Come proteggere account personale su crypto exchange di fiducia da attacchi informatici

di


Postato | Aggiornato


- Foto Kevin Ku da Unsplash.com. -

Un attacco informatico perpetrato ai danni dell'exchange, attività di phishing o di ingegneria sociale a tuo danno, sono scenari possibili quando come investitori e trader si opera con le criptovalute. Come proteggere l'account personale sul crypto exchange di fiducia per ridurre al minimo i rischi derivanti da un attacco informatico?

Attraverso la lettura di questo articolo apprenderai una serie di consigli utili, tra cui potrai scegliere di applicare quelli più in linea con le tue esigenze. E-mail segreta, smartphone dedicato ai crypto asset e molte altre strategie di sicurezza, possono fare la differenza quando si opera nei mercati delle criptovalute.

Se sei un trader o un investitore che opera assiduamente sui crypto exchange, la lettura di questi consigli potrebbe rendere più sicuro il crypto account rispetto ai tentativi di attacco dei pirati informatici (cracker). 🏴‍☠️

E-mail segreta

Per proteggere al meglio l'account aperto presso un crypto exchange, consigliamo di creare una e-mail apposita da non divulgare a terzi, ma solo all'exchange di criptovalute.

A nessuno, ma proprio a nessuno, va comunicato questo indirizzo di posta elettronica. Andrà utilizzato esclusivamente per le comunicazioni con la piattaforma di scambio.

Perché una e-mail segreta?

Usare l'e-mail personale o peggio ancora l'e-mail aziendale per registrarsi presso un crypto exchange, espone a rischi dovuti al fatto che questi indirizzi di posta elettronica sono noti a tutte quelle persone a cui lo abbiamo fornito per ricevere informazioni e comunicazioni.

Di seguito un paio di scenari possibili che presentano condizioni di rischio per il conto in criptovaluta.

La diffusione dell'indirizzo di posta elettronica personale su numerose piattaforme (social network, forum, servizi), espone l'indirizzo e-mail a possibili attività di phishing, permettendo in questo modo al pirata informatico di carpire i dati personali allo scopo di accedere al crypto account.

L'uso dell'indirizzo di posta elettronica aziendale potrebbe risultare ancor più rischioso, poiché chi in azienda ha i privilegi di amministratore potrebbe essere potenzialmente in grado di leggere le e-mail inviate e ricevute.

 

👈 Inquadra QR Code, ottieni interessi sulle criptovalute

Con il crypto wallet gestito Celsius Network, ricevi ogni settimana interessi sulle criptovalute depositate. Deposita 200€ in crypto ricevi 40 USD bonus benvenuto.

Scarica app, deposita, ottieni interessi

Numero di telefono riservato

Gli exchange di criptovalute richiedono quasi sempre la registrazione di un numero di cellulare. In alcuni casi esso viene utilizzato anche come secondo fattore di autenticazione (2FA).

Il consiglio qui è di dotarsi di un numero di cellulare dedicato e riservato, diverso dal numero di cellulare personale o aziendale.

Basterà dotarsi di una nuova SIM, il cui numero sarà comunicato soltanto all'exchange di criptomonete e stablecoin.

Perché un numero di cellulare riservato

Un attacco SIM swapping è uno dei principali motivi che dovrebbe spingere un trader/investitore in asset digitali a usare un numero di cellulare riservato alle comunicazioni con il crypto exchange.

Se una persona terza entra in possesso del numero di cellulare, anche attraverso il furto dello smartphone, e il secondo fattore di autenticazione che abbiamo abilitato è l'SMS, il crypto account potrebbe essere in serio pericolo.

Ecco perché è consigliabile dotarsi di un secondo smartphone, come spiega la prossima sezione di questa guida dedicata alla difesa dell'account aperto presso il crypto exchange di fiducia.

- Foto di Executium da Unsplash.com. -

Smartphone dedicato

Perdere o essere derubati dello smartphone non è purtroppo un evento raro. Ma cosa accade se lo smartphone è la porta d'accesso a tutto il nostro mondo, crypto finanziario compreso? Gli scenari negativi e problematici che si potrebbero venire a crear sono vari.

Tra i problemi che si dovranno affrontare, il primo riguarda la perdita di accesso alla piattaforma di trading con le criptovalute. Potremmo infatti aver impostato il secondo fattore di autenticazione (2FA) usando una app di autenticazione (Authy, Google Authenticator, ecc.) che è presente sullo stesso smartphone di cui non siamo più in possesso. Questo problema si risolve facilmente conservando il codice di backup come di solito consigliato anche dall'exchange di criptovalute.

Le cose si complicano se nello smartphone abbiamo concentrato tutto e tutti gli account sono aperti, cioè privi di protezioni: password, PIN, o impronta digitale.

  • App dell'e-mail personale (quella usata anche per il crypto exchange) aperta senza password;
  • app authenticator privo di PIN di accesso.

