Coin News

Un piccolo manuale per combattere i crypto scam

13 May, 20229 min readOther
Un piccolo manuale per combattere i crypto scam

Da questa uscita della rubrica The Cryptolawyer ci occuperemo settimanalmente dei casi più comuni di scam in cui è possibile imbattersi quando ci si muove nel mondo crypto.

Gli scam più comuni nella storia delle crypto visti nel dettaglio

Cercheremo di dare qualche indicazione pratica su come riconoscere una frode, su come funziona e su quelli che possono essere i rimedi e le forme di tutela che, come vedremo, non sono quasi mai né facili né efficaci.

In questa esplorazione ci accompagnerà Paolo Dal Checco, perito informatico forense tra i più noti ed autorevoli in Italia, che ci aiuterà a capire anche meccanismi e particolarità tecniche di queste frodi.

Una delle frodi in cui è più facile imbattersi viene veicolata attraverso Facebook.

Lo schema è piuttosto semplice: si usa il finto endorsement di un personaggio famoso ed accattivante per il pubblico crypto (tra i preferiti, Elon Musk e Jeff Bezos) e si promuove, attraverso un advertisement a pagamento, la vendita di un fantomatico token di prossima emissione di una grande azienda tecnologica (come possono esserlo Tesla o Amazon).

Quella più recente riguarda l’emissione di un token posticcio denominato A-Mazon con la faccia di Bezos in primo piano e la promessa di rendere ricchi i fortunati investitori.

Chi sottoscrive l’offerta ed invia i soldi, mediante carta di credito, in genere non riceve nulla in cambio o, nella migliore delle ipotesi, riceve qualcosa che forse può assomigliare ad un token, sia esso un codice o una stringa numerica, totalmente privo di qualsiasi funzione ed utilità.

Questo perché dietro l’operazione non c’è né Amazon, né Tesla, né Bezos, né Musk. Fine delle trasmissioni.

Come riconoscere gli schemi ricorrenti?

Lo schema è semplice ma suscita diversi interrogativi. Primo, com’è possibile che Facebook, nonostante le policy super rigorose, consenta la diffusione massiccia di messaggi pubblicitari palesemente fraudolenti? Secondo, possibile che non si riesca a risalire ai responsabili, considerato che i pagamenti sono effettuati con mezzi tracciati (per lo più con carta di credito)?

In una recente intervista, un dirigente di Facebook (oggi Meta), Andrew Bosworth, interpellato sul tema della disinformazione sul social media ha declinato qualsiasi responsabilità della piattaforma. In sintesi, se ti fidi di una falsa informazione che circola su Facebook, hai un problema con chi ce l’ha immessa, non con la piattaforma. Con ciò tralasciando allegramente quello che non è esattamente un dettaglio. E cioè, che in questi casi parliamo di inserzioni a pagamento, sulle quali la piattaforma lucra.

Abbiamo girato questi interrogativi a Paolo Dal Checco, Consulente Informatico Forense e specializzato in perizie informatiche anche in ambito criptomonete. Dal Checco riferisce come gli annunci pubblicitari su Facebook che riportano a siti di dubbia affidabilità che forniscono attività di trading sono piuttosto frequenti, per quanto la piattaforma tenti di contrastare il fenomeno con verifiche, segnalazioni e blocchi di utenze. Il problema è che spesso le verifiche e le segnalazioni non hanno effetto immediato, il che significa che gli annunci truffaldini possono rimanere online anche per qualche ora.

Facebook come maggior veicolo della truffa

Inoltre, proprio per poter limitare l’effetto dei controlli, i truffatori scelgono spesso di pubblicare annunci non da account creati ad hoc ma attraverso utenze di soggetti cui sono stati “hackerati” gli account. Questo permette loro di aumentare il trust di Facebook negli annunci pubblicati e rallentarne, quindi, la rimozione.

