I giochi play-to-earn, una delle più grandi rivoluzioni del Web3, stanno attirando sempre più gli hacker, che tentano di rubare fondi attaccando gli smart contract.
Hacker e gaming Web3: punti di forza e vulnerabilità
Il cosiddetto Web3 sta rivoluzionando il mondo del gaming, in particolare attraverso il play-to-earn, che consente ai giocatori di guadagnare NTF e criptovalute collegando il proprio portafoglio virtuale alla piattaforma su cui giocano.
La possibilità di guadagnare giocando attira sempre più utenti e aziende, con un fatturato in aumento 2.2 miliardi di euro.
Tuttavia, questo attira anche l'attenzione degli hacker, che stanno trovando nuovi modi per attaccare questi giochi nel tentativo di farlo rubare fondi ai giocatori. Un esempio di questo è il noto attacco quella rubata oltre 600 milioni di dollari dal videogioco Axie Infinity in criptovalute e stablecoin.
Ermete – Intelligent Web Protection ha condotto una ricerca per monitorare questo fenomeno. È un'azienda italiana selezionata da Gartner tra le prime 100 aziende mondiali che sfruttare l'intelligenza artificiale per la sicurezza informatica.
Il fatto è che nei giochi Web3, gli utenti possono operare in un ambiente non controllato da un'autorità centrale. Secondo Ermes, questo espone i giovani a contenuti inappropriati e nasconde il rischio di truffe, manipolazione dei dati e clonazione dell'identità.
Le 5 minacce informatiche individuate dalla ricerca di Ermes
Cryptojacking
Il primo è in realtà un attacco che esiste già da diversi anni. È conosciuto come cryptojacking, un attacco che mira a installare software sui dispositivi degli utenti che consenta loro di utilizzare la propria potenza di calcolo per estrarre criptovalute.
Si tratta di un attacco pensato per rimanere completamente nascosto alle sue vittime, tanto che spesso l'unica cosa che notano è un notevole rallentamento nel funzionamento del dispositivo.
Si tratta di un attacco che in modo efficace deruba l'utente di risorse come l'elettricità e la potenza di calcolo l'hacker per fare soldi attraverso il mining.
La truffa dell'ingegneria sociale
La seconda è ormai una classica truffa online, la cosiddetta social engineering. Ciò coinvolge principalmente tecniche psicologiche che sfruttare alcune note debolezze umane al fine di ottenere consapevolmente o inconsciamente l'accesso a informazioni personali o sistemi protetti da parte dell'utente.
È a tutti gli effetti basato sulla manipolazione delle vittime, di solito attraverso un pretesto o un falso motivo che di solito coinvolge dati reali delle vittime, come data di nascita, numero di previdenza sociale, ecc.
L'obiettivo è quello di acquisire informazioni o per la rivendita sul dark web, o più spesso per accedere a sistemi e piattaforme su cui compiere altri furti di fondi o informazioni.
Il famoso ransomware
Il terzo è diventato fin troppo familiare negli ultimi tempi, ovvero il ransomware. Molto semplicemente, questo è un virus che prende il controllo del dispositivo dell'utente e crittografa i dati memorizzati su di esso. In questo modo, l'utente perde l'accesso al suo dispositivo e l'hacker chiede quindi un riscatto per restituirglielo.
Tuttavia, è importante ricordare che le grandi aziende sono solitamente il bersaglio preferito dei ransomware, da cui vengono richieste ingenti somme di denaro come riscatto.
La minaccia dell'adware
Una minaccia spesso sottovalutata è l'adware, cioè apparentemente virus innocui che, una volta installati sui dispositivi degli utenti, si limitano a mostrare pubblicità. L'adware viene scaricato inconsapevolmente e inconsapevolmente dagli utenti e di solito è anche programmato per raccogliere informazioni su ciò che l'utente fa sul suo dispositivo.
Non solo gli fanno visualizzare annunci pubblicitari non richiesti, ma inviano anche all'hacker le informazioni raccolte direttamente sul dispositivo dell'utente.
Una tecnica di phishing complessa
La quinta minaccia è relativamente nuova e consiste in una tecnica di phishing molto difficile da rilevare. Si chiama browser-in-the-browser e consente agli aggressori di sovrapporre schermate di accesso false a normali pagine Web di servizi legittimi, che servono solo all'hacker per convincere l'utente a dargli inconsapevolmente il suo credenziali di accesso.
Se, ad esempio, dovessero ottenere il seme di un portafoglio crittografico in questo modo, potrebbero quindi utilizzarlo per sottrarre all'utente tutti i fondi in esso detenuti.
Parlando di questi risultati, Ermes CEO e co-fondatore Lorenzo Assuni disse:
“L'intelligenza artificiale giocherà un ruolo dominante nell'evoluzione del Web3. Una delle chiavi del potenziale successo del gaming 3.0, infatti, è la promessa di esperienze altamente immersive anche per le persone con disabilità: non si tratta più di semplici videogiochi, ma di esperienze sempre più immersive capaci di abbattere i confini tra i mondi offline e online e creando un'unica realtà. Il nostro team di ricerca e sviluppo sarà concentrato sull'ideazione di nuove tecnologie di sicurezza pensate per proteggere le persone in una nuova esperienza: crediamo che tutti abbiano il diritto di poter navigare in sicurezza, anche nel gaming 3.0”.
Fonte: https://en.cryptonomist.ch/2022/05/28/different-hacker-web3/