Proteggi i tuoi asset crittografici: una guida alla sicurezza contro il phishing e le truffe
Nel mondo delle criptovalute, la sicurezza non è solo una raccomandazione, ma una necessità. Scopri come proteggere i tuoi asset digitali dalle minacce in continua evoluzione rappresentate dal phishing, dalle truffe e da altre pratiche fraudolente.

Il mondo decentralizzato delle criptovalute offre immense opportunità, ma comporta anche nuovi rischi. Phishing, truffe, smart contract dannosi e altre forme di frode minacciano costantemente i tuoi asset digitali. Per proteggerti, è fondamentale essere informati e adottare misure di sicurezza proattive.
Principali minacce per le criptovalute
1. Phishing e siti web contraffatti
I truffatori creano repliche esatte di famose piattaforme di scambio di criptovalute, portafogli o piattaforme DeFi per indurti a rivelare le tue chiavi private, le frasi di seed o le credenziali di accesso. Controlla sempre attentamente l'URL del sito web e utilizza i segnalibri invece dei link contenuti nelle e-mail o nei messaggi.
2. Coloro che prosciugano il portafoglio
Si tratta di script dannosi che, una volta collegati al tuo wallet o al momento della firma di una transazione, possono svuotarlo trasferendo tutte le tue risorse sul wallet dell'autore dell'attacco. Spesso si presentano sotto le spoglie di dApp legittime, progetti NFT o airdrop.
3. Truffe e ingegneria sociale
Tra queste figurano promesse di guadagni facili, falsi omaggi, schemi di "pump-and-dump" e truffe relative all'assistenza tecnica in cui ti viene chiesto l'accesso al tuo portafoglio digitale o di fornire informazioni personali.
Misure concrete per proteggere i tuoi asset crittografici
1. Revoca regolarmente le autorizzazioni (Revoke.cash)
Ogni volta che interagisci con uno smart contract (ad esempio, approvando l'utilizzo di token per un exchange decentralizzato o un marketplace di NFT), gli concedi l'autorizzazione ad accedere a una certa quantità dei tuoi token. Se il contratto si rivelasse dannoso o venisse compromesso, tali autorizzazioni potrebbero essere sfruttate per svuotare il tuo portafoglio.
- Cosa fare: Utilizza servizi come Revoke.cash. Questo strumento ti permette di visualizzare e revocare tutte le autorizzazioni che hai concesso agli smart contract. Controlla regolarmente e revoca le autorizzazioni non necessarie o sospette. Ciò è di fondamentale importanza per ridurre al minimo i rischi.
2. Aggiornamenti tempestivi dei sistemi e delle applicazioni
Un software obsoleto è una porta aperta per gli hacker. Gli aggiornamenti spesso includono patch di sicurezza che risolvono le vulnerabilità note.
- Cosa fare:
- Sistema operativo: Assicurati che il tuo sistema operativo (Windows, macOS, Linux) sia sempre aggiornato all'ultima versione.
- Browser: Utilizza versioni aggiornate dei browser (Chrome, Firefox, Brave, ecc.), poiché spesso includono funzionalità di sicurezza integrate contro il phishing.
- Portafogli e estensioni per criptovalute: Aggiorna regolarmente i tuoi portafogli software (ad esempio, MetaMask) e le eventuali estensioni associate.
3. Diversificazione del portafoglio: non mettere tutte le uova nello stesso paniere
Conservare tutte le proprie criptovalute in un unico portafoglio aumenta il rischio di perdere tutto in caso di attacco hacker o di phishing.
- Cosa fare:
- Portafogli caldi: Utilizzale solo per piccoli importi destinati alle transazioni quotidiane o alle interazioni con le dApp.
- Portafogli freddi / Portafogli hardware: Per conservare a lungo termine importi consistenti, utilizza i portafogli hardware (Ledger, Trezor). Questi garantiscono la massima sicurezza, poiché conservano le tue chiavi private offline.
- Segregazione degli asset: Distribuisci i tuoi asset su più portafogli ed exchange per ridurre al minimo i potenziali danni derivanti da un singolo attacco riuscito.
4. Verificare sempre gli indirizzi e le transazioni firmate
I truffatori possono utilizzare malware per modificare l'indirizzo del destinatario presente negli appunti o falsificare i dettagli della transazione.
