OpSec per piccoli cripto-investitori
L’obiettivo di una persona normale non è avere le misure di sicurezza tecniche più fighe al mondo, ma non essere il target più facile e sopravvivere a un attacco fisico o digitale.
A 17 anni dalla pubblicazione del whitepaper di Bitcoin, le criptovalute hanno fatto passi da gigante; ormai vero e proprio settore finanziario, nonché colonna portante di numerosi progetti e attività imprenditoriali che interessano in particolare Gen Z e Millennials.
Basta scavare un pochino su X per notare quanto sia facile incappare in persone che discutono apertamente di questi temi, dei loro patrimoni e dei loro investimenti. Tutt’altra cosa rispetto alla finanza tradizionale, dove invece sembra ancora oggi viva l’idea per cui sia meglio non divulgare pubblicamente o a sconosciuti il proprio reddito, dettagli bancari, azioni possedute e così via.
D’altronde, nonostante si parli pur sempre di denaro, la differenza è sostanziale: le criptovalute vivono di community e di meme. Se ne deve parlare il più apertamente e largamente possibile — o la magia non funziona. Ecco perché è pieno di eventi, conferenze, aperitivi e gruppi online di ogni tipo in cui le persone condividono apertamente informazioni che nel settore tradizionale sarebbero considerate sensibilissime.
E qui iniziano i problemi. Per ognuno che condivide dettagli sulle sue amate criptovalute, c’è qualcuno che nell’ombra prende nota. Sistemi automatizzati o esseri umani, poco conta. L’informazione vuole essere libera, scriveva Eric Hughes nel Manifesto Cypherpunk, e ogni informazione viene registrata per sempre nel grande registro globale eterno che è l’Internet — chiosava più recentemente Edward Snowden.
E se normalmente le persone ormai giustificano il loro oversharing con l’ingenuità di non aver nulla di (illegale) da nascondere, qui la questione è assai diversa. Le criptovalute promettono libertà finanziaria e talvolta privacy digitale, ma portano con sé anche un lato oscuro e violento.
Non è difficile immaginare i rischi digitali connessi alle criptovalute, come seed words dimenticate o wallet hackerati, ma il mondo reale racconta una storia fatta di sequestri, minacce armate, torture e riscatti a cui raramente si pensa.
Eppure notizie del genere sono all’ordine del giorno, e coinvolgono sia persone normali che influencer, fondatori di startup e perfino le loro famiglie. Vediamone qualcuno insieme, perché ci sono importanti lezioni da imparare per chiunque possieda criptovalute.
Dita mozzate e rapimenti
Un primo caso emblematico è quello della streamer e modella OnlyFans Kaitlyn “Amouranth” Siragusa, nota per avere condiviso pubblicamente un wallet con oltre 20 milioni di dollari in bitcoin. La sua visibilità online l’ha resa un bersaglio facile: alcuni intrusi si sono introdotti nella sua abitazione e l’hanno minacciata con un’arma da fuoco, cercando di costringerla a dargli accesso ai fondi. Pare che invece lei abbia sparato a uno di loro, mettendoli in fuga.
In Spagna, un trader di criptovalute britannico è stato rapito da tre persone che hanno richiesto un riscatto di 30.000 euro. Anche in questo caso l’episodio è finito bene per la vittima, che attraverso un amico è riuscito ad allertare le forze dell’ordine, che hanno salvato la situazione.
Proseguendo, arriviamo a Parigi — teatro di un caso agghiacciante di rapimento. Alla vittima, il padre di un famoso imprenditore nel settore delle criptovalute è stato amputato un dito, spedito poi insieme a un video con minacce di morte in caso mancato pagamento di un riscatto milionario. Fortunatamente l’uomo è stato liberato due giorni dopo dalle forze dell’ordine, e sette persone sono state arrestate.
Un altro caso riguarda addirittura il cofondatore di Ledger, azienda leader negli hardware wallet per criptovalute. A inizio anno è stato rapito insieme alla moglie in Francia. Anche in questo caso i criminali — evidentemente è una moda francese — gli hanno tagliato un dito per usarlo come pressione psicologica, chiedendo un ingente riscatto in cambio della vita. Anche qui la vicenda ha avuto un epilogo tutto sommato felice per la vittima, che è stata trovata e liberata dalla polizia.
La brutalità non risparmia neanche gli influencer di settore. Uno di loro, soprannominato “Crypto King” (famoso per aver perso circa 35 milioni di dollari in trading nel 2023), è stato sequestrato e picchiato a sangue da un uomo che gli aveva affidato in gestione 740.000 dollari. È andata peggio a un altro cripto-influencer, Kevin Mirsashi, trovato morto lo scorso anno in circostanze ancora non chiare.
Il quadro che emerge da questi episodi famosi è chiaro: criminali di ogni tipo non si fanno alcuno scrupolo pur di mettere le mani su criptovalute che, diversamente dai conti bancari, possono facilmente essere rubate e utilizzate senza lasciare grandi tracce in giro. È anche il motivo per cui i cybercriminali prediligono pagamenti in Bitcoin o Monero come riscatto ai loro ransomware.
E benché rapimenti e dita mozzate facciano molta paura, non bisogna dimenticare truffe e furti digitali.
