11 imperativi per difendere i vostri bitcoin dai moderni truffatori
Con la crescita del valore, tende a crescere anche un altro numero: quello dei criminali che vogliono impossessarsene ingannandovi (scammers).
Tradotto dall’originale di Tom Honzik - pubblicato il 20-06-2024
I truffatori di tutto il mondo non vedono l'ora di sottrarvi i vostri sudati risparmi e imparano costantemente quali sono i metodi più efficaci. Al giorno d'oggi, sono in grado di elaborare schemi molto elaborati, accuratamente progettati per apparire innocenti o legittimi. Per difendervi, dovete essere vigili e conoscere gli errori più comuni da evitare.
Bitcoin è ancora una tecnologia relativamente nuova e la maggior parte delle persone non conosce i dettagli del suo funzionamento. Inoltre, è un importante strumento finanziario per tutte le età, comprese le generazioni più anziane che sono particolarmente vulnerabili agli attacchi di social engineering e ad altre truffe. Aiutare un familiare a detenere bitcoin, o anche detenere bitcoin in prima persona, può intimidire.
In questo articolo vi proponiamo 11 regole per voi e per i vostri cari, che possono ridurre notevolmente il rischio di cadere vittime di questi schemi e permettervi di detenere bitcoin con fiducia.
1. Non conservate i vostri bitcoin sugli exchange
Molti acquirenti di bitcoin scelgono di conservarli presso l’exchange dove li hanno acquistati, invece di gestire le proprie chiavi di bitcoin. Utilizzando un custode, potrebbero pensare di esonerarsi dalla responsabilità di mantenere al sicuro i loro bitcoin. Tuttavia, ciò non potrebbe essere più lontano dalla verità.
Per utilizzare in modo sicuro un depositario di bitcoin di terze parti è necessario imparare a: usare un gestore di password, usare la 2FA (TOTP non SMS!), proteggere un computer, proteggere un telefono, proteggere un account e-mail, ecc. E questo supponendo che l'exchange non venga violato. Non è così semplice come si dice!
Michael Goldstein, presidente dell'Istituto Nakamoto
I truffatori prendono spesso di mira gli exchange, perché qualcosa di semplice come un'e-mail compromessa potrebbe essere sufficiente a garantire al ladro l'accesso al conto e la possibilità di prelevare fondi. È importante notare che, rispetto a un conto bancario o di intermediazione tradizionale, il denaro rubato non può essere assicurato allo stesso modo (nessuno può creare altri bitcoin per rimborsare le vittime) e può essere più difficile per le autorità scoprire l'identità dell'attore criminale.
Recentemente, un truffatore anonimo ha partecipato a un'intervista improvvisata che è stata registrata e pubblicata. Verso la fine della telefonata, il truffatore ammette che le persone che desiderano proteggersi dovrebbero ritirare i loro bitcoin dagli exchange e trasferirli in autodeposito:
“Non tenete il denaro in nessun exchange. Tenete i vostri soldi in [autodeposito, ad esempio usando] un Trezor o un Ledger, e non date [le vostre chiavi] a nessuno, qualunque cosa vi dicano... Non terrei i soldi in Coinbase, Binance, Kraken, niente. Perché... si possono facilmente hackerare”.
Truffatore anonimo durante un'intervista improvvisata
2. Non condividete mai la vostra seed phrase con nessuno, mai!
Quando si detiene bitcoin in autodeposito anziché in un exchange, la superficie di un possibile attacco diminuisce drasticamente. Sono necessarie meno competenze tecniche per raggiungere un livello di sicurezza efficace e ci sono meno componenti da proteggere. Tuttavia, è necessario familiarizzare con questi componenti e comprenderne la sensibilità.
