Quando c’è di mezzo il denaro, fisico o digitale, si verificano regolarmente delle truffe. Che ne accadano anche con le criptovalute, quindi, non ci deve stupire. Nel febbraio 2022, per esempio, la piattaforma di scambio Wormhole ha perso 320 milioni di dollari in seguito a un attacco informatico. In generale, inoltre, secondo un rapporto della Federal Trade Commission i truffatori di criptovalute hanno rubato più di 1 miliardo di dollari dal 2021 a oggi.
La valuta digitale è una forma di moneta memorizzata in un portafoglio digitale che può essere trasformata dal proprietario in contanti per essere poi trasferita su un conto bancario. Le criptovalute, come il bitcoin, sono diverse. In questo caso, infatti, viene utilizzata la blockchain per la verifica, senza passare attraverso istituzioni finanziarie. Ciò comporta che, in caso di furto, diventano più difficili da recuperare.
Anche se le criptovalute sono una tendenza recente, i ladri utilizzano spesso i soliti classici metodi per rubare. Ecco alcune delle più comuni truffe di criptovalute a cui prestare attenzione.
1. Schemi di investimento in Bitcoin
In questi schemi di investimento, i truffatori si presentano alle vittime nelle vesti di esperti in “gestione di investimenti“. Per accreditarsi ai loro occhi, affermano di aver guadagnato milioni investendo in criptovalute e promettono ingenti guadagni.
Per avviare la propria attività, i criminali chiedono un pagamento anticipato che poi trattengono per sé, invece di impiegarlo per far arricchire “i clienti”. In alcuni casi possono anche richiedere informazioni di identificazione personale, sostenendo che servono per trasferire o depositare fondi. È un modo per ottenere l’accesso alle criptovalute di una persona.
Un altro tipo di truffa legato agli investimenti punta sull’utilizzo di false sponsorizzazioni da parte di celebrità. I truffatori inseriscono foto reali in account, annunci o articoli falsi, per far sembrare che un certo VIP stia promuovendo un grande guadagno finanziario proveniente da un investimento fatto con il loro aiuto. Le fonti di queste affermazioni sembrano legittime: utilizzando nomi di società affidabili come ABC o CBS con siti web e loghi dall’aspetto professionale, ma le celebrità citate sono all’oscuro di tutto: la loro approvazione è pura invenzione.
2. Truffe rug pull
Le truffe “rug pull” prevedono che i truffatori di investimenti “spingano” un nuovo progetto, un token non fungibile (NFT) o una moneta, per ottenere finanziamenti. Una volta ottenuto il denaro, poi, spariscono. Nel frattempo, la codifica di questi investimenti impedisce di vendere i bitcoin dopo l’acquisto, per cui gli investitori-vittime si ritrovano con un pugno di mosche.
Un caso molto popolare di questa tipologia di truffa è noto come Squid coin, dalla popolare serie Netflix Squid Game. Gli investitori dovevano giocare per guadagnare criptovaluta: le persone acquistavano i token per i giochi online e ne guadagnavano altri in seguito, per scambiarli con altre criptovalute. Il prezzo del token Squid è passato dal valore di 1 centesimo a circa 90 dollari per token. Alla fine, gli scambi si sono interrotti e il denaro è scomparso. Il valore del token ha presto raggiunto lo zero, poiché le persone hanno tentato di vendere i loro token, senza riuscirci, permettendo ai truffatori di guadagnare circa 3 milioni di dollari. Oltre che con le criptovalute, le truffe “rug pull” possono essere realizzate anche con gli NFT, che sono beni digitali unici nel loro genere.
3. Truffe romantiche
Le app di incontri possono costituire un ambiente promettente per realizzare truffe di criptovalute. Tipicamente riguardano relazioni a distanza e rigorosamente online: una parte impiega tempo per guadagnarsi la fiducia dell’altra per convincerla ad acquistare o a dare denaro in qualche forma di criptovaluta. Ottenuto il bottino, il truffatore scompare. Queste truffe sono anche chiamate “truffe della macellazione del maiale”.
