Come rimanere al sicuro in cripto

Indice dei contenuti

1. Frasi segrete
2. Social media
3. Pubblicità
4. Collegamento ai siti web
5. E-mail di phishing
6. ICO e NFT
7. Truffe di investimento
8. Token falsi
9. Esempio di schema di truffa
10. Sintesi

Frasi segrete

Se ha letto i capitoli precedenti della nostra serie di lezioni, sa che uno degli scopi principali delle criptovalute è l'auto-custodia, e che l'auto-custodia consiste nel detenere e proteggere una frase segreta.

Pertanto, inizieremo questo articolo con un aggiornamento sulle frasi segrete (qui troverà un articolo più dettagliato su cosa sono le frasi segrete) e sulle migliori pratiche per gestirle in modo sicuro e protetto.

Le frasi segrete

Una frase segreta (detta anche frase seme) consiste in una serie di 12 o 24 parole casuali che costituiscono la chiave principale del suo portafoglio, e quindi dei suoi beni.

Si può pensare che sia come il codice pin del suo conto bancario o della sua carta di credito, in quanto le dà il controllo sui suoi cripto-asset. Ma più che una password, la frase segreta è anche l'unico modo per ripristinare il suo portafoglio in qualsiasi momento e in qualsiasi app di auto-custodia.

Lei riceverà una frase segreta dopo aver creato il suo portafoglio, con un'app come Bridge Wallet o qualsiasi altro portafoglio auto-custodiale.

Ad esempio, se lei utilizza Bridge Wallet sul cellulare e si cancella accidentalmente l'app, è possibile ripristinare facilmente il suo portafoglio con la frase segreta. Senza di essa, il portafoglio andrebbe irrimediabilmente perso, compresi tutti i suoi beni.

Frasi segrete

Sicurezza della frase segreta

La gestione corretta e sicura di una frase segreta è tanto semplice quanto importante. Pertanto, è fondamentale che lei si prenda il tempo necessario per leggere e imparare le seguenti regole:

1. Quando lei crea una nuova frase segreta, la scriva immediatamente. Si assicuri di scrivere le parole nello stesso identico ordine.
2. Non mostri mai la sua frase segreta a qualcun altro, altrimenti potrà impossessarsi dei suoi fondi!
3. Conservi correttamente il backup della frase segreta in un luogo sicuro che non dimenticherà (per saperne di più, veda sotto).
4. Non scatti foto o screenshot della sua frase segreta, perché possono essere facilmente visti o rubati.
5. Non salvi mai la sua frase segreta online (e-mail, Google Drive, ecc.) o su un dispositivo connesso a Internet (computer, telefono cellulare, ecc.), altrimenti sarà esposta a malware e virus.
6. Non digiti mai la sua frase segreta in un modulo web.
7. Eviti di usare la sua frase segreta a meno che non sia assolutamente necessario. Più la manipola, più rischia di essere compromessa in un modo o nell'altro.
8. Se utilizza diverse applicazioni di portafoglio, crei una nuova frase segreta per ognuna di esse, invece di utilizzare la stessa frase segreta per più applicazioni.

Memorizzazione della frase segreta

Ora che conosce le regole di base per gestire una frase segreta, il passo successivo è quello di conservarla in modo sicuro.

Il modo più ovvio è scriverla su un foglio di carta e conservarla in un caveau o in una cassetta di sicurezza. Ma la carta è davvero sicura? In effetti, può facilmente bruciare o essere danneggiata dall'acqua, ingiallire, ecc. Inoltre, l'inchiostro non è eterno e svanisce lentamente nel tempo.

Un'alternativa comune e più sicura è quella di incidere la frase segreta su un supporto metallico. Non è così complicato come sembra e sul mercato esistono molti prodotti facili da usare.