- Cosa fare:
- Ricontrolla: Verifica sempre attentamente l'indirizzo del destinatario prima di inviare denaro, in particolare i primi e gli ultimi caratteri.
- Leggi le richieste di firma: Leggi attentamente tutte le richieste di firma delle transazioni presenti nel tuo wallet. Assicurati di comprendere esattamente ciò che stai approvando. Le richieste sospette (ad esempio, quelle relative all’opzione “Imposta approvazione per tutte” per un contratto sconosciuto) potrebbero essere operazioni volte a svuotare il tuo wallet.
5. Utilizza l'autenticazione a due fattori (2FA)
L'autenticazione a due fattori (2FA) aggiunge un ulteriore livello di sicurezza ai tuoi account sulle piattaforme di scambio e sui servizi.
- Cosa fare: Attiva l'autenticazione a due fattori (2FA) ogni volta che è possibile, utilizzando app di autenticazione (Google Authenticator, Authy) anziché gli SMS, poiché la 2FA tramite SMS è più soggetta a intercettazioni.
6. Attenzione alle offerte e ai messaggi inaspettati
Se un'offerta sembra troppo bella per essere vera, probabilmente lo è.
- Cosa fare: Ignora i messaggi di sconosciuti che promettono criptovalute "gratis" o guadagni facili. Verifica le informazioni attraverso i canali ufficiali del progetto.
7. Portafogli hardware e firma “air-gapped”
Gli hot wallet (browser/dispositivi mobili) rappresentano la principale superficie di attacco nel mondo delle criptovalute. Spostate i vostri asset a lungo termine su un portafoglio hardware — Ledger, Trezor, Keystone o BitBox — dove le chiavi private non escono mai dal dispositivo. Per transazioni di importo elevato, si consiglia di considerare isolato fisicamente firma tramite codice QR (Keystone, Coldcard, AirGap Vault), in modo che nemmeno un computer compromesso possa sottrarre le chiavi.
- Acquista portafogli hardware solo direttamente dal produttore canali — la manomissione della catena di approvvigionamento costituisce un vero e proprio attacco.
- Installare il dispositivo in un ambiente pulito; verificare le firme del firmware prima del primo utilizzo.
- Annota la frase di seed su acciaio copie di sicurezza (Cryptotag, Billfodl) — la carta si brucia e sbiadisce.
- Non digitare, fotografare né archiviare mai i semi in formato digitale — né su iCloud, né su Google Drive, né su gestori di password, né su app per appunti.
8. Approvare le indennità con cautela
A chi vuole svuotarti il portafoglio non serve il tuo seed: gli basta una singola approvazione firmata che gli consenta di trasferire i tuoi token. Ogni volta che firmi una transazione, leggi attentamente:
- Verifica il funzionamento:
approve,setApprovalForAll,permit,increaseAllowance, esignOrderconcedere il diritto di spostare i token — non di trasferirli. - Controlla il distributore: L'indirizzo che stai approvando dovrebbe essere un contratto di protocollo noto — mai un EOA (account di proprietà esterna) o un contratto non verificato.
- Verifica l'importo: se viene richiesto un numero illimitato (
2^256-1), preferiscono fissare un limite massimo preciso. - Controllare la catena: Un sito di phishing potrebbe trasferire il tuo wallet su una catena inaspettata per aggirare i tuoi filtri.
- Utilizzo Blockaid, ScamSniffer, oppure Protezione per portafoglio estensioni per segnalare le approvazioni dannose prima della firma.
9. Gestione dei domini e dei segnalibri
Gli attacchi di phishing più efficaci prendono di mira il momento in cui si digita un URL o si clicca su un link. Misure di difesa:
- Aggiungi ai preferiti ogni wallet, exchange e bridge che utilizzi: non digitare mai manualmente i domini dei siti sensibili.
- Evita i risultati sponsorizzati o pubblicitari su Google: le parole chiave sponsorizzate relative a portafogli crittografici, exchange e bridge sono il vettore di phishing numero uno. Ne parliamo in I registrar che favoriscono le truffe a livello globale.
- Diffidate di qualsiasi URL che contenga caratteri superflui:
uniswap-app.org,metamask-extension.com,app-pancakeswap.io— I domini ufficiali sono semplici. - Verifica dei domini tramite Certificate Transparency (crt.sh) — un certificato appena rilasciato per un prodotto che assomiglia a un marchio noto è un enorme campanello d'allarme.
