Phishing e malware
Come Riconoscere Phishing e Malware nelle Criptovalute
Il phishing e le campagne malware mirano a sottrarre credenziali, seed phrase, cookie di sessione o a installare software che consente il controllo remoto o lo svuotamento dei wallet. Gli attacchi arrivano via email, SMS, messaggi privati (WhatsApp/Telegram), link malevoli e allegati compromessi. Spesso imitano comunicazioni ufficiali di exchange, servizi di wallet o provider di pagamento per ingannare la vittima.
Il malware può essere un trojan, un keylogger, un browser-injector o un contratto malevolo che chiede approvazioni (token approvals). Gli attaccanti sfruttano anche landing page di phishing che replicano pagine di login per carpire username/password e 2FA, oppure invitano a connettere il wallet a dApp malevole che prelevano permessi e spostano fondi.
Riconoscere l’attacco in corso
⚠️ Segnali di allarme
- Messaggi urgenti che richiedono di cliccare un link o di “verificare” l’account immediatamente
- Allegati insoliti (.zip, .exe, .scr, .apk) o pagine che chiedono la seed phrase per “recupero account”
- Domini simili all’originale con piccole variazioni (bìnance.com, coínbase.com) e certificati SSL che sembrano legittimi
- Richieste di connessione wallet a dApp sconosciute con approvazioni infinite o permessi sospetti
- Installazione improvvisa di estensioni browser o app non richieste dopo aver cliccato un link
🎭 Come agiscono gli attaccanti
- Inviano email/SMS/DM con link a pagine clone dove inserire credenziali, seed phrase o codici 2FA
- Diffondono allegati che, una volta aperti, installano malware (keylogger, RAT, info-stealer, clipper)
- Creano false dApp che richiedono permessi di trasferimento illimitati o approvazioni token pericolose
- Usano tecniche di social engineering per ottenere codici 2FA o autorizzazioni telefoniche
- Ruotano continuamente infrastrutture e URL per sfuggire alle blacklist e prolungare gli attacchi
⚡ Cosa fare immediatamente
- Non cliccare ulteriori link né scaricare allegati sospetti ricevuti
- Non inserire mai credenziali o seed phrase su pagine aperte da link; non condividere codici 2FA telefonicamente
- Isolare il dispositivo: disconnetterlo da internet se sospettate un’infezione e non effettuare operazioni finanziarie
- Conservare tutte le prove: email originali con header completi, SMS, URL completi, screenshot, file ricevuti
- Non tentare rimozioni improvvisate: interventi non professionali possono cancellare tracce forensi cruciali
- Contattarci immediatamente per analisi forense del dispositivo, acquisizione delle prove e neutralizzazione dell’attacco
Cosa fare se l’attacco è già avvenuto
- Contattarci immediatamente: valuteremo gravità dell’infezione, presenza di malware persistente e possibilità tecniche di contenimento o recupero fondi
- Raccogliere prove con valore legale: acquisizione forense completa dell’immagine disco/memoria RAM, raccolta header email completi, log di sistema, metadati file e transazioni
- Analisi on-chain per tracciare i movimenti di fondi rubati: indirizzi wallet coinvolti, transaction hash, smart contract interagiti, mixer utilizzati
- Preparare la denuncia alla Polizia Postale con dossier tecnico completo: timeline dettagliata, file compromessi con hash, evidenze forensi certificate
- Segnalare il vettore di attacco a provider hosting, app store, registrar domini, piattaforme social/ads e inviare diffide formali ai soggetti coinvolti
Leggi la guida completa sugli attori coinvolti → - Messa in sicurezza immediata: cambiare tutte le password da dispositivo pulito, revocare autorizzazioni dApp sospette, isolare dispositivi compromessi, trasferire fondi residui su cold wallet nuovo
Errori da evitare: consigli educativi
-
Mai inserire seed phrase o chiavi private in pagine web o chat
Nessun servizio legittimo richiederà mai la vostra seed phrase o chiave privata. Né via email, né via chat, né al telefono. Questi dati devono rimanere offline e conosciuti solo da voi. Qualsiasi richiesta in tal senso è sempre un tentativo di furto.
-
Verificare sempre l’autenticità del mittente
Controllare gli header email completi, verificare che il dominio sia esattamente quello ufficiale, controllare presenza di SPF/DKIM/DMARC. I phisher usano domini simili (typosquatting) o mittenti falsificati. Accedere sempre ai servizi digitando manualmente l’URL.
-
Non installare estensioni o app da fonti non ufficiali
Scaricare solo da Chrome Web Store, Firefox Add-ons o app store ufficiali. Verificare recensioni, numero di download, permessi richiesti. Estensioni malevole possono intercettare password e seed phrase in tempo reale.
-
Non approvare permessi illimitati nelle dApp
Quando connettete un wallet a una dApp, verificare sempre i permessi richiesti. Evitare approvazioni infinite (unlimited approval). Usare wallet come Rabby o Metamask configurati per mostrare chiaramente gli approval. Revocare regolarmente permessi non utilizzati su Revoke.cash o Etherscan.
-
Mantenere software sempre aggiornato
Aggiornare regolarmente sistema operativo, browser, estensioni, wallet software. Le patch di sicurezza chiudono vulnerabilità sfruttate dai malware. Usare antivirus/EDR sui dispositivi che gestiscono crypto e attivare firewall.
-
Effettuare backup periodici e conservare chiavi offline
Backup regolari dei dispositivi su supporti esterni. Seed phrase scritte su carta o acciaio, conservate in cassaforte. Usare hardware wallet (Ledger, Trezor) per somme significative. Mai fotografare o salvare seed in cloud o email.
-
Formare team e familiari su phishing e social engineering
La prevenzione è la prima linea di difesa. Organizzare sessioni formative periodiche, simulazioni di phishing, condividere casi reali. Attaccanti sfruttano l’anello debole: una persona non formata può compromettere l’intera sicurezza.