Le custodie metalliche sono ottime soluzioni per conservare in modo permanente le somme importanti e investire in questi prodotti è una buona idea. Proteggono la sua frase segreta dal fuoco, dall'acqua e dalla maggior parte dei rischi ambientali e possono essere facilmente conservate in una cassaforte o in qualsiasi altro luogo sicuro.

Sul mercato è disponibile un'ampia gamma di opzioni di diversi produttori. Alcuni offrono la possibilità di imprimere la frase segreta in lastre d'acciaio, con tutti gli strumenti necessari inclusi nel prodotto:

Custodia metallicha di kryptostahl.de

Altri propongono custodie metalliche che contengono un pacchetto di piccole piastre con lettere che possono essere utilizzate per formare le parole corrispondenti della frase segreta e bloccarle nell'ordine corretto all'interno della custodia:

Custodia metallicha di Cryptosteel.com

In questo articolo troverà una recensione approfondita con stress test di molte diverse soluzioni di archiviazione in metallo.

Conservare le cripto

I social media

I social media nascondono innumerevoli pericoli. Poiché la maggior parte di noi li usa quotidianamente, sono una scelta privilegiata per truffatori e hacker. Le sezioni che seguono la sensibilizzeranno sulle fonti di pericolo più comuni.

Telegram

Molti progetti e comunità di criptovalute hanno gruppi pubblici o privati sull'app di messaggistica Telegram, il che la rende un bersaglio d'elezione, soprattutto se si considera la mancanza di funzioni della piattaforma per combattere le comuni pratiche di truffa.

La maggior parte delle volte le truffe avvengono nei messaggi privati. Se viene contattata da qualcuno che non si conosce tramite un messaggio privato su Telegram, è garantito che si tratta di una truffa! Quindi, se lei riceve un messaggio privato, deve immediatamente suonare un allarme nella sua testa e deve applicare le seguenti regole:

È molto importante che lei segnali un utente sospetto a Telegram, perché la piattaforma bloccherà automaticamente questa persona dal contattare chiunque altro in messaggi privati su Telegram. Segnalando un truffatore, potrà quindi evitare che qualcun altro venga truffato.

🚫 Bloccare i gruppi e i canali indesiderati

Capita anche che, di tanto in tanto, si venga improvvisamente invitati o aggiunti a un gruppo senza averlo richiesto attivamente. Purtroppo, le impostazioni predefinite di Telegram sono impostate in modo che chiunque possa aggiungerla a qualsiasi gruppo. Per evitarlo, ecco come modificare le impostazioni di Telegram:

1. Apra le sue impostazioni di Telegram
2. Clicchi su “Privacy e sicurezza”
3. Clicchi su “Inviti”
4. In “Chi può aggiungermi ai gruppi?”, selezioni “Nessuno” o “I miei contatti”. L'impostazione predefinita “Tutti” consente a chiunque di invitare l'utente a qualsiasi gruppo, cosa che va assolutamente evitata.

🚫 Bloccare i messaggi privati indesiderati

Per evitare che i truffatori vi disturbino con messaggi privati, potrà modificare le impostazioni di Telegram (disponibili solo con Telegram premium):

1. Apra le sue impostazioni di Telegram
2. Clicchi su “Privacy e sicurezza”
3. Scorra fino alla sezione “Nuove chat da utenti sconosciuti”
4. Attivi il pulsante "Archivia e disattiva"

Discord

Quando si naviga sul server Discord di un progetto di criptovaluta, il pericolo più comune è rappresentato dai truffatori che fingono di far parte del team di supporto del progetto.

Quando lei fa una domanda in un canale, i truffatori la inviteranno immediatamente ad aprire un ticket di supporto seguendo un link che la porterà direttamente a un sito web o a un altro server Discord appartenente ai truffatori.

Il loro scopo sarà quello di indurvi a collegare il suo portafoglio al loro sito web per aiutarvi a risolvere il vostro problema, e quando lo farà saranno in grado di prosciugare i vostri fondi.

Inutile dire che non bisogna mai cliccare su questi link di supporto e seguire sempre i metodi di contatto ufficiali del progetto per l'assistenza.

