viene indirizzata ricorda in tutto e per tutto quella per il login su Binance. Tuttavia sulla barra degli indirizzi è evidente che non si tratta del sito autentico. Infatti l’unico è binance.com, mentre questo è un sito creato ad-hoc per far inserire all’utente impreparato l’username e password allo scopo di sottrarlo.
Anche in questo caso il SMS va cestinato e, se possibile, inserito in blacklist.
Esempio di mail autentica
Così come va riconosciuto e segnalato lo spam, un utente deve saper distinguere le mail sospette da quelle autentiche.
Quella riportata in alto l’ho ricevuta personalmente e va annoverata fra quelle autentiche in quanto questa mail proviene da Coinbase.
Innanzi tutto, io ho un account Coinbase e ho ricevuto la mail sullo stesso indirizzo di registrazione. A differenza di metamask è necessaria la registrazione, quindi l’azienda è in possesso dei miei riferimenti.
Il mittente usa un dominio coinbase.com. Anche spostando il puntatore del mouse sopra il link, senza cliccare, noto che riporta effettivamente a un mittente affidabile.
I link riportano alle pagine ufficiali di coinbase come quella della FAQ. Sono stati testati e risultano autentici.
Aspetto fondamentale, non è presente alcun link per l’inserimento di dati personali come username e password. Un’azienda seria non invita mai un utente a effettuare registrazioni tramite link inviati via mail e questo è un caso.
Nel caso di Coinbase, non è presente, al momento, un codice antiphishing come invece disponibile su altri exchange come Binance o Crypto.com. Tuttavia ci sono tutti gli elementi per giudicare attendibile e non pericolosa la comunicazione ricevuta.
Come proteggersi dal phishing
Il phishing esiste da anni perché ci sono sempre utenti che ci cascano.
Chi cade nel tranello è di solito un utente privo delle competenze informatiche necessarie per navigare in rete in sicurezza. Peggio ancora se si tratta di un investitore crypto.
La sicurezza è una prerogativa che dovrebbe precedere la ricerca del guadagno a tutti i costi. Un investitore impreparato, che vuole trasformare cento euro in mille, ha più probabilità di perderli tutti che di raggiungere la cifra desiderata.
Vuoi rimanere aggiornato sulle ultime novità di Cryptoverso? Seguimi su Telegram.
