Un portafoglio ethereum noto come “shitcoin wallet” inietta codice malevolo nei dispositivi degli utenti

Smart Contract Ethereum

Si tratta di un’estensione per chrome, il browser per la navigazione online di google, e sta iniettando codice malevolo per rubare i dati degli utenti che l’hanno installata; sinceramente quando ho letto di questa notizia, che ha iniziato a circolare su twitter un paio di giorni fa grazie a un esperto di sicurezza informatica (Harry Denley), la prima cosa che mi è venuta da pensare è come diavolo possa saltare in mente a qualcuno di installare un’estensione con un nome del genere. L’estensione malevola, ha spiegato Denley su twitter, prende di mira gli account binance, i portafogli MyEtherWallet, e altri siti usati prevalentemente dalla comunità per gestire le proprie criptovalute; il codice cerca quindi le finestre del browser aperte contenenti pagine Web di scambi e strumenti di rete Ethereum. Il codice malevolo non fa altro che tentare di ottenere le credenziali di accesso a quei siti prelevandole dal browser e, una volta ottenute le credenziali, le invia a un server remoto identificato come “erc20wallet.tk”, un indirizzo di dominio di primo livello appartenente a Tokelau, un gruppo di isole del Sud Pacifico che fanno parte del territorio della Nuova Zelanda. Ovviamente nel momento in cui l’estensione è stata caricata sullo store google non presentava alcun codice malevolo, solo successivamente deve essere stata modificata per rubare le credenziali di accesso degli utenti; dovrebbe quindi far riflettere il fatto che, appena alcuni giorni di iniziare a sferrare attacchi JavaScript, Shitcoin Wallet abbia annunciato il lancio della sua nuova app desktop affermando che avrebbe regalato 0,05 ETH agli utenti che avessero scaricato e installato l’app. Sinceramente mi sembra inconcepibile che una comunità come quella delle criptovalute, che si presume debba avere un minimo di competenze informatiche in più rispetto alla media, possa ancora abboccare a questo genere di truffe; per prima cosa, quindi, tocca ricordare a tutti che nessuno vi regala niente e che se pure ci può essere qualche sporadico caso di promozioni fatte regalando effettivamente qualche spicciolo agli utenti, aderendo sistematicamente a questo genere di iniziative presto o tardi si finirà inevitabilmente per compromettere la sicurezza dei propri dispositivi.

Certo, si potrebbe affermare di fare sempre le dovute verifiche prima di aderire a iniziative di questo tipo, ma il tempo necessario ad assicurarsi di non finire vittime di una truffa non vale quei pochi spiccioli che si possono ricavare; l’altra cosa di cui non mi capacito è la tendenza comune ad installare ogni genere di applicazione, estensione o software sui propri dispositivi senza un minimo di accortezza. Mi pare quindi il caso di fare un piccolo riassunto di tutte le varie accortezze che si dovrebbero avere nel momento in cui si gestisce abitualmente del denaro usando un computer, uno smartphone e collegamenti internet; per prima cosa, quindi, è necessario predisporre un dispositivo che sia sicuro, su cui non andremo a installare la qualunque ma che terremo solo per la gestione del nostro denaro. Personalmente in casa ho 3 pc, di cui uno destinato solo al lavoro, mentre degli altri due tendo a fare un uso che è, oggettivamente, più rischioso; ovviamente sulle due macchine che ho destinato a quegli usi che sono oggettivamente più insidiosi non faccio girare alcun tipo di password. Discorso distinto andrebbe fatto per gli smartphone, qui, ad esempio, dovremmo evitare di usare la stessa mail che usiamo per autenticarci sui vari siti attraverso i quali gestiamo il nostro denaro; evitiamo anche di scaricare le app per la gestione dell’home banking e se proprio non possiamo fare a meno di gestire il nostro denaro in mobilità almeno dotiamoci di due dispositivi, magari destinando a quello che usiamo per la gestione del nostro denaro una semplice SIM dati. Chiaramente, per quanto mi riguarda, invece che avere due telefoni, di cui uno destinato alla gestione delle mie criptovalute, preferisco avere più hardware wallet; anche qui, è una pessima idea accumulare tutte le nostre monete su un unico dispositivo, soprattutto quando i volumi di denaro che gestiamo iniziano a crescere. Allo stesso modo se abbiamo la necessità di portarci sempre in giro un po’ di bitcoin usiamo un hardware wallet ad hoc, sul quale depositeremo quelle 200/300€ per gli usi di tutti i giorni; si tratta di piccole accortezze, alla portata di chiunque, ma che sono comunque idonee ad evitare gran parte delle truffe in circolazione.