In primo luogo, l'autocustodia prevede la protezione di una frase seme (seed phrase, n.d.t.). La frase seme è un insieme di parole generate casualmente da un'apparecchiatura specializzata ed è estremamente resistente alla possibilità di essere indovinata da altre persone. In definitiva, rappresenta una chiave privata che può sbloccare e spendere i bitcoin dal vostro portafoglio di autodeposito. Se qualcun altro ottiene la vostra seed phrase, avrà lo stesso livello di accesso ai vostri bitcoin.
Per questo motivo, le frasi seme sono un altro obiettivo popolare per i truffatori. Se riescono a convincervi che dovete condividere la vostra seed phrase con loro per proteggere i vostri bitcoin o per ricevere l'assistenza tecnica di cui avete bisogno, saranno in grado di rubare l'intero saldo del vostro portafoglio.
Non condividete in nessun caso la vostra seed phrase con un estraneo. Anche se la persona con cui state comunicando sembra gentile e disponibile. Anche se vi spiega che la situazione in cui vi trovate è un'eccezione unica a questa regola. Se vi chiede la vostra frase seme, non sta cercando di aiutarvi, ma vi sta dimostrando che è un ladro e fareste bene a interrompere immediatamente le comunicazioni.
Come nota finale, anche se ci sono casi in cui la memorizzazione di una seed phrase nella proprietà di un familiare fidato può essere sensata (come nel caso dell'utilizzo di multisig), la condivisione della seed phrase con una persona cara fidata comporta rischi significativi. Se si condivide la chiave di un portafoglio, l'accesso a quel portafoglio non può essere revocato, anche se la relazione con quella persona cambia. Inoltre, se la persona in questione viene presa di mira da un truffatore e non comprende a fondo l'importanza della seed phrase, potrebbe cadere vittima e perdere il vostro denaro al posto vostro.
3. Non digitate mai la vostra frase seme su un computer o su un telefono
Se state proteggendo una somma di bitcoin che va oltre gli spiccioli e che non volete perdere, allora dovreste utilizzare un portafoglio con archiviazione a freddo. Ciò significa che la frase seme non è mai stata esposta a un dispositivo connesso a Internet, dove un hacker remoto potrebbe essere in grado di accedere.
Un portafoglio hardware è lo strumento principale utilizzato per creare questa struttura di custodia a freddo. I portafogli hardware sono apparecchiature specializzate progettate per generare in modo sicuro la frase seme e mantenerla isolata e protetta anche durante l'interazione con un dispositivo connesso a Internet. Tuttavia, se si aggira questa sicurezza scattando una foto della frase di seme con la fotocamera del telefono o digitando la frase di seme in un computer portatile, il portafoglio non può più essere definito un deposito a freddo. La sicurezza di quel portafoglio sarebbe danneggiata in modo permanente. Al posto della conservazione digitale, dovreste conservare la vostra frase seminale fisicamente, scrivendola su carta o imprimendola nel metallo.
I ladri tenteranno di acquisire le frasi seminali in modo digitale con diversi metodi. Se riescono a entrare nella vostra posta elettronica, nel gestore di password, nelle foto, nell'app per le note o nel computer in generale, effettueranno ricerche alla ricerca di parole della frase seminale. Tuttavia, se avete mantenuto la vostra frase seme fisica, i vostri bitcoin rimarranno al sicuro e inaccessibili all'aggressore.
Un altro approccio dei truffatori consiste nel cercare di convincervi a digitare la vostra frase seme in un programma dannoso. Esistono molti programmi falsi, progettati per sembrare legittimi e provenienti da aziende affidabili. Ad esempio, i truffatori hanno creato copie di Ledger Live e Trezor Suite che chiedono all'utente di digitare la frase di partenza all'apertura del programma. Un utente ignaro che cade in questa trappola scoprirebbe presto che l sui bitcoin sono stati rubati. È possibile proteggersi da questo tipo di truffe semplicemente rifiutandosi di digitare la propria seed phrase in qualsiasi dispositivo elettronico che non sia un portafoglio hardware.
