I titolari di NFT sono diventati bersagli privilegiati di truffe di ogni tipo. E quando il token effettivamente acquistato è supportato da un progetto reale, gli attacchi di phishing prendono il sopravvento. Ciò avviene per privare le vittime designate dei diritti acquisiti sulle loro preziose immagini digitali. Una realtà che ha colpito ripetutamente la comunità del Bored Ape Yacht Club negli ultimi mesi, con perdite per milioni di dollari. Ma non sono solo i titolari di BAYC a essere fregati. E, come sottolinea l’azienda di sicurezza CertiK, sono necessarie alcune regole di igiene crittografica.
I risultati sono tanto preoccupanti quanto dannosi. Oltre il 90% dei titolari di NFT è già stato vittima di una frode accertata. Le perdite sono talvolta colossali, a seconda della collezione interessata. Da qualche mese, inoltre, campagne di phishing aggressive stanno prendendo di mira i titolari di Bored Ape Yacht Club. La più recente è stata effettuata qualche giorno fa, in seguito all’hackeraggio dell’account Discord di un leader della comunità. Il tutto per una perdita stimata di 142 PF (oltre 255.000 dollari al momento dell’incidente).
Naturalmente, i rimedi disponibili sono pochi (se non nulli). E tutte le collezioni sono mirate, anche se vengono privilegiate le più popolari. Con procedure molto ben costruite, ma il più delle volte identificabili per chi non cede alla fretta. Elementi in parte sottolineati dalla struttura di sicurezza CertiK in una recente pubblicazione sull’argomento.
NFT – Igiene digitale e phishing
Tutto questo si chiama igiene digitale. Ed è sempre più facile presentarlo che applicarlo a se stessi. Soprattutto quando il link in cui vi siete imbattuti afferma che ci sono solo un centinaio di copie da ottenere al più presto. E che, per un colpo di fortuna, il vostro indirizzo è stato selezionato per partecipare. E poi si finisce per consegnare i propri NFT all’hacker e pagare le spese di rete per inviarglieli. Una procedura di phishing classica, ma che continua a creare scompiglio. Ecco perché questo chiarimento appare ancora una volta necessario.
E anche se questo tipo di attacco non riguarda solo il settore dei token NFT, quest’ultimo sembra essere diventato un terreno di gioco particolarmente favorito. Forse in parte perché la loro adozione è in gran parte al di fuori del settore delle criptovalute, che si ritiene sia (in qualche modo) più resistente a questo tipo di sgradevolezze. O perché la loro indivisibilità strutturale (non fungibile) rende questo tipo di operazione più facile e redditizia. In ogni caso, i loro titolari dovrebbero diffidare dei link inviati alla loro attenzione, o messi sui social network per aspettare la prossima vittima.. Perché le trappole sono ovunque…
NFT – Come identificare un sito di phishing?
Per questo motivo, CertiK ha appena pubblicato un resoconto degli attacchi subiti dalla comunità BAYC. Evidenzia i punti da considerare per identificare una copia carbone del loro sito ufficiale, creata per ingannare le vittime. Mancano però, tra le altre cose, i classici link agli account dei social network. Differenze presentate come « sottili » ma che, una volta identificate, dovrebbero assolutamente far scattare tutti gli allarmi… e la fuga di notizie!
» Il link di phishing postato sul Discord di BAYC reindirizzava a una copia carbone del sito web ufficiale del progetto, ma con sottili differenze. In primo luogo, non c’erano link agli account dei social media. È stata inoltre aggiunta una scheda intitolata « Claim Free Land », rivolta in particolare ai titolari di progetti NFT popolari.«
CertiK
Anche farsi ingannare da un post su Twitter il cui nome sembra essere ufficiale, ma il cui account « @ » non è rassicurante. Anche se ha il prezioso simbolo di convalida, che ci si chiede come Twitter distribuisca. E per il quale il proprio account è stato identificato tra un’improbabile lista di commenti copia-incollati. Con questa regola piuttosto semplice: ciò che vi arriva è dubbio e deve essere verificato.. Per farlo basta visitare l’account ufficiale del progetto che dovrebbe realizzare questa campagna di « regali ». E partendo dal presupposto che il minimo dubbio dovrebbe essere eliminatorio, anche se si rischia di perdere una « opportunità » così improbabile. Perché è improbabile!