Come produttori di hardware wallet, il titolo di questo articolo potrebbe sembrare un po’ controintuitivo. Ovviamente, il nostro obiettivo non è rubare bitcoin, ma piuttosto fornire alle persone gli strumenti per rendere l’autocustodia dei propri bitcoin il più semplice e sicura possibile. Tuttavia, dal punto di vista dell’utente, pensare a come potrebbero essere rubati i bitcoin può rivelarsi un esercizio molto utile!
Adottare la mentalità di un attaccante può aiutare a individuare i punti deboli nelle proprie difese e ad aumentare la consapevolezza generale dei rischi potenziali che si possono incontrare nell’uso quotidiano. Per fare esattamente questo, esploriamo alcuni dei metodi di attacco più comuni – e vediamo come proteggersi da essi.
Ingannare qualcuno facendogli scaricare un’app falsa
I software wallet falsi possono farti credere di utilizzare un’app autentica proveniente da una fonte affidabile, imitando il loro comportamento e l’interfaccia utente. Questo può rapidamente creare un falso senso di familiarità e, perciò, rappresenta un metodo di attacco molto efficace.
Esistono diversi modi in cui questo tipo di software può arrivare sui tuoi dispositivi, ad esempio manipolando i risultati dei motori di ricerca, inviandoti link dannosi o installandosi in background come parte di un’altra installazione software apparentemente non correlata.
Come avviene anche con altri metodi di attacco, i software wallet falsi possono differire per il livello di sofisticazione con cui l’attacco viene pianificato e messo in atto. Nell’esempio sopra, l’attacco è piuttosto evidente, poiché l’app chiede direttamente le parole di recupero: questo dovrebbe immediatamente allertare la maggior parte degli utenti, dal momento che la vera BitBoxApp non lo farebbe mai.
Tuttavia, una versione contraffatta della BitBoxApp – o di qualsiasi altro software wallet, a dire il vero – potrebbe teoricamente sembrare identica all’originale, con sottili modifiche in background in grado di manipolare indirizzi o importi delle transazioni. Ma di questo parleremo meglio più avanti!
Come proteggerti
Per evitare di installare versioni false, scarica sempre il software del wallet direttamente dal sito ufficiale dello sviluppatore. Per la BitBoxApp è questo bitbox.swiss/download. Anche quando scarichi tramite l’Apple App Store o il Google Play Store, consigliamo di utilizzare i link presenti sul nostro sito quando li installi per la prima volta.
Verificare il dominio nella barra degli indirizzi del browser è un passo utile per assicurarti di trovarti nel posto giusto. Può anche essere sensato salvare i siti ufficiali tra i preferiti, per evitare di digitare in modo errato i loro URL in futuro, ed evitare di usare i motori di ricerca quando installi dei software sensibili: i loro algoritmi potrebbero mostrarti annunci o risultati sbagliati invece del sito ufficiale che stai cercando.
Se hai le competenze tecniche, puoi anche verificare la firma che forniamo per ogni rilascio dell’app, in modo da controllare l’autenticità della BitBoxApp che hai scaricato; oppure, in alternativa, verificare che il checksum corrisponda.
Indipendentemente da quanto tu sia attento nello scaricare software, tieni presente che, in definitiva, non dovresti comunque fidarti ciecamente del tuo smartphone o computer. L’hardware wallet e il suo display devono sempre rappresentare l’ultima e più importante barriera di sicurezza quando si tratta di verificare indirizzi e dettagli delle transazioni. Anche se stessi utilizzando un’app falsa molto sofisticata, il display del BitBox finirebbe comunque per rivelare la verità. È esattamente per questo che gli hardware wallet sono stati progettati: mantenere al sicuro le chiavi private e ridurre al minimo la necessità di fidarsi del dispositivo host.
Scopri di più sul motivo per cui un hardware wallet deve assolutamente avere un display proprio.
Manipolazione degli indirizzi Bitcoin
Uno dei metodi di attacco più potenti è la manipolazione diretta degli indirizzi di ricezione. Può colpire praticamente chiunque, indipendentemente da quanto sicura sia la configurazione del wallet, poiché la maggior parte delle interazioni con gli indirizzi di ricezione avviene al di fuori dell’ambiente sicuro degli hardware wallet.