4. Seguire le best practices quando si acquista un portafogli hardware
Come abbiamo detto nella sezione precedente, un portafoglio hardware è un dispositivo importante per aiutarvi a generare e proteggere la vostra frase seme. Per questo motivo, è importante sceglierne uno di un produttore noto e con una buona reputazione. Ad esempio, attualmente alcune delle marche di portafogli hardware più popolari sono Trezor, Ledger, Coldcard, Blockstream, Bitbox e Foundation. È prudente condurre una ricerca approfondita prima di scegliere l'apparecchiatura che si desidera utilizzare.
Una volta deciso il modello di hardware wallet che si desidera acquistare, è importante acquistarlo da una fonte affidabile. L'ideale è acquistare direttamente dal produttore, piuttosto che da un rivenditore anonimo di seconda mano su eBay o Amazon. Non vale la pena risparmiare qualche dollaro se c'è la possibilità che il dispositivo ricevuto sia stato modificato o compromesso in qualche modo. Alcuni produttori di portafogli hardware forniscono anche un elenco di rivenditori autorizzati e link ai negozi ufficiali di Amazon, che considerano luoghi sicuri per l'acquisto del dispositivo (esempio pagina web di Trezor).
Dopo aver ricevuto il portafoglio hardware, è anche una buona idea ispezionare la confezione per verificare se sembra essere stata manomessa o aperta in precedenza. Molti portafogli hardware sono dotati di sigilli di sicurezza sulla scatola o sul dispositivo stesso, che dovrebbero essere intatti finché non vengono rimossi dall'utente. Se c'è qualcosa di sospetto, è possibile contattare il produttore per ottenere consigli. In caso contrario, si può essere sicuri di utilizzare il nuovo portafoglio hardware. Gli utenti esperti possono anche scegliere di controllare il firmware del dispositivo, per assicurarsi che corrisponda a una release ufficiale del produttore.
5. Non utilizzate frasi seme o account che vi sono stati forniti
Alcuni truffatori possono cercare di ottenere la vostra frase seme, come abbiamo descritto in precedenza in questo articolo. Tuttavia, altri potrebbero tentare un approccio diverso, ovvero indurvi a inviare bitcoin a una seed phrase o a un portafoglio a cui il truffatore ha già accesso.
Non dovreste mai utilizzare una seed phrase ricevuta da un luogo diverso dal portafoglio hardware che avete acquisito in modo sicuro, come descritto nella sezione precedente. Inoltre, quando si riceve un nuovo portafoglio hardware, la scheda o il libretto forniti dovrebbero essere vuoti, in modo che l'utente possa scrivere da solo la propria frase seminale. Lo scopo del portafoglio hardware è quello di aiutarvi a generare privatamente una nuova frase seme mai esistita prima. Dovete essere l'unica persona a portare quella frase seme nel mondo fisico.
Una tattica comune tra i truffatori è quella di avvertirvi che il vostro bitcoin non è al sicuro dove si trova attualmente, a causa di un bug, una vulnerabilità o una violazione della sicurezza. Quindi, possono fornirvi un conto, un portafoglio o una frase seminale “temporanea”, in modo da farvi credere che vi appartenga o che l'abbiate creata voi stessi. Sebbene possa sembrare un'autocustodia e un luogo più sicuro per i vostri bitcoin, è vero il contrario. Non appena il bitcoin viene spostato, il truffatore avrà accesso ai vostri bitcoin e ve li ruberà.
6. Non avere fretta durante i trasferimenti di bitcoin
I truffatori vogliono che le loro vittime agiscano prima di pensare. Utilizzeranno una serie di stratagemmi per distogliere l'utente dal considerare le proprie opzioni o dal rivolgersi a una fonte fidata per ottenere aiuto, ad esempio sostenendo che i suoi fondi sono in pericolo immediato. Spostare rapidamente il proprio bitcoin in custodia perché si è spaventati è quasi sempre una cattiva idea. Se avete seguito le migliori pratiche per proteggere la vostra seed phrase, non dovreste avere nulla di cui preoccuparvi e qualsiasi tentativo di convincervi del contrario dovrebbe essere trattato con estremo scetticismo.
