C’è allarme per alcune app fasulle di criptovalute sfruttate dai cyber criminali per derubare ignari investitori. L’allerta è stata lanciata dall’FBI, ma l’allarme è globale e non riguarda solo gli USA.
Le tattiche utilizzate dai criminali informatici variano ma seguono uno schema abbastanza preciso, spacciarsi per una società legittima, convincere i propri utenti a depositare le proprie criptovalute e poi scomparire.
Gli attori di questi cyber crimini operano sotto il nome di Yibit e Supayos aka Supay e contattano gli investitori per offrire legittimi servizi di investimenti in criptomonete. A quel punto li convincono a effettuare il download di false app di criptovalute e a depositare le proprie criptovalute nei loro wallet fasulli. In pratica, in questa nuova forma di social engineering i cyber criminali interpretano il ruolo di crypto exchange o quello dello staff di supporto a piattaforme di pagamento. Si tratta quindi di uno schema di attacco più targhettizzato di altri in quanto prevede un’infrastruttura di fake app e un finto customer care.
Ma fortunatamente c’è un antidoto a questo tipo di attacchi. La conoscenza è l’arma più forte che abbiamo per sconfiggere il social engineering.
Secondo uno studio sulla propensione a utilizzare servizi bancari digitali condotto da Chase, la banca commerciale di JPMorgan, nel 2021, più del 99% della generazione Z e più del 98% dei millenials utilizza servizi bancari digitali, e persino tra i boomer, ovvero persone nate tra il 1946 e il 1964, la percentuale sfiora il 70%. Quella dei crimini informatici bancari è quindi una questione sempre più rilevante, e l’Fbi ha ritenuto opportuno offrire consigli e raccomandazioni.
Innanzitutto, occorre proteggere i clienti con soluzioni proattive. Le istituzioni finanziarie devono informare i clienti, offrendo loro metodi e servizi per distinguere le comunicazioni legittime da quelle fasulle e pericolose.
Solo le istituzioni legittime devono informare i clienti dell’esistenza di mobile app legittime. Inoltre, chi opera nel mercato di Bitcoin e crypto deve periodicamente verificare online se sul Web appaiono logo e siti associati ad attività fraudolente.
Gli investitori, invece, devono prestare grande attenzione alle richieste: devono scaricare le app solo dai marketplace ufficiali e solo dopo aver verificato che si tratta di applicazioni legittime. Non devono fidarsi di persone della cui identità non sono in grado di accertarsi con sicurezza.
Infine, devono essere scettici su app con funzionalità limitate o non funzionanti o con refusi: le app vanno sempre verificate con ragionevole certezza.