L'aver attivato in precedenza l'accesso biometrico naturalmente aiuta — in particolare l'impronta digitale, molto meno il rilevamento del volto che sconsigliamo —, tuttavia i fondi potrebbero essere comunque a rischio.

La soluzione: smartphone dedicato

Consigliamo come soluzione di acquistare uno smartphone dedicato alle attività crypto, al quale associare il numero di cellulare riservato, e sul quale scaricare l'app authenticator. Risulterà utile scaricare anche un crypto wallet personale evoluto e con gestione delle chiavi private, come ad esempio il Coinbase wallet (non la piattaforma di scambio): il portafoglio di criptovalute è utile per conservare gli asset non utilizzati nell'attività di trading/investimento.

Non è necessario spendere molto per il dispositivo mobile, anzi, si può utilizzare un precedente smartphone dismesso, a patto che non sia di terze persone, e questo per motivi di sicurezza. Ne consegue che anche l'acquisto di dispositivi di seconda mano è da evitare. Se non si dispone di un secondo smartphone consigliamo l'acquisto di un nuovo dispositivo mobile economico, ma dotato di memoria sufficiente per installare le applicazioni: 32 GB andranno bene.

Per aggiungere una maggiore sicurezza è consigliata la lettura della prossima sezione, che introduce l'uso della chiave di sicurezza fisica.

Sicurezza 2FA superiore: chiave di sicurezza YubiKey

Il secondo fattore di autenticazione (2FA) è stato introdotto da numerosi servizi e piattaforme per aumentare la sicurezza degli account. Col tempo sono nate varie soluzioni tecniche 2FA, ognuna con un certo grado di sicurezza più o meno elevato.

Gli SMS con codice univoco non offrono il miglior livello di protezione 2FA, mentre le app di autenticazione offrono un buon livello di sicurezza, ma l'autenticazione biometrica con impronta digitale offre un grado di sicurezza più elevato.

Esiste, poi, un metodo 2FA con sicurezza ancor più elevata, garantita da una chiave di sicurezza OTP fisica. Questo tipo di chiave è un dispositivo fisico indipendente dal personal computer o dallo smartphone, una caratteristica che rende la chiave inattaccabile da un pirata informatico.

Negli ultimi anni la YubiKey, prodotta dall'azienda svedese yubico, si è affermata come chiave di sicurezza scelta da numerose piattaforme web: Google, Facebook, Twitter, Microsoft, Redhat e molti altri servizi la accettano. Anche le aziende che adottano i criteri di sicurezza informatica più elevati dotano i propri dipendenti della chiave di sicurezza YubiKey per accedere ai sistemi informatici.

Alcuni crypto exchange hanno abilitato la YubiKey come secondo fattore di autenticazione. Tra gli exchange che lo hanno fatto troviamo Coinbase e Kraken. La soluzione, infatti, garantisce i più alti standard di sicurezza al proprio account crypto e una elevata resistenza agli attacchi informatici di forza bruta o furto di password.

- YubiKey 5C NFC. -

Come funziona la YubiKey con i crypto exchange

Ciascuna piattaforma di scambio ha le sue procedure, tuttavia in generale i passaggi da seguire sono i seguenti:

  1. accedere all'exchange;
  2. visitare la pagina dedicata ai 2FA nella sezione dedicata alla sicurezza dell'account;
  3. inserire la YubiKey nel PC/notebook;
  4. attivare la YubiKey come secondo fattore di autenticazione toccando la chiave stessa.

Modelli di YubiKey e funzionalità

Esistono diversi modelli di YubiKey della serie 5 (YubiKey 5 Series), l'ultima rilasciata in ordine di tempo.

I vari modelli sono caratterizzati dal supporto di più protocolli contemporaneamente: autenticazione FIDO2/WebAuthn; autenticazione U2F; Smart Card; OpenPGP; OTP.

I modelli di YubiKey 5 Series si differenziano essenzialmente per il tipo di porta di connessione utilizzata: USB tipo A; USB tipo C. Esiste anche la versione con tecnologia NFC per l'utilizzo mobile con lo smartphone/iPhone o il tablet/iPad.

Le YubiKey 5C NFC e YubiKey 5 NFC sono le versioni dotate di tecnologia NFC per l'uso con il dispositivo mobile, si differenziano per la porta di connessione: la prima è dotata di porta USB-C; la seconda di porta USB-A.

I costi di una YubiKey dipendono dal modello scelto. La YubiKey 5C NFC costa 67,10 euro, spese di spedizione incluse su Amazon. La YubiKey 5 NFC costa 54,90 euro, spese di spedizione incluse.

In alternativa si possono acquistare sul sito web della yubico, ma al prezzo presentato sul sito va aggiunta l'IVA e anche le spese di spedizione che sono a parte. La YubiKey 5C NFC costa 55€ sul sito yubico, che salgono a 67,10€ aggiungendo l'IVA al 22%, più 30 euro di spese di spedizione con tracking code.

