phishing

Gli attacchi di phishing che prendono di mira gli utenti Bitcoin in genere coinvolgono siti web falsi, email, estensioni del browser o app mobili progettate per sembrare identiche ai servizi legittimi. Un utente che inserisce la propria frase seed o chiave privata in un sito di phishing consegna all'attaccante il controllo completo e irreversibile sui propri fondi. A differenza della frode sui conti bancari, non esiste un meccanismo di chargeback in Bitcoin. Una volta rubata una chiave privata, i fondi possono essere spostati istantaneamente e non c'è autorità a cui rivolgersi per il recupero.

I vettori di phishing comuni includono app wallet false negli app store, domini simili (ad esempio, "bItc0in.org" invece di "bitcoin.org"), email che affermano che un account è stato sospeso, estensioni del browser che intercettano i dati degli appunti per sostituire gli indirizzi copiati e account sui social media che si spacciano per figure note. I codici QR condivisi nei forum pubblici sono stati utilizzati anche per reindirizzare i pagamenti all'indirizzo di un attaccante. I truffatori usano frequentemente l'urgenza come leva, affermando offerte a tempo limitato, avvisi di sicurezza o promozioni di omaggi per spingere gli utenti ad agire senza verificare.

La difesa più affidabile contro il phishing è verificare prima di agire. Aggiungi ai segnalibri gli URL ufficiali dei servizi che usi regolarmente e accedi a essi solo da quei segnalibri. Non inserire mai una frase seed o una chiave privata in nessun sito web o app in nessuna circostanza: nessun servizio legittimo te lo chiederà mai. Abilita l'autenticazione a due fattori sugli account di exchange dove possibile. Quando copi un indirizzo bitcoin, verifica almeno i primi e gli ultimi caratteri dopo aver incollato, poiché il malware che dirottare gli appunti è una minaccia reale e documentata.