È consigliabile muoversi lentamente e con attenzione quando si esegue una transazione e controllare diligentemente gli indirizzi di destinazione forniti. Gli aggressori potrebbero cercare di convincervi a inviare i vostri bitcoin al loro indirizzo, come misura temporanea di protezione. Oppure possono inserire nel vostro computer un programma dannoso, in grado di sostituire l'indirizzo inserito con un altro di loro proprietà. Se i bitcoin vengono inviati al loro indirizzo, saranno riusciti a rubarli.
Non dovreste mai inviare bitcoin a un indirizzo non richiesto. Dovreste invece inviare bitcoin a un indirizzo che vi è stato dato da qualcun altro solo se avete effettivamente intenzione di pagare quella persona. Se avete intenzione di pagare a quella persona un importo elevato, potrebbe anche essere prudente provare prima una transazione di prova e chiedere la conferma della ricezione, per dimostrare che state usando l'indirizzo corretto prima di inviare l'importo maggiore.
Se state cercando di ricevere bitcoin, il software del vostro portafoglio vi fornirà un indirizzo che potrete condividere con il mittente. Se volete verificare che l'indirizzo che il vostro software vi mostra sia davvero controllato dalle vostre chiavi e non da quelle di qualcun altro, il vostro portafoglio hardware dovrebbe essere in grado di eseguire questa ulteriore procedura di controllo di sicurezza. Ad esempio, sulla piattaforma Unchained, avete sempre la possibilità di utilizzare uno dei vostri portafogli hardware per confermare il vostro indirizzo di deposito.
7. Muoversi con cautela quando si chiede aiuto
Se si verificano difficoltà tecniche durante l'interazione con i bitcoin, la situazione può essere frustrante o preoccupante. Potreste desiderare un'assistenza rapida per alleviare lo stress. Tuttavia, agire in fretta può avere conseguenze pericolose. Se non si fa attenzione, si potrebbe visitare il sito web sbagliato o chiamare il numero di telefono sbagliato, finendo per parlare con un truffatore, che vi darà consigli malevoli.
È importante accettare consigli e assistenza tecnica solo da aziende affermate e con una solida reputazione. Ad esempio, se avete problemi con un portafoglio hardware, potete cercare le risposte sul sito web ufficiale del produttore o contattare il suo team di assistenza ufficiale. Se avete domande sul vostro conto presso un exchange, dovreste discutere la questione direttamente con il servizio di assistenza dell’exchange stesso.
Tuttavia, una tattica dei truffatori consiste nel creare siti web o account di social media falsi, progettati per imitare quelli ufficiali e legittimi che si stanno cercando. Per proteggersi, bisogna ricordarsi di rallentare ed esaminare i dettagli, come l'URL del sito web o il fatto che l'account di social media sia verificato o meno e abbia un numero di follower previsto. Se qualcosa appare sospetto in qualsiasi momento, astenetevi dal procedere e utilizzate un altro metodo per individuare la pagina web ufficiale.
Un enorme vantaggio di una partnership di custodia collaborativa è che potete stabilire un rapporto con esperti professionisti di bitcoin che possono assistervi con un'ampia gamma di domande e problemi, su più software e apparecchiature. Servizi come questo possono fornire una funzione di PIN di supporto per aiutarvi a verificare che la persona con cui state parlando sia un dipendente legittimo.
8. Essere scettici se non si è iniziato il contatto
Anche se non siete attivamente alla ricerca di assistenza tecnica, i truffatori potrebbero comunque essere alla ricerca di opportunità per colpire i vostri bitcoin. Spesso si rivolgono a voi inaspettatamente con una telefonata, un messaggio di testo o un'e-mail. Il tentativo di contatto può essere accuratamente progettato per simulare un avviso ufficiale, avvertendovi che qualcosa potrebbe essere sbagliato con uno o più dei vostri servizi o strumenti finanziari, come il vostro portafoglio hardware, il conto dell’exchange o persino il conto bancario tradizionale. Questi tentativi sono studiati per incutere timore e indurre le vittime ad agire rapidamente senza riflettere attentamente.
