Sin dall'avvento della blockchain, i truffatori sfruttano la natura decentralizzata e immutabile di questa tecnologia per truffare ignari investitori.

Secondo l'ultimo report sulle frodi dell'FBI, una tipologia di truffa molto popolare consiste nel creare finte applicazioni crypto per rubare gli asset degli utenti. A causa di queste app fasulle, ad oggi gli investitori americani avrebbero perso oltre 42 milioni di dollari.

Queste strategie risultano particolarmente efficaci durante i mercati rialzisti, quando molti utenti alle prime armi si approcciano per la prima volta al settore.

Come fanno i truffatori ad attrarre le proprie vittime?

I truffatori utilizzano una miriade di tecniche per invogliare gli utenti ad investire.

Schemi di social engineering

Alcuni network di applicazioni crypto fraudolente utilizzano strategie di ingegneria sociale per indurre gli utenti ad abbassare la guardia.

In molti casi i truffatori fanno amicizia con le vittime attraverso piattaforme social, come ad esempio siti di incontri, inducendole poi a scaricare applicazioni per il trading di criptovalute promettendo altissimi rendimenti.

I truffatori quindi convincono gli utenti a trasferire fondi sull'app. Tuttavia, una volta effettuata la transazione, questo denaro viene "bloccato" e diventa impossibile da prelevare.

Rick Holland, Chief Information Security Officer di Digital Shadows, ha spiegato che l'ingegneria sociale rimane una delle strategie più adoperate dai criminali perché richiede uno sforzo minimo: "Fare affidamento sul metodo collaudato del social engineering è molto più pratico e redditizio."

Holland ha aggiunto che queste strategie rendono sorprendentemente semplice prendere di mira individui con un patrimonio netto elevato.

Nomi di brand riconosciuti

Alcune false applicazioni crypto ricorrono all'utilizzo di brand noti, data l'autorità e la fiducia che questi esercitano sulle persone.

In un caso evidenziato in un recente report dell'FBI, alcuni criminali si sono spacciati per dipendenti di YiBit, spingendo in questo modo un gran numero di utenti a scaricare una falsa app per il trading di criptovalute. Complessivamente, hanno rubato ben 5,5 milioni di dollari.

All'insaputa degli investitori, la reale società di trading di criptovalute YiBit ha cessato di esistere nel 2018.

In un altro caso delineato nel report, alcuni criminali hanno sfruttato il brand Supay, associato a una nota società crypto australiana, per truffare 28 investitori particolarmente facoltosi. Lo stratagemma, che si è svolto tra il 1° e il 26 novembre del 2021, ha causato perdite di 3,7 milioni di dollari.

Simili truffe esistono da anni, ma purtroppo molte incidenze non vengono segnalate a causa della mancanza di canali adeguati tramite i quali poter fare ricorso, specialmente nelle giurisdizioni dove tali asset non sono regolamentati.

Queste frodi avvengono costantemente in tutto il mondo. A giugno, la società di sicurezza informatica CloudSEK ha segnalato uno schema fraudolento che coinvolge un gran numero di applicazioni e domini clonati, che ha causato agli investitori indiani una perdita di almeno 128 milioni di dollari.

Distribuzione di app false tramite store ufficiali

A volte i truffatori distribuiscono i propri software ingannevoli tramite gli app store ufficiali.

Alcune di queste app sono progettate per raccogliere le credenziali dell'utente, che i criminali utilizzano poi per accedere agli account reali corrispondenti. Altre sostengono di offrire soluzioni wallet sicure tramite le quali poter conservare le proprie criptovalute, ma che in realtà rubano i fondi non appena questi vengono depositati.

Piattaforme come Google Play e l'App Store di Apple esaminano costantemente le applicazioni caricate dagli utenti, ma a volte alcune riescono a sfuggire ai controlli. Per evitare di essere scoperti, spesso i criminali caricano applicazioni apparentemente legittime che vengono modificate in seguito.

Nel 2021, una finta app per Trezor – il noto wallet creato da SatoshiLabs – è stata caricata sugli store sia di Google che di Apple. L'app sosteneva di fornire agli utenti un accesso diretto ai loro hardware wallet Trezor, senza dover prima collegare l'apposito dongle a un computer.

Alle vittime che scaricavano l'applicazione fraudolenta veniva chiesto di digitare la seed phrase del wallet, tramite la quale i criminali potevano poi depredare tutte le criptovalute degli utenti.

Secondo una dichiarazione fornita da Apple, inizialmente gli sviluppatori avevano caricato un'applicazione per la crittografia dei file, e soltanto successivamente è stata convertita in un wallet per criptovalute. L'azienda è venuta a conoscenza di questa modifica soltanto dopo le segnalazioni degli utenti.

Chris Kline, co-fondatore di Bitcoin IRA, ha spiegato che le big tech stanno lavorando duramente per combattere questa tipologia di truffa, a causa principalmente dell'enorme danno che queste potrebbero causare per la loro immagine:

"Le aziende tech desiderano maggiore consapevolezza e sicurezza per i propri utenti. Tutti i player più rinomati considerano la sicurezza una priorità."

Ad ogni modo, il problema delle applicazioni false è molto più diffuso sugli app store non ufficiali.

Come individuare un'applicazione falsa?

Le app fraudolente sono progettate per assomigliare il più possibile a quelle legittime, ma vi sono alcuni dettagli che possono aiutare ad individuare potenziali truffe. Di seguito riportiamo alcune delle cose a cui prestare attenzione quando si vuole accertare l'autenticità di un'app.

Ortografia, icone e descrizione

Il primo passo per accertarsi se un'app sia legittima o meno è controllare l'ortografia e l'icona. Le app false di solito hanno un nome e un'icona simili – ma non perfettamente identici – a quelli legittimi.

Se ad esempio il nome dell'app o degli sviluppatori sono scritti in modo errato, è molto probabile che il software sia falso. Una rapida ricerca dell'app su Internet aiuterà a confermarne la legittimità.

Su Google Play, un modo per garantire la legittimità delle app è confermare la presenza del badge "Editor's Choice". Il badge viene fornito dal team di Google Play soltanto alle app considerate d'alta qualità, ed è pertanto molto improbabile che siano dei falsi.

Autorizzazioni richieste

Le app contraffatte di solito richiedono più autorizzazioni del necessario: ciò garantisce che possano raccogliere quanti più dati possibile dai dispositivi delle vittime.

Pertanto, gli utenti dovrebbero diffidare delle app che richiedono permessi non strettamente correlati alla loro funzione, come ad esempio i privilegi d'amministrazione del dispositivo. Tali autorizzazioni consentono ai criminali di accedere senza restrizioni al dispositivo, intercettare dati sensibili e utilizzare queste informazioni per sbloccare wallet di criptovalute e conti bancari.

Numero di download

Il numero di volte che un'app è stata scaricata è solitamente un indicatore della sua popolarità. In genere, i software di sviluppatori affidabili hanno milioni di download e migliaia di recensioni positive.

Al contrario, è meglio diffidare da applicazioni con soltanto poche migliaia di download.

Confermare l'autenticità contattando l'assistenza

In caso di dubbi su un'applicazione, è possibile avere conferme contattando l'assistenza tramite il sito web ufficiale dell'azienda. Inoltre, le app autentiche possono spesso essere scaricate direttamente dal sito.