10. Attenzione alle truffe legate alla "pubblicità" e ai programmi di visualizzazione sul posto di lavoro
I team del settore delle criptovalute sono sempre più spesso vittime di attacchi di ingegneria sociale in stile aziendale, mascherati da pubblicità o offerte di partnership. L’autore dell’attacco chiede di installare un “visualizzatore di media kit”, un “gestore di annunci”, un “client Zoom” o uno “strumento sicuro per gli accordi di riservatezza (NDA)”: quello “strumento” è in realtà un programma di furto di dati. Abbiamo documentato un caso in cui questo approccio ha prosciugato i fondi di un progetto: $100K Returned — Adverting Scam Foiled.
- Non installare mai client, visualizzatori o "programmi di aggiornamento" speciali forniti da terze parti non verificate.
- Utilizza solo i download ufficiali dei fornitori per Zoom, Telegram e Discord — mai i risultati di ricerca sponsorizzati.
- Se un flusso di lavoro richiede un client personalizzato, considerarlo per impostazione predefinita come ostile.
11. Igiene operativa per i team che si occupano di criptovalute
- Macchina dedicata per le operazioni di tesoreria — sistema operativo aggiornato, portafoglio hardware, numero minimo di estensioni, niente e-mail né social.
- Multi-sig per qualsiasi riserva superiore al burn mensile (Safe, Squads, ecc.).
- Aggiungere gli indirizzi di prelievo alla lista bianca sulle piattaforme di scambio; prevedere, ove possibile, blocchi temporali.
- Semi operativi di riserva in un sistema di archiviazione di dati in formato steel distribuito geograficamente con suddivisione M-di-N (Secret Sharing di Shamir).
- Manuale di gestione degli incidenti: documentare in anticipo chi chiama chi, quali portafogli revocare e dove si trovano i registri di audit. La prima ora dopo una violazione è decisiva.
12. Se il tuo sistema è già stato compromesso
- Trasferire fondi subito da qualsiasi portafoglio che abbia visitato un sito dannoso o abbia firmato una transazione sospetta. La rapidità conta più di un processo perfetto.
- Revoca tutte le autorizzazioni relative ai token su revoke.cash da un dispositivo pulito.
- Scollegare il dispositivo compromesso da tutte le reti; aggiornare tutte le credenziali utilizzate su quel dispositivo; reinstallare il sistema operativo da un supporto pulito.
- Conserva le prove: immagine del disco, cronologia del browser, hash delle transazioni — ti serviranno per redigere un rapporto sull'incidente e per un eventuale ripristino.
- Inviare a @PhishDestroy_bot e contattaci SEAL 911 per ricevere assistenza professionale in materia di sicurezza in caso di emergenza.
- Leggi la nostra guida completa sulla gestione degli incidenti: Misure urgenti — cosa fare dopo un attacco informatico.
Risorse aggiuntive per una maggiore sicurezza
Essere informati è già metà della battaglia. Fonti consigliate:
- Security Alliance — Malware — analisi approfondita delle famiglie di malware che prendono di mira gli utenti di criptovalute.
- PhishDestroy elenco da eliminare — Oltre 130.000 domini attivi legati a phishing e truffe: integrali nel tuo DNS, nel firewall o nel browser.
- @PhishDestroyAlerts — avvisi in tempo reale sulle nuove infrastrutture utilizzate per le truffe.
- Anatomia di una rimozione — come PhishDestroy mette fuori uso le infrastrutture di phishing.
- Strumenti open source per la lotta alla criminalità informatica — kit completo di strumenti OSINT.
- Indagine su oltre 150 estensioni Mozilla contraffatte — come le estensioni dannose raccolgono i seed.
"Noi di PhishDestroy ci impegniamo a fornirvi gli strumenti e le conoscenze necessari per navigare in sicurezza nel mondo digitale. Ricordate: la vostra vigilanza è la vostra prima e migliore linea di difesa."
La protezione dei propri asset crittografici richiede un'attenzione costante e misure proattive. Seguendo questi consigli, potrete ridurre in modo significativo il rischio di cadere vittima di truffatori e muovervi nel mondo della finanza decentralizzata con maggiore sicurezza.

