Una truffa in rete CATTIVISSIMA
Di Gabriele Brambilla
Parliamo di truffe in rete concentrandoci su una molto cattiva, parte della famiglia del social engineering
Introduzione
Oggi diamo spazio a una truffa che è costata ben 65.000 dollari in asset crypto ai ragazzi di 2140 Podcast.
Essi sono stati vittime di un attacco di social engineering, ossia una tipologia di truffa molto specifica, che mira a fare abbassare la guardia. Questi attacchi sono differenti rispetto a quelli che colpiscono la massa, perché spesso funzionano anche con chi ha più esperienza.
Vediamo di preciso cosa è successo e cosa possiamo imparare da questa lezione.
Indice
Inizia la truffa: la falsa offerta di lavoro
Tutto è cominciato con un’offerta di lavoro crypto pubblicata su portali quali CryptoJobList (molto conosciuto e autorevole) e LinkedIn, che non ha assolutamente bisogno di presentazioni. Già questo contesto tende a non far pensare al peggio: cosa potrà mai succedere cercando lavoro?
Si parla di social engineering proprio quando le difese si abbassano senza rendersene conto e si cade in uno scam estremamente targetizzato, ritagliato solo per una piccola nicchia di persone. Nel caso in questione, si trattava di un’offerta di lavoro nel mondo crypto per persone che già conoscono il settore, ma può avvenire anche in altri contesti; anni fa, anche il canale YouTube di The Crypto Gateway finì vittima di uno scam simile, chiaramente con dinamiche differenti.
Il denominatore comune è sempre quello di tenere basse le difese giocando con dei trigger emotivi.
Tornando al racconto, gli sfortunati protagonisti di questo scam hanno lasciato l’application per la proposta di lavoro. Precisiamo che era stato creato un sito ad hoc relativo al progetto in questione, profili LinkedIn del team e contatti vari: tutto faceva pensare a qualcosa di assolutamente legittimo.
Dopo l’application, i sedicenti membri del team hanno inviato un messaggio via Telegram alle vittime (pratica comune nel mondo crypto), dicendo che il profilo era interessante e che erano intenzionati a organizzare un colloquio. Qui entrano in gioco i fattori emotivi, perché di fatto si pensa all’opportunità professionale che si ha all’orizzonte, non al peggio.
Il giorno del colloquio, pochi minuti prima dell’ora X, i ragazzi di 2140 Podcast hanno ricevuto un messaggio da un membro del team. Con una scusa ben architettata (la presenza in chiamata di un fantomatico dirigente giapponese che non sapeva parlare in inglese), è stato richiesto alle vittime di scaricare un’applicazione per le videochiamate di nome GrassCall, contenente un software AI che traduce in tempo reale. Tutto perfettamente credibile, vero? Il social engineering è proprio questo.
Contemporaneamente gli attaccanti lasciano anche link e codice riunione, rinforzando ulteriormente la certezza che tutto fosse perfettamente in regola.
L’emozione dovuta al colloquio non fa pensare ai possibili rischi e quindi si scarica senza problemi il software. Anche il sito di GrassCall sembrava assolutamente legit: c’erano pure le indicazioni relative alla privacy policy, dettagli a cui gli scammer comuni non pensano di certo. Qui avviene l’attacco vero e proprio: GrassCall conteneva del software dannoso e non era ciò che si pensava.
Colloquio , attacco e truffa
Il malware contenuto nel programma attacca sia i sistemi operativi Windows che MacOS. Infatti, prima di scaricare il sito riconosce il proprio sistema e indirizza alla versione corretta del programma.
Nello specifico, il software malevolo è un trojan horse (che da il controllo del proprio pc all’attaccante) con key logger (capace di leggere tutte le password salvate). Tutti i dati arrivano all’attaccante, tutti.
Ma non è finita qui: dopo aver sottratto i dati, i software avviano una scansione per cercare wallet crypto. Se lo trovano, carpendo le informazioni dai wallet software possono riuscire a prendere il possesso dei fondi e trasferirli a un proprio wallet: esattamente quanto accaduto a 2140 Podcast.
Il problema è che i software wallet salvano in locale i dati di accesso; sono quindi più vulnerabili degli hardware wallet, che mettono di mezzo una barriera fisica.
Nel caso di 2140 Podcast, i fondi sottratti ammontano a 65k presenti su un wallet Phantom; tutto mentre loro pensavano al “colloquio”. Dal racconto dei malcapitati, sappiamo che gli attaccanti hanno portato avanti una manovra di brute force della password del wallet. Addirittura, se il wallet fosse già stato sbloccato, non sarebbe neppure servito: i malintenzionati avrebbero acquisito direttamente il controllo della sessione.
Conseguenze della truffa online
La conseguenza più importante di questo evento sono i 65k andati in fumo. Nelle truffe spesso sono i soldi l’obiettivo degli attaccanti, ma possono finire di mezzo anche dati personali molto sensibili, fotografie e altro ancora.
I responsabili dell’attacco sono gli hacker russi del gruppo Crazy Evil, talmente conosciuti che sono pure dotati di un canale Telegram.
Quando una truffa emerge perché segnalata da un po’ di persone, i vari siti eliminano le false offerte di lavoro, i profili social e via dicendo. Anche il sito web del “progetto” è stato oscurato. Dopodiché, i malintenzionati creano altri profili, siti e finti progetti, ricominciando da capo il giro.
Qui trovi il video con il racconto completo dei diretti interessati:
Difendersi e prevenire gli attacchi
Innanzitutto, sempre massima consapevolezza su quello che si sta facendo. Purtroppo spesso ciò non basta: i ragazzi di 2140 Podcast sono solo gli ultimi di un lungo elenco di persone in gamba che cadono vittime di queste truffe.
La prima protezione da adottare nel concreto è l’utilizzo di una suite di sicurezza come NordVPN, che comprende la Threat Protection e l’indispensabile VPN, utile non solo per proteggersi ma anche per visionare contenuti talvolta non raggiungibili dove ci troviamo.
Importantissimo anche integrare un hardware wallet. Aggiungendo una barriera materiale, gli attaccanti non possono prosciugare il nostro wallet crypto perché non sono in grado di firmare la transazione: serve il dispositivo fisico per farlo! Che sia un Ledger, un Trezor o altra soluzione valida, raccomandiamo assolutamente l’utilizzo anche con i wallet sotto forma di estensioni browser.
Terza azione da compiere: non lasciare aperti gli accessi ai wallet, chiudere sempre le sessioni dopo l’utilizzo.
Altro punto fondamentale, non salvare password e seed phrase su dispositivi informatici e/o in cloud: optare per le soluzioni fisiche e conservare il tutto in un posto sicuro.
Infine, puoi seguire il nostro Corso sulla sicurezza crypto (è gratuito) per imparare tutte le best practice per tutelarti in questo affascinante ma difficile mondo.