Data leak e truffe sofisticate
Un caso eclatante e recente è quello di un wallet Ledger falsificato, usato per rubare tutti i fondi del malcapitato di turno. Quando a James arrivò un pacco con un nuovo Ledger, gli sembrava tutto perfettamente autentico: una scatola bianca e sigillata con il logo di Ledger, contenente un dispositivo identico all’hardware wallet che usava da anni.
La lettera a corredo, redatta in un linguaggio tecnico e rassicurante, lo informava che il suo vecchio dispositivo era stato compromesso in seguito a una violazione della sicurezza e che quindi doveva essere sostituito immediatamente con quello fornito dall’azienda. Il documento — oltre a indicare correttamente che James era già un cliente Ledger — riportava nome, cognome, indirizzo e email personale usata per la registrazione.
Certo, il tutto sembrava un po’ atipico, ma i dati erano corretti e la spedizione sembrava legittima. Il timore di perdere i suoi fondi ebbe la meglio, e così James decise di seguire le istruzioni per sostituire il suo vecchio Ledger, inserendo le 24 seed words nel nuovo dispositivo. In quel momento, senza saperlo, aveva appena consegnato le chiavi di tutto il suo patrimonio a qualcun altro.
Nel giro di pochi minuti il suo wallet fu svuotato completamente. Bitcoin, Ethereum, NFT: spariti nel nulla.
L’attacco fu portato a segno grazie all’uso di tecniche di ingegneria sociale (se non sai cosa significa, ne ho parlato qui) unitamente a dati reali, trafugati in occasione del data leak subito da Ledger nel 2020, che espose le informazioni di oltre 270.000 clienti. James era uno di questi.
Il caso dimostra che non basta mettere in atto misure di sicurezza tecniche, come l’uso di un hardware wallet, per salvarsi. È anche e soprattutto questione di consapevolezza. Se James avesse saputo del furto di dati subito dall’azienda in cui riponeva la sua fiducia, forse oggi avrebbe ancora i suoi soldi.
E per rimanere in tema, c’è un recentissimo data leak che dovrebbe fare molta paura a chi utilizza Coinbase. La famosa piattaforma per l’acquisto e trading di criptovalute è infatti stata vittima di un cyberattacco che ha messo a segno un furto gravissimo di dati personali riguardanti gli utenti — compresi documenti d’identità digitalizzati e storico completo delle transazioni.
Un patrimonio informativo che, senza dubbio, permetterà nei prossimi anni di mettere a segno truffe e attacchi di ingegneria sociale senza precedenti verso utenti ignari, o che avranno semplicemente dimenticato questo ennesimo furto di dati.
Quando episodi del genere accadono a banche o enti finanziari tradizionali, le persone prestano attenzione. Che qualcuno conosca chi sei e tutti i dettagli del tuo conto corrente è considerato qualcosa di molto grave. Ma questo è il regno delle criptovalute: il drama, i rapimenti, le dita mozzate e le truffe sono parte del divertimento. E così la vita prosegue senza troppi problemi.
Magari tu però non sei dello stesso avviso.
Magari a te non stuzzica l’idea che qualcuno possa conoscere tutta la tua storia economica, l’ammontare del tuo patrimonio, dove abiti, come ti chiami e che faccia hai. Magari preferiresti evitare rapimenti e dita mozzate in cambio di qualche bitcoin.
OpSec per cripto-utenti
Se è così, allora ci sono alcune cose che dovresti sapere, e che forse hai già capito leggendo fin qui.
Chi opera con le criptovalute, fosse anche solo in qualità di piccolo risparmiatore o investitore, dovrebbe conoscere i rischi a cui va incontro e proteggere sia le sue informazioni che la sua incolumità fisica. In gergo questa attività si chiama Operations Security (OpSec).
La storia dell’Operations Security è avvincente: nacque con l’operazione ‘Purple Dragon’ durante la guerra del Vietnam, a dimostrazione che la massima di Sun Tzu (Arte della Guerra) rimane sempre attuale: “Attacca il nemico dove non è preparato, colpisci con le truppe quando non se l’aspetta.
Ci sono poche regole essenziali che dirigono l’azione militare: il controllo del territorio, la gestione della catena dei rifornimenti, ma soprattutto, l’elemento della sorpresa.
È proprio quest’ultimo che permette a un attaccante di aumentare drasticamente le possibilità di vittoria. Ecco perchè l’obiettivo primario di ogni campagna militare è colpire quando l’avversario meno se lo aspetta. Ed ecco perché anche chi opera nel digitale deve essere consapevole di queste logiche. La guerra cibernetica è perenne e non risparmia nessuno; non ci sono civili — siamo tutti soldati. Per chi volesse approfondire la storia e la nascita dell’OpSec, ne ho parlato qui.
Tornando a noi, l’OpSec ci insegna a proteggere noi stessi e i nostri “asset informativi” per evitare che siano usati dagli attaccanti contro di noi. Tuttavia, prima di capire cosa fare, è opportuno riflettere sul cosa non fare.
Un caso eclatante, un condensato di tutto ciò che non si dovrebbe fare, è quello della “Bitcoin Family”.
OpSec: cosa NON fare
Keep reading with a 7-day free trial
Subscribe to Cyber H3rmetica (IT) to keep reading this post and get 7 days of free access to the full post archives.