Lo spoofing degli indirizzi può assumere diverse forme. Che si tratti di qualcuno che si finge semplicemente un tuo amico, fornendoti un indirizzo di ricezione falso, oppure di attacchi altamente sofisticati in cui un malware sostituisce silenziosamente gli indirizzi di ricezione in background, usare l’indirizzo sbagliato porta a una perdita di fondi irreversibile.
In un esempio molto recente, un attacco alla catena di distribuzione nel popolare Node Package Manager (NPM) ha portato alla compromissione di diversi pacchetti utilizzati dagli sviluppatori in molte applicazioni, infettandoli con malware. A causa della natura dell’utilizzo di questi pacchetti software, il malware è stato installato miliardi di volte nel breve periodo in cui è stato disponibile. Il suo obiettivo era cercare di rubare criptovalute sostituendo gli indirizzi dei wallet con altri simili, ma appartenenti a un attaccante. Fortunatamente, l’attacco non ha avuto grande successo nel rubare fondi, ma dimostra quanto rapidamente la possibilità di spoofing degli indirizzi possa diventare una minaccia reale. La BitBoxApp e il firmware BitBox02 non sono stati interessati da questa vulnerabilità.
Come proteggersi
Proteggersi dalle forme più semplici di spoofing degli indirizzi è relativamente facile, ma richiede una buona dose di attenzione. In sostanza, l’attacco sfrutta il fatto che non puoi fidarti del tuo dispositivo host per verificare se un indirizzo di ricezione appartiene al tuo wallet o se il dispositivo host sta effettivamente usando l’indirizzo corretto a cui vuoi inviare bitcoin.
Per questo motivo dovresti sempre confrontare l’indirizzo Bitcoin mostrato sul tuo hardware wallet con la sua origine o destinazione. Ad esempio, quando condividi un nuovo indirizzo di ricezione con un exchange, confronta l’indirizzo sul dispositivo con quello che hai effettivamente incollato nel browser. Allo stesso modo, quando qualcuno ti invia un indirizzo, confronta ciò che viene mostrato sul BitBox con l’indirizzo da cui l’hai ricevuto originariamente.
Assicurati di confrontare la maggior parte dei caratteri dell’indirizzo Bitcoin. Il consiglio popolare di “controllare solo i primi e gli ultimi caratteri” non è sempre sufficiente, poiché esistono modi per manipolare gli indirizzi in modo che appaiano visivamente simili in alcune parti (ad esempio sfruttando la distanza di Levenshtein). In effetti, manipolazioni astute degli indirizzi come questa facevano parte anche della vulnerabilità del pacchetto NPM menzionata in precedenza.
Inviare in sicurezza
Raggiungere la certezza al 100% che un indirizzo a cui stai inviando bitcoin sia corretto è molto difficile. Questo perché l’integrità dell’indirizzo dipende non solo dal dispositivo host, ma da tutto il canale di comunicazione utilizzato per riceverlo inizialmente. Per ridurre ulteriormente il rischio di inviare fondi all’indirizzo sbagliato, puoi verificare l’indirizzo anche tramite un canale di comunicazione indipendente (ad esempio usando un dispositivo o un messenger diverso).
Noi siamo andati ancora oltre e abbiamo implementato le richieste di pagamento nel firmware BitBox02 per rendere più sicura la vendita di bitcoin con il nostro partner Pocket Bitcoin. In questo modo, il BitBox può verificare crittograficamente che un indirizzo provenga direttamente da Pocket e non sia stato modificato nel processo, senza dover fidarsi del dispositivo host.
Invio di email truffa
Il phishing è vecchio quanto Internet stesso, e bitcoin non fa eccezione. Le email truffa e, più in generale, l’ingegneria sociale sono purtroppo ancora molto efficaci. Questo è principalmente dovuto alla facilità con cui tali attacchi possono essere scalati: inviare email a migliaia di persone o impersonare qualcuno su Telegram è veloce e non comporta costi iniziali elevati per gli attaccanti. Anche se solo una piccola parte dei destinatari cade nella trappola e commette un errore, potrebbe essere sufficiente per rendere l’attacco redditizio.