Tramite messaggi di testo o e-mail, i truffatori cercheranno spesso di convincervi a cliccare su un link. Altre volte chiedono semplicemente una breve risposta, che può sembrare più innocente. Se rispondete, coglieranno l'occasione per contattarvi con ulteriori comunicazioni, il che può farvi sentire come se foste voi ad aver iniziato la discussione. È importante fare un passo indietro e ricordare chi ha iniziato la conversazione!
Per proteggervi, dovete essere molto scettici ogni volta che non siete voi ad aver avviato il contatto. Se ricevete un avviso via SMS o e-mail, non cliccate su alcun link e non rispondete direttamente. Se invece ritenete che l'avviso sia legittimo, contattate separatamente l'istituzione interessata attraverso i canali ufficiali. Ad esempio, potete chiamare la vostra banca utilizzando il numero di telefono presente sul sito web ufficiale, anziché quello fornito nel messaggio di allerta, e chiedere al rappresentante se l'allerta è autentica.
Se si riceve una telefonata da un numero sconosciuto, è bene rifiutarsi di rispondere. In fondo, se si tratta di una cosa importante, il chiamante dovrebbe lasciare un messaggio vocale, dandovi più tempo per muovervi con cautela e valutare la sua legittimità. Ancora una volta, se l'allarme sembra legittimo, dovreste contattare separatamente l'istituzione competente attraverso i canali ufficiali, piuttosto che richiamare il numero fornito nel messaggio vocale. Se rispondete al telefono e iniziate a trattare con una persona in tempo reale, non abbiate paura di riagganciare e chiamare l'istituzione separatamente. Essere scortesi è molto meglio che essere vittima di un astuto attacco finanziario.
9. Non lasciate che gli estranei su Internet si guadagnino la vostra fiducia
Molti lettori riconosceranno che si tratta di un consiglio ovvio che esiste da molto tempo. Tuttavia, vale la pena ricordare che negli ultimi anni i metodi per ingannare le persone sono diventati molto più sofisticati e di successo.
A titolo di esempio, esaminiamo la seguente schermata:
Sebbene questa possa sembrare una conversazione sana sui social media, è ben lontana dalla verità. Ogni partecipante mostrato è in realtà un robot falso, nonostante abbia nomi utente e immagini di profilo tipici di persone reali. Il truffatore in questo caso ha architettato una discussione artificiale, progettata per eccitare i lettori sulla possibilità di guadagnare molto denaro rapidamente. Utilizzando più profili, sembra che ci siano diverse persone che offrono testimonianze su una persona di nome “Michelle Stewart” che ha risolto i loro problemi finanziari. I bot affermano addirittura che la donna è abilitata e cercano di essere realistici ammettendo di “essere stati scettici all'inizio”. La conversazione termina fornendo le informazioni di contatto di “Michelle” che il lettore potrebbe utilizzare per cadere nella trappola del truffatore.
È improbabile che le truffe su piattaforme di social media o siti web simili, come quello di cui sopra, adottino l'approccio di spaventarvi con un avviso sui vostri conti finanziari o sulle chiavi bitcoin, perché non sarebbe credibile. Invece, spesso cercano di attirare la vostra attenzione suggerendovi la possibilità di guadagnare molto denaro, soprattutto senza molto tempo o sforzo. Se vedete post come questi, una buona reazione di default è “è troppo bello per essere vero”, perché nella maggior parte dei casi è così.
L'obiettivo di un truffatore che utilizza questi metodi è quello di iniziare a comunicare con voi in un ambiente privato. In questo modo, le persone corrette che osservano una conversazione pubblica e riconoscono la truffa non saranno in grado di intervenire per avvertirvi. Per proteggervi, dovreste ignorare gli sconosciuti che vi contattano con messaggi diretti privati ed evitare inviti non richiesti a chat su Telegram, WhatsApp, Signal, Discord e altre applicazioni simili.
