SSP Editorial Team

Attacchi di phishing contro gli utenti crypto (e come riconoscerli)

·7 min di lettura·Di SSP Editorial Team
Copertina sulla sicurezza SSP con icone di wallet, chiave, scudo e chip, che illustra una guida agli attacchi di phishing crypto.

Il phishing è di gran lunga il modo più comune in cui gli utenti in self-custody perdono denaro. Non per una cifratura compromessa, non per una chiave privata crackata — bensì per un messaggio convincente, un sito clone, o una transazione che sembra di routine finché non lo è più. La crittografia alla base del tuo wallet è solida, e l'attaccante lo sa bene, per questo la aggira del tutto e punta all'unico elemento del sistema che può essere convinto a fare la cosa sbagliata: te. Ogni anno, miliardi di dollari vengono persi a causa di frodi e ingegneria sociale legate alle criptovalute, e la maggior parte di questi casi inizia con un messaggio di phishing anziché con un exploit tecnico.

Questo articolo analizza cosa prende di mira concretamente il phishing crypto, i pattern specifici che puoi imparare a riconoscere a colpo d'occhio, e come il design di SSP aiuta — senza nascondere dove invece non può proteggerti.

Cosa prende di mira il phishing

Il phishing contro un utente in self-custody punta a una di queste tre cose: la tua seed phrase, le tue approvazioni, o la tua firma. Rubare la seed significa che l'attaccante si impossessa di ogni account che ne deriva, per sempre. Indurti a concedere un'approvazione di token gli consente di svuotare asset specifici con calma. Farti firmare una singola transazione malevola e i fondi si spostano in un solo blocco.

Ciò che le accomuna tutte e tre è che devi agire tu. L'attaccante non può entrare nel tuo wallet e prendere nulla; ha bisogno che tu digiti, clicchi, approvi o firmi. Questa dipendenza è anche il tuo vantaggio — ogni attacco ha un momento in cui puoi fermarlo, se sai riconoscerlo.

I pattern che puoi riconoscere

Il phishing crypto riutilizza un piccolo insieme di tecniche. Una volta che riesci a nominarle, diventa molto più difficile caderci.

Siti wallet falsi e typosquat negli annunci di ricerca

La tecnica più vecchia è un clone di un vero wallet o sito di exchange, servito da un dominio simile e spesso promosso in cima ai risultati di ricerca come annuncio a pagamento. La pagina è pixel-perfect e ha un solo scopo: raccogliere la tua seed phrase, o indurti a connettere il wallet e firmare. Considera la barra di ricerca come ostile. Trova il sito reale una volta, verificalo e aggiungilo ai preferiti — poi arrivaci sempre e solo da quel preferito. SSP non ti chiederà mai la seed phrase su un sito web, e la vera estensione si installa dallo store ufficiale del browser, non da un annuncio pubblicitario. Se non sei sicuro di come si presenta un wallet come estensione browser legittimo, leggi i wallet come estensioni browser spiegati.

Richieste di inserimento della seed phrase

Questa merita una regola tutta sua, perché è assoluta: nessun wallet legittimo ti chiederà mai di digitare la tua seed phrase in un sito web, un modulo, un pop-up o un DM. Non per «validarla», non per «sincronizzarla», non per «richiedere» nulla. La tua seed viene inserita in un unico posto — all'interno del software del wallet stesso, durante la configurazione iniziale o il ripristino. SSP accetta la tua seed solo all'interno dell'estensione o dell'app mobile per questo scopo specifico, e mai su una pagina web. Se qualcos'altro te la chiede, è un tentativo di furto, senza eccezioni. Per la disciplina più ampia su come proteggerla, consulta le best practice per la seed phrase.

Approval phishing e wallet drainer

Più recente e subdolo: un dApp malevolo non ti chiede la seed phrase. Ti chiede di firmare quella che sembra una normale transazione — ma l'azione è un'approvazione di token o un setApprovalForAll che concede al contratto dell'attaccante il permesso di spostare i tuoi token o NFTs. Mantieni la custodia delle tue chiavi; hai semplicemente firmato via il diritto ai tuoi asset, e un wallet drainer li svuota in seguito, a volte settimane dopo. La difesa è capire cosa sia un'approvazione e mantenerle di breve durata. Leggi le approvazioni dei token — i permessi che continui a concedere, poi revoca quelli che non usi più.

Address poisoning

L'address poisoning sfrutta le abitudini di copia-incolla. L'attaccante invia un trasferimento minimo o a zero valore al tuo wallet da un indirizzo costruito per sembrare uno che già utilizzi — con gli stessi quattro caratteri iniziali e finali. Si posiziona poi nella tua cronologia, in modo che la prossima volta che copi un indirizzo «noto» dalle transazioni precedenti prendi il loro al posto del tuo, e invii i fondi direttamente all'attaccante. La soluzione è meccanica: non copiare mai un indirizzo dalla cronologia delle transazioni, e verifica l'indirizzo completo, carattere per carattere — non solo i primi e gli ultimi quattro. Un indirizzo clone può corrispondere perfettamente a entrambe le estremità e differire completamente nel mezzo.