Come proteggersi
Se qualcuno ti chiede informazioni sensibili sul tuo wallet, come le parole di recupero, tutti i tuoi segnali di allarme interni dovrebbero scattare immediatamente, indipendentemente da quanto il messaggio possa sembrare legittimo – e anche se conosci personalmente la persona.
Questo vale soprattutto per i messaggi falsi che potresti ricevere da produttori di hardware wallet. Se ricevi un’email o un messaggio su Telegram da “BitBox Support” che ti chiede le parole di recupero a causa di un “aggiornamento di sicurezza importante”, si tratta sicuramente di un tentativo di phishing e dovresti ignorare e cancellare immediatamente il messaggio, senza cliccare su link o aprire allegati.
Leggi il nostro articolo più approfondito su come proteggersi dalle email truffa.
Utilizzo di keylogger
Ultimo, ma non meno importante, arriviamo a un metodo di attacco più “classico”, in uso da quanto esistono le tastiere: i keylogger monitorano gli input che digiti sulla tastiera e li inoltrano a un attaccante. Possono funzionare in background senza destare sospetti o persino al di fuori del sistema operativo del tuo computer – direttamente nel firmware della tastiera o da remoto intercettando la comunicazione wireless.
Se può essere fastidioso se un keylogger scopre che tipo di email scrivi ai colleghi, sarebbe catastrofico se inserissi le 12 o 24 parole di recupero del tuo wallet Bitcoin direttamente sul computer – dando agli attaccanti il pieno controllo del wallet associato. Questo è anche uno dei molti motivi per cui dovresti evitare di usare wallet puramente software (noti anche come “hot wallet”) per somme ingenti di denaro.
Come proteggersi
Oltre a utilizzare un hardware wallet per proteggerti dai keylogger in primo luogo, la regola più importante è non inserire mai le tue parole di recupero da nessuna parte tranne che direttamente sul tuo hardware wallet. Assicurati di conservare backup del wallet in un luogo sicuro e ben nascosto, e non condividerli mai con nessuno a cui non affideresti completamente il controllo del tuo wallet.
Conclusione
Leggendo tutti questi metodi di attacco e i modi per proteggersi, tutto può sembrare un po’ difficile e spaventoso. L’autocustodia è davvero così semplice, se ci sono così tante cose da tenere a mente per evitare errori costosi?
In realtà, se osservi attentamente tutte le raccomandazioni menzionate sopra – e quelle relative ad altri metodi di attacco contro gli utenti di hardware wallet – i principi fondamentali da seguire per rimanere al sicuro sono abbastanza semplici. Se tu…
- Verifichi sempre tutti i dettagli delle transazioni e gli indirizzi di ricezione sul display sicuro del tuo hardware wallet.
- Non condividi mai le tue parole di recupero con nessun altro, e le inserisci solo direttamente sul tuo hardware wallet.
…ci sarà pochissimo margine per gli attaccanti e molta tranquillità per te e i tuoi bitcoin!
Non hai ancora un BitBox?
Mantenere le tue criptovalute al sicuro non deve essere complicato. Gli hardware wallet BitBox conservano le chiavi private delle tue criptovalute offline, così puoi gestire i tuoi fondi in modo sicuro.
Sia il BitBox02 Nova che il BitBox02 sono disponibili anche in una versione dedicata solo a Bitcoin, con un firmware radicalmente ottimizzato: meno codice significa meno punti vulnerabili, migliorando ulteriormente la sicurezza quando conservi solo Bitcoin.
Preordina il BitBox02 Nova o acquista un BitBox02 nel nostro shop!
Shift Crypto è un'azienda privata con sede a Zurigo, in Svizzera. Il nostro team di contributori di Bitcoin, esperti di criptovalute e ingegneri della sicurezza crea prodotti che consentono ai clienti di godere di un percorso senza stress dal livello principiante a quello di padronanza nella gestione delle criptovalute. BitBox02, il nostro hardware wallet di seconda generazione, consente agli utenti di memorizzare, proteggere e effettuare transazioni in Bitcoin e altre criptovalute con facilità - insieme al suo compagno software, la BitBoxApp.