Omaggi

Anche se non sono più la truffa più popolare, i falsi omaggi esistono ancora. Possono essere pubblicati su tutte le piattaforme di social media in molti formati diversi.

Ad esempio, su YouTube è possibile trovare flussi in diretta di discorsi reali di personalità delle criptovalute, che vengono ripubblicati dai truffatori per promuovere un “giveaway” che mostra un codice QR o simile, in cui gli utenti devono inviare criptovalute per ricevere il doppio dell'importo.

Si tratta, ovviamente, di un'assoluta assurdità e di un'evidente truffa. Lei non deve in nessun caso inviare criptovalute a tali indirizzi.

Commenti falsi

I commenti di spam e truffa sono onnipresenti e si possono trovare in risposta ai post ufficiali di quasi tutte le società di criptovalute su qualsiasi social media.

I truffatori creano commenti falsi con profili falsi per pubblicizzare monete dubbie e mostrare i profitti estremi ottenuti con certi investimenti, o promuovere la collaborazione con un broker o un consulente per gli investimenti. Nella maggior parte dei casi, nei commenti vengono inseriti anche indirizzi e-mail o numeri di cellulare. I truffatori di solito rispondono ai loro stessi commenti con altri profili falsi per farli apparire legittimi:

Pubblicità

La pubblicità sui social media è una situazione paradossale. Mentre la maggior parte delle piattaforme vieta o limita esplicitamente alle società di criptovalute di pubblicizzare i propri servizi, è sorprendentemente facile pubblicare annunci per le truffe di criptovalute, anche nei risultati di ricerca di Google. È quindi importante imparare i tipi più comuni per poterli riconoscere ed evitare.

La tipologia più frequente è probabilmente quella degli annunci pubblicati da account falsi che sono copie dei profili di aziende reali. La tattica consiste nel fingersi un marchio famoso e pubblicare un'offerta molto appetibile, contando sul fatto che l'utente ne sarà talmente entusiasta da cliccare prima di avere il tempo di riflettere. Nella maggior parte dei casi, questi annunci annunciano un airdrop e la invitano a reclamare il denaro gratuito.

Inutile dire che non dovrà cliccare su questi annunci. Se lo fa, aprirà un sito web di phishing che la inviterà a collegare un portafoglio per prosciugare i suoi fondi.

Un'altra tipologia frequente è rappresentata dagli annunci di consulenti finanziari che promuovono programmi di investimento con rendimenti sorprendenti. Il 100% di questi annunci è una truffa. Perché? Perché i veri consulenti che sono in grado di fornire tali rendimenti finanziari non hanno bisogno di pubblicare annunci per ottenere clienti.

Infine, un'altra tattica di truffa comune è quella di acquistare annunci su Google per mostrare link a siti web di phishing. Ad esempio, se lei cerca un sito web di criptovalute su Google, il primo risultato potrebbe essere un annuncio truffa che la condurrà a un sito web falso progettato per farle collegare il suo portafoglio e prosciugarne il contenuto, mentre il secondo risultato è quello corretto:

Collegamento ai siti web

Il mondo della finanza decentralizzata è un ecosistema ricco e fiorente e la maggior parte dei suoi utenti si rivolge ad applicazioni basate su siti web come Aave o Uniswap.

Per utilizzare questi siti web, è necessario collegare il proprio portafoglio ad essi, scegliendo tra diverse opzioni:

Ad esempio, per collegare un portafoglio mobile come Bridge Wallet si utilizza WalletConnect.

La procedura di connessione e utilizzo di un portafoglio su un sito web è sempre la seguente:

1. Lei approverà una richiesta di connessione del suo portafoglio.
2. Alcuni siti web potrebbero chiederle di firmare un messaggio per verificare il suo portafoglio.
3. Una volta avviata una transazione, dovrà essere verificata e approvata nel proprio portafoglio.