Se il pirata informatico 'buca' l'exchange tutto ciò non è servito

Ai consigli sin qui forniti si potrebbe obiettare che, in caso di attacco informatico diretto ai sistemi dell'exchange, tutte queste accortezze sarebbero state un inutile spreco di tempo e denaro.

Questa osservazione è corretta ma non tiene conto dei costi/benefici. Nel malaugurato caso di un hacking dei nostri dati personali in possesso del crypto exchange, è vero che l'email segreta e il numero di cellulare riservato sono da considerare compromessi insieme a tutti gli altri dati. Di più, anche i nostri fondi potrebbero essere trafugati durante l'hacking.

Dicevamo che si devono però considerare i costi benefici.

Un conto, infatti, è la compromissione della nostra e-mail e/o numero di cellulare personale/aziendale, un conto è la compromissione di un indirizzo e-mail e/o numero di cellulare che abbiamo dedicato all'uso esclusivo con l'exchange di criptovalute. In quest'ultimo caso risulterà più semplice, rapido e conveniente sostituire e-mail e numero di cellulare violati.

C'è anche un altro scenario da considerare che è a favore dei consigli sin qui proposti, ed è quello in cui usiamo l'indirizzo e-mail personale (e numero di cellulare) per qualsiasi servizio, compreso il crypto exchange, ma a subire la violazione dei dati personali (data breach) è, ad esempio, la società con cui abbiamo stipulato il contratto della polizza assicurativa (auto, moto, casa, gatto).

Valutati i costi benefici, quindi, crediamo sia meglio usare una e-mail e una SIM dedicati al crypto exchange di fiducia. Infondo, stiamo proteggendo i nostri soldi.

Infine, anche se è chiaro a tutti che nessuna piattaforma di trading è immune dalle compromissioni, affidarsi ad un valido exchange di criptovalute aiuta.

- Foto Fábio Lucas da Unsplash.com. -

Dotarsi di un hardware wallet

Prima di concludere con alcuni consigli finali, diamo uno sguardo agli hardware wallet. Il portafoglio hardware si potrebbe rivelare una soluzione strategica, da valutare quando non tutti i crypto asset in nostro possesso devono essere necessariamente pronti all'uso sull'exchange di criptovalute.

Quali sono i benefici di un hardware wallet?

  • Funziona come un servizio di custodia di terze parti, ma al costo del solo dispositivo.
  • Il dispositivo non si collega direttamente ad Internet, garantendo la sicurezza dei fondi contro atti di pirateria informatica.
  • Custodisce decine di crypto asset in un solo dispositivo.

Un modello di hardware wallet si configura, quindi, come la soluzione di sicurezza tra le più efficaci dove conservare al sicuro e offline le personali ricchezze in criptovaluta.

 

Garantisci Privacy e Sicurezza alle tue Crypto

Gli hardware wallet sono i dispositivi migliori dove conservare le criptovalute al sicuro e in assoluta riservatezza. I Ledger wallet conservano 1.500 tra criptovalute e token.

Scopri i modelli di Ledger wallet

Consigli finali

Per concludere alcuni ultimi consigli, alcuni ben noti, per proteggere il proprio account personale sul crypto exchange dagli attacchi informatici.

  • Password lunghe: usare password lunga almeno 22 tra caratteri alfanumerici e caratteri speciali.
  • 2FA: attivare secondo fattore di autenticazione (exchange con YubiKey consigliati).
  • Social media: non scrivere sui social network (o forum) con quale crypto exchange si fanno gli investimenti o si svolge l'attività di trading.
  • Wallet personale: spostare sul portafoglio personale (cold wallet) la quantità di criptovaluta non usata per il trading (consigliato un hardware wallet).
  • Dispositivi personali: usare solo il proprio computer o dispositivi mobili personali per collegarsi al crypto exchange, e non far utilizzare ad altri i propri device e PC/notebook.
  • Computer aziendale: non collegarsi al crypto exchange dal computer aziendale. Prima di farlo domandarsi: quanto è attenta l'azienda per cui lavoro alla sicurezza informatica?
  • Rete wifi: a casa, creare una rete wifi dedicata con password lunga almeno 22 tra numeri e caratteri speciali. Maggiore sicurezza si ottiene con SSID nascosto e, possibilmente, collegamento al modem/router via cavo. Usare un modem/router wifi 6 e chipset wifi 6 sul PC/notebook aumenta la sicurezza.


Foto Fabio Carbone: autore articolo
Fabio Carbone
Scrittore web tecnico ma versatile, scrive di criptovalute e blockchain per quotidiani online, siti di settore e aziende. Ha seguito un corso accademico sull'Industria 4.0 applicata al business; ha ottenuto 2 certificati blockchain professionali: BerkeleyX e The Linux Foundation.
Ghost writer e amante delle tartarughe d'acqua dolce, nel tempo libero cura il blog www.rugatartaruga.eu.
Per contatti professionali: LinkedInTelegram.

Ledger Nano X

Articoli da Leggere