Impersonazione nei DM

Se qualcuno ti scrive per primo su Discord, Telegram o X affermando di essere «supporto ufficiale», è una truffa per definizione. Il vero supporto non ti contatta nei DMs, e nessun amministratore, moderatore o «bot di verifica» ha mai bisogno della tua seed phrase, della tua chiave privata, o che tu connetta il wallet per «verificarlo». L'urgenza è il segnale d'allarme — «i tuoi fondi sono a rischio, agisci adesso» serve a impedirti di pensare. Chiudi il DM e contatta il supporto solo tramite un canale a cui sei arrivato tu stesso.

Richieste di firma malevole / blind signing

La tecnica più tecnica ti chiede di firmare un messaggio anziché una transazione — un Permit, un payload eth_sign, o un blob opaco che non riesci a leggere. Questi possono autorizzare trasferimenti di token o approvazioni off-chain, a volte senza costi di gas e senza avvisi evidenti. La regola: capisci cosa stai firmando prima di farlo, e sii profondamente sospettoso di qualsiasi richiesta che non riesci a decodificare. Quando ti connetti alle dApp, conosci come funzionano la sessione e le relative richieste di firma — cos'è WalletConnect e come funziona con SSP illustra quella superficie.

Come il design di SSP aiuta — e dove no

SSP è un wallet multisig 2 su 2: ogni transazione deve essere co-firmata su un secondo dispositivo, l'SSP Key, prima di poter essere trasmessa. Questo ti offre un secondo schermo, su hardware separato, che mostra la richiesta un'altra volta prima che venga eseguita — una vera seconda superficie di revisione che un wallet su singolo dispositivo non ha. L'estensione inoltre non ti chiede mai la seed su una pagina web, il che chiude per design il percorso di raccolta più comune.

Ecco la parte onesta: il multisig non è un rimedio contro il phishing. Se una transazione malevola ti viene mostrata e tu la approvi sull'estensione e la confermi sul tuo SSP Key, il wallet fa esattamente quello che gli hai detto. Il secondo dispositivo ti protegge da un singolo dispositivo compromesso che firma da solo — non ti protegge dall'approvare due volte un'azione sbagliata. Quindi leggi entrambi gli schermi: se la destinazione, l'importo o l'azione non corrispondono a ciò che intendevi fare, rifiuta sull'SSP Key. La difesa dal phishing resta in ultima analisi nelle tue mani. Perché questa responsabilità valga la pena è al centro di perché la self-custody conta oggi.

Un self-check anti-phishing in 60 secondi

Prima di firmare qualsiasi cosa, esegui questi controlli:

  1. Controllo URL — sei arrivato tramite il tuo preferito, o tramite un link o un annuncio che qualcuno ti ha passato? Se non è il tuo preferito, fermati.
  2. Controllo seed — qualcosa ti sta chiedendo la seed phrase? Se sì, è una truffa, ogni volta, senza eccezioni.
  3. Leggi l'SSP Key — l'azione e l'importo sul tuo secondo dispositivo corrispondono esattamente a ciò che intendevi fare?
  4. Controllo destinazione — verifica l'indirizzo del destinatario per intero, non solo i primi e gli ultimi quattro caratteri.
  5. Controllo DM — è tutto iniziato con un messaggio non richiesto o un urgente «agisci adesso»? Trattalo come ostile.
  6. Igiene delle approvazioni — revoca le approvazioni di token obsolete che non usi più, così una dimenticata non potrà essere svuotata in seguito.

Se uno qualsiasi dei passaggi fallisce, rifiuta e allontanati. Un'opportunità mancata non costa nulla; un drainer firmato può costare tutto.

Continua a informarti

Il phishing è uno strato di una pratica di sicurezza personale più ampia. Rafforza il resto con la gestione igienica delle estensioni browser per utenti crypto, e pianifica il tutto su base ricorrente con la tua checklist di opsec crypto. Per capire come l'ecosistema più ampio monitora questi attacchi, i report APWG sulle tendenze del phishing e l'FBI's IC3 sono fonti primarie affidabili.

Condividi questo articolo

Articoli correlati

Seed phrase di dodici parole stampata su un cartoncino accanto a un hardware wallet

Buone pratiche per la seed phrase

Cos'è realmente una seed phrase, come conservarla senza perderla né farla trapelare, e come il multisig 2-of-2 di SSP cambia il modello di minaccia.

7 min read
Copertina quadrata della guida SSP su approvazioni di token ERC-20 e allowance illimitati

Approvazioni di token: i permessi che continui a concedere

Come funziona approve() in ERC-20, perché gli allowance illimitati sono rischiosi e cosa concede ogni interazione con dApp dal tuo wallet SSP.

8 min read
Copertina di sicurezza SSP con icone di wallet, chiave, scudo e chip su una scheda quadrata blu navy

Igiene delle estensioni del browser per utenti crypto

Sicurezza delle estensioni per la self-custody: valuta cosa installi, usa il privilegio minimo e LavaMoat; il 2 di 2 di SSP argina un'estensione malevola.

6 min read