Le fasi 1 e 2 sono solo scambi di dati, quindi devono essere completamente prive di commissioni di transazione. Solo la fase 3 le dovrebbe mostrare una commissione di transazione durante la revisione della richiesta, perché è l'unico momento in cui i fondi vengono effettivamente spostati.

Quando lei utilizza un sito web, veda in anteprima le commissioni di transazione per le fasi 1 e 2, faccia attenzione: molto probabilmente la richiesta è codificata in modo da ingannarla e indurla ad approvare il sito web per prelevare i suoi fondi e inviarli altrove.

E-mail di phishing

Le truffe via e-mail di phishing sono attualmente molto popolari e quindi molto pericolose. L'obiettivo del phishing è quello di indurla a fornire informazioni sensibili che consentiranno al truffatore di rubare qualcosa di prezioso (dati identificativi, denaro, ecc.).

Le e-mail di phishing hanno lo scopo di imitare le e-mail provenienti da borse o fornitori di servizi autentici e affidabili, e di solito hanno un aspetto ingannevolmente reale.

Fortunatamente, le e-mail di phishing sono abbastanza facili da riconoscere se si sa esattamente dove guardare.

Prima di tutto, dovrà dare un'occhiata all'indirizzo del mittente. Sembra corretto o c'è qualcosa di sbagliato? Deve essere esatto, perché anche gli indirizzi più vicini possono essere inventati molto facilmente. Ad esempio, un'e-mail inviata da un indirizzo che termina con @amazon.com è legittima, mentre @amazon-service.com è una frode.

Nel nostro caso, riceverà solo e-mail da indirizzi che terminano con @mtpelerin.com. Ecco alcuni esempi di truffatori che hanno tentato di inviare e-mail di phishing a nostro nome, copiando il nostro layout di posta elettronica:

La prima cosa che potrà riconoscere è il falso indirizzo del mittente. Non ha la desinenza @mtpelerin.com? Se è così, potrà bloccare l'invio e cancellare immediatamente l'e-mail.

La cosa successiva da osservare è il testo/contenuto dell'e-mail. I truffatori di solito provengono dall'estero e utilizzano strumenti di traduzione. Ciò comporta formulazioni strane e insolite, errori di struttura delle frasi e di ortografia, che sono anche facili da riconoscere.

Inoltre, il contenuto dell'e-mail spesso mostra chiaramente come i truffatori stanno cercando di accedere ai suoi fondi. Ad esempio, l'e-mail dirà che il suo portafoglio è presumibilmente bloccato per qualche motivo e che può essere sbloccato pagando una tassa. Se lei conosce il funzionamento di un portafoglio, saprà immediatamente che si tratta di una vera e propria assurdità.

Bridge Wallet e tutte le altre applicazioni di auto-custodia sono completamente decentralizzate, il che significa che solo lei può accedervi e nessun altro. È tecnicamente impossibile bloccare un portafoglio, e quindi ancora più impossibile “sbloccarlo”.

ICO e NFT

Quasi ogni giorno appaiono sul mercato un gran numero di nuove monete, nuovi progetti e nuove ICO.

Mentre alcune sono legittime, molte sono vere e proprie truffe il cui unico scopo è cercare di convincerla a investire denaro in un progetto o ad acquistare un token che presto salirà alle stelle.

Una volta che lei lo fa, molti dei fondatori (anonimi) del progetto spariscono con i fondi. Alcune di queste truffe sono promosse anche da celebrità reali e credulone o da influencer avidi, quindi a volte può essere difficile distinguere il grano dalla pula.

Come per qualsiasi altro investimento al di fuori del mondo delle criptovalute, dovrà investire solo ciò che si è disposti a perdere. Oltre a questo, dovrà sempre fare le sue ricerche quando prende in considerazione un investimento in un nuovo token o in un NFT.