4. Truffe di phishing
Questo genere di inganno esiste da tempo ma è ancora molto diffuso. I truffatori inviano e-mail con link malevoli a siti web falsi, creati per raccogliere dati personali, come le informazioni sulle chiavi dei portafogli di criptovalute.
A differenza delle password, gli utenti ricevono solo una chiave privata unica per i portafogli digitali e, se viene rubata, è difficile cambiarla. Dato che ogni portafoglio ne ha una unica, per aggiornarla si deve creare un nuovo portafoglio.
Per evitare le truffe di phishing, non bisogna mai inserire informazioni riservate attraverso un link ricevuto via e-mail. Sempre bisogna andare sempre direttamente al sito che si vuole utilizzare, anche se il collegamento indicato dal link fornito può sembrare del tutto legittimo.
5. Attacco “man-in-the-middle”
Quando gli utenti accedono a un conto di criptovaluta in un luogo pubblico, i truffatori possono rubare le loro informazioni private e sensibili. Spesso sono in grado di intercettare qualsiasi informazione inviata su una rete pubblica, comprese le password, le chiavi dei portafogli di criptovalute e le informazioni sui conti.
Ogni volta che un utente è connesso, un ladro può raccogliere queste informazioni sensibili utilizzando l’approccio dell’attacco man-in-the-middle. Ciò avviene intercettando i segnali Wi-Fi delle reti fidate se queste sono vicine.
Il modo migliore per evitare questi attacchi è bloccarli utilizzando una rete privata virtuale (VPN). Questo tipo di network cripta tutti i dati trasmessi, impedendo ai ladri di accedere alle informazioni personali e rubare criptovalute.
6. Truffe sui social media per regalare criptovalute
Ci sono molti post fraudolenti sui social media che promettono omaggi in bitcoin. In alcuni casi vengono sfruttati anche falsi account di celebrità che promuovono l’offerta, per attirare più persone. Tuttavia, quando qualcuno clicca sul giveaway, viene portato su un sito fraudolento in cui, per dimostrare la legittimità dell’account e ricevere il bitcoin promesso, viene richiesto un pagamento. Di solito la vittima perde questo pagamento ma, nel peggiore dei casi, clicca anche su un link maligno facendosi rubare informazioni personali e criptovaluta.
7. Schema Ponzi
Questi noti schemi pagano gli investitori più anziani con i proventi di quelli nuovi. Il meccanismo per ottenere nuovi investitori, prevede che i truffatori di criptovalute ne attirino con il bitcoin. Hanno una struttura circolare, non ci sono investimenti legittimi: si punta a nuovi investitori per ottenere denaro.
La principale attrattiva, in uno schema Ponzi, è la promessa di enormi profitti con pochi rischi. Si tratta in verità di investimenti che comportano sempre alti rischi e non hanno rendimenti garantiti.
8. Falsi scambi di criptovalute
I truffatori possono attirare gli investitori facendo leva sulla promessa di uno scambio di criptovalute particolarmente conveniente. In realtà non avviene alcuno scambio e l’investitore se ne accorge solo dopo aver perso il proprio denaro. Per evitare di essere ingannati, meglio attenersi a mercati di scambio di criptovalute noti – come Coinbase, Crypto.com e Cash App – evitando quelli sconosciuti. Importante anche effettuare delle ricerche e controllare i siti di settore, per ottenere dettagli sulla reputazione e la legittimità dell’exchange prima di inserirvi qualsiasi informazione personale.
9. Offerte di lavoro e dipendenti fraudolenti
I truffatori possono anche fingersi reclutatori o persone in cerca di lavoro per ottenere l’accesso ai conti di criptovaluta. Con questo stratagemma, offrono un lavoro interessante ma richiedono criptovalute come pagamento per la formazione professionale.
