Nel mondo delle criptovalute, della finanza decentralizzata (defi) e del Web3, gli airdrop sono diventati un luogo comune nel settore. Tuttavia, mentre gli airdrop suonano come denaro gratuito, c'è stata una tendenza crescente di truffe di phishing airdrop che rubano i soldi delle persone quando tentano di ottenere i cosiddetti asset crittografici "gratuiti". Quello che segue è uno sguardo a due diversi modi in cui gli aggressori utilizzano le truffe di phishing airdrop per rubare fondi e come puoi proteggerti.
Airdrops non significa sempre "crittografia gratuita": molte promozioni di omaggi Airdrop stanno cercando di derubarti
Airdrops è stato sinonimo di fondi crittografici gratuiti, tanto che è diventata prevalente una truffa crittografica in aumento chiamata airdrop phishing. Se fai parte della comunità delle criptovalute e utilizzi piattaforme di social media come Twitter o Facebook, probabilmente hai visto numerosi post di spam che pubblicizzano airdrop di ogni tipo.
Di solito, un popolare account crittografico Twitter fa un tweet ed è seguito da una sfilza di truffatori che pubblicizzano tentativi di phishing airdrop e molti account che affermano di aver ricevuto denaro gratuito. La maggior parte delle persone non si innamorerà di queste truffe di airdrop, ma poiché gli airdrop sono considerati criptovalute gratuite, ci sono state un sacco di persone che hanno perso fondi cadendo vittime di questo tipo di attacchi.
Il primo attacco utilizza lo stesso metodo pubblicitario sui social media, poiché un certo numero di persone o bot inviano un collegamento che porta alla pagina Web delle truffe di phishing airdrop. Il sito Web sospetto può sembrare molto legittimo e persino copiare alcuni elementi dai popolari progetti Web3, ma alla fine i truffatori stanno cercando di rubare fondi. La truffa airdrop gratuita potrebbe essere un token crittografico sconosciuto o potrebbe anche essere una risorsa digitale esistente popolare come BTC, ETH, SHIB, DOGE e altro.
Il primo attacco di solito mostra che l'airdrop è ricevibile ma la persona deve utilizzare un portafoglio Web3 compatibile per recuperare i fondi cosiddetti "gratuiti". Il sito Web condurrà a una pagina che mostra tutti i portafogli Web3 popolari come Metamask e altri, ma questa volta, quando si fa clic sul collegamento del portafoglio verrà visualizzato un errore e il sito chiederà all'utente la frase seme.
Per ottenere supporto, apri MetaMask e vai a "Supporto" o "Richiedi aiuto" nel menu a discesa. Non fidarti di nessuno che ti ha inviato un messaggio diretto. IN NESSUN CASO dovresti mai dare la tua frase segreta di recupero a qualcuno o inserirla in qualsiasi sito!
— Supporto MetaMask (@MetaMaskSupport) 29 aprile 2022
È qui che le cose si complicano perché un portafoglio Web3 non chiederà mai il seme o la frase mnemonica 12-24 a meno che l'utente non stia ripristinando attivamente un portafoglio. Tuttavia, gli ignari utenti della truffa di phishing airdrop potrebbero ritenere che l'errore sia legittimo e inserire il proprio seed nella pagina Web che alla fine porta alla perdita di tutti i fondi archiviati nel portafoglio.
Fondamentalmente, l'utente ha appena fornito le chiavi private agli aggressori cadendo nella pagina di errore del portafoglio Web3 chiedendo una frase mnemonica. Una persona non dovrebbe mai inserire il proprio seme o una frase mnemonica 12-24 se richiesto da una fonte sconosciuta e, a meno che non sia necessario ripristinare un portafoglio, non è mai necessario inserire una frase seme online.
Dare a un oscuro permessi Dapp non è l'idea migliore
Il secondo attacco è un po' più complicato e l'attaccante usa i tecnicismi del codice per derubare l'utente del portafoglio Web3. Allo stesso modo, la truffa di phishing airdrop sarà pubblicizzata sui social media ma questa volta quando la persona visita il portale web, può utilizzare il proprio portafoglio Web3 per "connettersi" al sito.
Tuttavia, l'attaccante ha scritto il codice in modo tale che, invece di concedere al sito l'accesso in lettura ai saldi, l'utente alla fine concede al sito il permesso completo di rubare i fondi nel portafoglio Web3. Ciò può accadere semplicemente collegando un portafoglio Web3 a un sito truffa e concedendogli le autorizzazioni. L'attacco può essere evitato semplicemente non collegandosi al sito e allontanandosi, ma ci sono molte persone che sono cadute in questo attacco di phishing.
Ecco l'ultima truffa di phishing
1️⃣ Airdrop un gettone
2️⃣ Costruisci un sito web con lo stesso nome in modo che sia facilmente reperibile
3️⃣ Quando trovi quello che sembra essere staking per questo token, Approve txn ti dà una spesa illimitata di altri token (es. SNX)Quindi prosciugano il tuo portafoglio del token. pic.twitter.com/vICIeC5rGk
- DeFi Dad ⟠ defidad.eth (@DeFi_Dad) Dicembre 20, 2021
Un altro modo per proteggere un portafoglio è assicurarsi che le autorizzazioni Web3 del portafoglio siano collegate ai siti di cui l'utente si fida. Se ci sono applicazioni decentralizzate (dapp) che sembrano losche, gli utenti dovrebbero rimuovere i permessi se si sono collegati accidentalmente al dapp cadendo per la truffa crittografica "gratuita". Tuttavia, di solito, è troppo tardi e una volta che il dapp ha il permesso di accedere ai fondi del portafoglio, la crittografia viene rubata all'utente tramite il codice dannoso applicato al dapp.
Il modo migliore per proteggersi dai due attacchi sopra menzionati è non inserire mai la tua frase seed online a meno che tu non stia ripristinando di proposito un portafoglio. Oltre a questo, è anche una buona forma non connettersi mai o concedere autorizzazioni al portafoglio Web3 a siti Web e dapp ombrosi Web3 con cui non si ha familiarità. Questi due attacchi possono causare gravi perdite agli investitori ignari se non prestano attenzione all'attuale tendenza dell'airdrop phishing.
Conosci qualcuno che è caduto vittima di questo tipo di truffa di phishing? Come si individuano i tentativi di phishing di criptovalute? Fateci sapere che ne pensate nei commenti.
Crediti Image:Shutterstock, Pixabay, Wiki Commons
Negazione di responsabilità: Questo articolo è solo a scopo informativo. Non è un'offerta diretta o una sollecitazione di un'offerta di acquisto o vendita, né una raccomandazione o avallo di prodotti, servizi o società. Bitcoin.com non fornisce consulenza di investimento, fiscale, legale o contabile. Né la società né l'autore sono responsabili, direttamente o indirettamente, per eventuali danni o perdite causati o presunti causati da o in connessione con l'uso o la dipendenza da qualsiasi contenuto, beni o servizi menzionati in questo articolo.
Fonte: https://news.bitcoin.com/the-2-most-common-airdrop-phishing-attacks-and-how-web3-wallet-owners-can-stay-protected/