Truffe di investimento

Le opportunità d'investimento fraudolente sono un altro vettore d'attacco frequente per i truffatori, che cercheranno di spingerla in diversi modi, alcuni dei quali sono già stati trattati nelle sezioni precedenti. Anche in questo caso, la cosa più importante è usare il buon senso.

Le opportunità di investimento con enormi profitti sono assolutamente dubbie e molto probabilmente si tratta di truffe. Le offerte che si vantano di passare da 1.000 euro a 100.000 euro in due settimane o simili sono ovviamente irrealistiche e truffaldine. Spesso vengono commercializzate con l'espressione “rendimenti 1000x”.

Tutte le offerte di investimento fatte al telefono, via WhatsApp o Telegram sono sempre truffe! Lei non sarà mai chiamato da una borsa valori, da una piattaforma di trading o da un servizio di scambio come noi. Se lei viene contattato da qualcuno che le offre una simile opportunità di investimento, cancelli il numero, blocchi la persona e interrompa immediatamente ogni contatto.

Token falsi

I token falsi sono oggi una delle truffe più comuni nello spazio delle criptovalute e di solito vanno di pari passo con altri tipi di truffe.

Ciò di cui molti principianti non si rendono conto è che qualsiasi token, a parte il Bitcoin, può essere “falsificato”.

Infatti, chiunque può creare liberamente un token su una blockchain e dargli il nome che vuole, compreso quello di token già esistenti.

Gli utenti inesperti non si accorgono affatto della differenza tra token veri e falsi o, purtroppo, lo fanno solo molto tardi. Spesso se ne accorgeranno quando cercheranno di vendere quei token, ma essendo privi di valore non è logicamente possibile farlo.

I token falsi vengono spesso versati come presunto profitto di investimenti falsi, per far credere ai clienti di aver ricevuto davvero qualcosa. Il token falsificato più frequentemente è la stablecoin USDT, che esiste su diverse blockchain.

Ecco come riconoscere da soli i token falsi. Per farlo, utilizzi un block explorer per visualizzare il suo portafoglio e il suo contenuto dal suo browser. In questo esempio utilizziamo Etherscan.

1. Apra il sito web etherscan.io nel suo browser.
2. Inserisca il suo indirizzo Ethereum pubblico nella barra di ricerca.
3. Ora potrà vedere lo stato del suo portafoglio sulla blockchain, il suo saldo e tutte le transazioni in modo trasparente. La prima cosa che vediamo alla voce “Token Holdings” è che abbiamo due token nel portafoglio, ma non hanno alcun valore. Questo è solitamente il segno di token falsi. Facciamo clic sulla scheda “Token Transfers (ERC-20)” per dare un'occhiata più da vicino.
   
4. Ora ci troviamo nella scheda “Token Transfers (ERC-20)” e possiamo visualizzare tutti i movimenti dei token e i saldi dei conti. La prima cosa che notiamo è che i token nella colonna a destra non hanno un vero e proprio logo, ma solo un logo grigio predefinito di Ethereum.
   
5. Se clicchiamo su questo token, abbiamo ora una panoramica del token stesso. Anche in questo caso possiamo notare che non ha un logo, come invece avrebbe la vera stablecoin. La sezione “HOLDERS” mostra solo un piccolo numero di portafogli, mentre i veri token, in questo caso USDT, sono solitamente detenuti da milioni di persone. A volte, Etherscan mostra persino un messaggio di avvertimento che indica che si sta guardando un token falso:
   
6. Ora possiamo essere certi che si tratta di token falsi. A titolo di confronto, di seguito è riportata la schermata dei token del vero USDT. Lei può notare un logo corretto in alto a sinistra, un segno di spunta blu verificato accanto al nome e un numero molto elevato di possessori e altri dati relativi al token.
   