Esistono anche truffe per l’assunzione di lavoratori a distanza. Per esempio, i freelance informatici nordcoreani cercano di sfruttare le opportunità di lavoro da remoto presentando curriculum impressionanti e affermando di essere residenti negli Stati Uniti. Proprio il Dipartimento del Tesoro degli Stati Uniti ha infatti lanciato un allarme su questa truffa nordcoreana che ha come obiettivo le società di criptovalute, denominandola “forza lavoro ombra”.
Nel 2022, questi criminali hanno preso di mira un ingegnere di Sky Mavis fingendosi un reclutatore di LinkedIn. L’uomo ha avuto un colloquio telefonico con un lavoratore ombra che gli ha consegnato un documento da esaminare per la fase successiva del colloquio. Vi era nascosto un codice maligno che ha permesso al gruppo nordcoreano Lazarus di rubare 600 milioni di dollari in un attacco ponte.
Questi freelance dell’IT cercano progetti che riguardano la valuta virtuale e utilizzano l’accesso per gli scambi di valuta. Poi si introducono nei sistemi per raccogliere denaro o rubare informazioni per la Repubblica Popolare Democratica di Corea (RPDC). Gli stessi lavoratori si dedicano anche ad altre attività informatiche qualificate e utilizzano le loro conoscenze per ottenere l’accesso da insider e consentire gli attacchi informatici dannosi della RPDC. Secondo Chainalysis, con questo tipo di truffe, i lavoratori ombra hanno rubato quasi 3 miliardi di dollari nell’ultimo anno.
10. Attacco con prestiti flash
I prestiti flash sono prestiti per brevi periodi di tempo, per esempio pochi secondi, per effettuare una precisa operazione. Questi prestiti sono popolari nel mercato delle criptovalute perché i trader utilizzano i fondi per acquistare token su una piattaforma con un prezzo più basso, per poi vendere immediatamente l’asset su un’altra piattaforma e guadagnare denaro. Operazioni del genere vengono effettuate in un’unica transazione e il prestito flash viene rimborsato.
Poiché i prestiti flash non sono garantiti e non ci sono controlli di credito, un aggressore può trarre vantaggio dal prestito di fondi e usarli per manipolare i prezzi su una piattaforma DeFi creando diversi ordini di acquisto e di vendita “inscenare” una domanda elevata. Dopo l’aumento dei prezzi, l’aggressore cancella gli ordini, provocandone un immediato crollo. L’aggressore può quindi trarre profitto acquistando a un prezzo più basso su un’altra piattaforma.
Nel febbraio 2023, Platypus Finance è stata vittima di un attacco di tipo flash loan, che ha causato una perdita di 8,5 milioni di dollari.
Come proteggere bitcoin e criptovalute
Per identificare le truffe di criptovalute, ecco alcuni dei segnali più comuni che ci devono far insospettire:
- promesse di grandi guadagni o di raddoppio dell’investimento;
- accettazione di criptovalute come pagamento;
- obblighi contrattuali;
- errori ortografici e grammaticali nelle e-mail, nei post sui social media o in qualsiasi altra comunicazione;
- tattiche di manipolazione, come l’estorsione o il ricatto;
- promesse di denaro gratuito;
- falsi influencer o adesioni di celebrità che sembrano fuori luogo;
- dettagli minimi sui movimenti di denaro e sull’investimento;
- numerose transazioni in un solo giorno
Per proteggere i propri portafogli digitali dai truffatori possono risultare utili alcune best practices di sicurezza digitale, come password sicura, l’utilizzo di sole connessioni protette o VPN e la scelta di un archivio sicuro.
Esistono due tipi di portafogli: digitali e hardware. I primi sono ospitati online e hanno una maggiore probabilità di essere violati, quelli hardware memorizzano le informazioni, come il portafoglio di criptovalute e le chiavi, offline all’interno di un dispositivo. In ogni caso, mai dare le chiavi di un portafoglio o i codici di accesso a nessuno.