10. Limitare le persone che conoscono i dettagli dei vostri bitcoin
Quando si impara a conoscere meglio bitcoin, è facile appassionarsi all'argomento e desiderare di parlarne con familiari, amici e conoscenti. Diffondere le informazioni può essere una buona cosa, ma è bene tenere conto delle possibili implicazioni. Anche la conoscenza del vostro coinvolgimento con bitcoin può diffondersi e arrivare a persone di cui non vi fidate. Potreste essere inconsapevolmente destinati a diventare il bersaglio di un truffatore che si accorge dei vostri risparmi in bitcoin.
Per proteggersi, è importante distinguere le informazioni generali sui bitcoin da quelle relative ai propri saldi personali. Ad esempio, se decidete di parlare con un conoscente del perché ritenete che bitcoin sia una tecnologia importante, non fornite alcun indizio su quanti bitcoin possedete. Non rivelate mai dove tenete le frasi di partenza o i portafogli hardware. Evitate di usare i social media per parlare delle marche di portafogli hardware che usate, o di altre attrezzature e servizi che avete scelto per proteggere i vostri risparmi in bitcoin. Queste informazioni potrebbero essere molto utili a un malintenzionato che voglia ingannarvi.
Alcuni servizi destinati ad assistervi nella protezione dei vostri bitcoin avranno bisogno di conoscere informazioni di questo tipo. Un partner per la custodia collaborativa sarà spesso in grado di vedere i vostri saldi e potrà fornirvi consulenza per quanto riguarda la scelta delle attrezzature e le strategie di archiviazione. La custodia collaborativa può essere estremamente preziosa per garantire la giusta formazione, l'assistenza tecnica e il piano di successione. Tuttavia, è importante essere consapevoli dei compromessi che si possono avere quando si entra in una partnership, e non fa male fare domande su quali informazioni è obbligatorio o facoltativo rivelare.
11. Utilizzare portafogli multisig per proteggere i saldi di grandi dimensioni
Il tipo di portafoglio bitcoin più comunemente utilizzato dai principianti è protetto da un solo portafoglio hardware e da una frase seed. Questo tipo di portafoglio è chiamato singlesig wallet e, sebbene possa essere facile e conveniente, presenta sempre un singolo punto di errore. Se la seed phrase o il portafoglio hardware vengono persi, distrutti, rubati, rivelati o compromessi in qualche modo, i bitcoin possono essere persi per sempre.
Tuttavia, un portafoglio singleig non è l'unica opzione. Man mano che i possessori di bitcoin diventano più esperti, impareranno che i portafogli multisig offrono un maggior grado di sicurezza. I portafogli multisig sono in grado di eliminare tutti i singoli punti di guasto, in modo che nessun elemento o pezzo di informazione possa essere perso o rubato per far perdere l'accesso ai propri bitcoin. Questo è particolarmente efficace per contrastare i truffatori, perché anche se riuscissero a ottenere un pezzo di informazioni sensibili per proteggere il vostro bitcoin, rimarrebbero delusi nello scoprire che sono necessari altri pezzi.
Per saperne di più sui diversi approcci alla custodia dei bitcoin e sui relativi compromessi, potete consultare questo articolo completo che li mette a confronto. Per riassumere, un portafoglio singleig potrebbe essere una buona opzione per i saldi più piccoli, ma il multisig è altamente raccomandato per i saldi più grandi.
Considerazioni finali
Ci auguriamo che alcuni o tutti gli elementi di questo elenco siano utili per difendere i vostri risparmi in bitcoin negli anni a venire. Anche se non si tratta di un elenco esaustivo, e ci sono altri consigli validi a disposizione, queste undici regole dovrebbero servire come una solida base per proteggersi e per condividerle con amici e familiari che stanno cercando di fare lo stesso.