Esempio di schema di truffa

Per darle un'illustrazione, le illustreremo un tipico schema di truffa che coinvolge una falsa piattaforma di investimento e falsi token. Il diagramma seguente fornisce una panoramica del funzionamento:

In primo luogo, la vittima viene contattata da un presunto trader / broker / consulente per gli investimenti in qualche modo, tramite e-mail, social media, annunci online o al telefono (spesso acquistano database di contatti violati). Questi metodi di contatto dovrebbero da soli far scattare immediatamente un campanello d'allarme. Purtroppo, molti clienti non informati ci cascano, perché cercano “consigli finanziari” e intraprendono una conversazione.

Poi, il truffatore presenta il suo incredibile programma di investimento in cui la vittima può guadagnare soldi facili semplicemente depositando fondi che il consulente di investimento gestirà per lei.

Il truffatore la condurrà sul suo sito web, che spesso ha un aspetto abbastanza professionale da sembrare legittimo, dove dovrà registrarsi e creare un profilo utente. La registrazione consentirà loro di raccogliere tutte le sue informazioni personali, che utilizzeranno per creare un conto a suo nome su una vera piattaforma di scambio di criptovalute.

Il passo successivo sarà quello di depositare fondi per accreditare il suo conto sulla piattaforma fittizia. Per farlo, le forniranno semplicemente le informazioni di pagamento della vera piattaforma di criptovalute, sperando che lei non reagisca al nome del beneficiario. Un falso consulente a volte accompagna la vittima al telefono o in visioconferenza per assicurarsi che effettui il pagamento correttamente. Di solito, all'inizio viene richiesta solo una piccola somma per far abbassare la guardia alla vittima.

Una volta che i truffatori sono in possesso dei fondi, la vittima viene indotta a credere che il denaro si stia moltiplicando rapidamente mostrando un finto cruscotto di trading ed estratti conto dall'aspetto ufficiale. Il denaro reale, ovviamente, non viene mai scambiato.

Naturalmente, a un certo punto la vittima vorrà incassare i grandi guadagni. Quando ciò accade, i truffatori chiederanno di pagare in anticipo una commissione per il loro lavoro, che di solito è una percentuale della performance fittizia. Vista la fantastica vincita, la vittima di solito accetta in buona fede e trasferisce ai truffatori un importo talvolta molto elevato, credendo di aver guadagnato molto di più. Ovviamente non è così, ma la commissione viene pagata con denaro reale e i fondi sono quindi persi per sempre.

Per guadagnare tempo e sparire, i truffatori a volte pagano gli ingenti guadagni della vittima in criptovalute su un portafoglio, inviando finti token senza valore. La vittima vedrà ad esempio 200.000 USDT sul proprio portafoglio e passerà il tempo a cercare di capire come incassarli in fiat. Quando finalmente capisce di essere stata ingannata, i truffatori sono spariti da tempo e non rispondono più ai messaggi della vittima.

Servizi di recupero delle truffe

Peggio ancora, alcuni truffatori rispondono con un nome diverso e offrono un servizio di investigazione/recupero alle loro vittime. Con questi servizi, le vittime dovranno pagare una tassa di servizio in anticipo, che di solito è calcolata come una percentuale dei fondi rubati.

Inutile dire che non dovrà mai pagare nulla in anticipo nella speranza di recuperare i fondi rubati, altrimenti sarà truffato due volte. L'unica cosa corretta da fare se lei à stato truffato è andare alla polizia e sporgere denuncia.

Sintesi

Le basi della sicurezza nello spazio delle criptovalute devono essere apprese con attenzione da chiunque intenda utilizzare seriamente le criptovalute. Se lei le comprende e rimane vigile, sarà in grado di evitare la stragrande maggioranza delle truffe.

E, naturalmente, dovrà sempre cercare di saperne di più e di istruirsi. In rete si trovano molti contenuti educativi gratuiti e di grande qualità sulle criptovalute, quindi approfitti di questi contenuti e si prenda il tempo necessario per leggerli.

Se lei non sa da dove cominciare, abbiamo creato una guida per i principianti che le fornirà tutte le nozioni di base necessarie.

Rimanga al sicuro!