La conseguenza spiacevole per i titolari degli account compromessi è il fatto che spesso viene loro limitato, se non bloccato per sempre, l’accesso alla piattaforma o quantomeno la possibilità di pubblicare annunci. Questo significa che in caso di attacco a un account di advertising di una società che fa della pubblicità il suo lavoro o parte della propria attività, i danni possono essere piuttosto rilevanti, sia per le vittime delle truffe, sia per coloro i cui account sono stati utilizzati come vettore per le attività illecite.

Spesso ci si chiede perché Facebook permetta questo tipo di annunci. Sarebbe sicuramente interessante sentire il loro parere, ma possiamo immaginare che purtroppo vista l’enorme quantità di annunci che vengono pubblicati ogni secondo, non riescano a stare dietro i tentativi di truffa bloccandoli sul nascere, lasciando che irrimediabilmente qualche vittima cada nel tranello prima di bloccare le campagne pubblicitarie e bannare gli utenti o le pagine coinvolte.

Proprio per questo motivo, la miglior difesa di chi utilizza account di advertising è quella di “blindare” il proprio account attivando le misure di sicurezza minime come autenticazione a due fattori, notifiche via email di attività sospette, verifica delle autorizzazioni concesse da Facebook.

Chiaramente queste precauzioni non bastano e i truffatori possono tentare vie alternative come furto di cookies o di sessione, cross site scripting, phishing e tecniche che superino le misure di sicurezza. In tal caso, l’unica soluzione è un’attenzione massima a tutto ciò che gravita intorno all’utilizzo dell’account che viene utilizzato per l’advertising.

Il problema è che, una volta che la truffa è stata perpetrata, l’account Facebook utilizzato può ancora in genere essere recuperato (mitigando eventuali danni dovuti al suo utilizzo fraudolento), ma rimane la questione dei fondi trasferiti da parte delle vittime.

I due modus operandi più utilizzati

Vi sono due tipi di truffe: la prima nella quale viene richiesto il trasferimento con bonifico o carta di credito di somme che poi, asseritamente, verranno investite a favore delle vittime (che a un certo punto ne perderanno il controllo). La seconda nella quale i fondi vengono prima convertiti in crypto e secondariamente trasferiti verso i wallet dei criminali.

Cosa fare dopo essere caduti in un crypto scam

Nel primo caso, passando attraverso circuiti standard, è sempre possibile tentare il recupero rivolgendosi proprio ai gateway di pagamento o alle banche. È chiaro che nel 99% dei casi, i truffatori provvederanno con cura a svuotare i conti di ricezione dei fondi prima che questi possano essere stornati.

Nel secondo caso, invece, la sicurezza dei protocolli di trasferimento delle criptomonete si presenta paradossalmente come una difficoltà per il recupero delle somme da parte delle vittime, che non potranno stornare i versamenti e dovranno concentrarsi sull’identificare e rintracciare i dettagli dei destinatari dei fondi. Si dovrà quindi valutare, tramite tecniche di blockchain forensics e intelligence, se i fondi sono stati convogliati verso un Exchange oppure verso un wallet personale (es. Trezor, Ledger, Electrum, Metamask, etc…).

Nel caso di Exchange, si può tentare di rivalersi sullo stesso, o quantomeno coinvolgerlo chiedendo un congelamento dei fondi in attesa di azione giudiziaria, nel momento in cui si riesca a dimostrare in modo attendibile che i fondi ivi trasferiti sono provenienti da attività illecite. Non sarà facile, ma quantomeno si avrà un interlocutore con il quale valutare opportune azioni, oltre che coinvolgerlo nelle attività d’indagine per tentare l’attribuzione dei wallet ai soggetti utilizzatori, ovviamente attraverso attività investigativa dell’Autorità Giudiziaria.

Purtroppo, nella gran parte dei casi, chi delinque in ambito crypto per somme rilevanti non utilizza Exchange o, ove possibile, utilizza quelli meno “disponibili” a interagire con l’Autorità Giudiziaria, ma si avvale di wallet personali, hardware o software, che presentano maggiore difficoltà d’identificazione.

Anzi, buona parte delle volte se usati correttamente sono totalmente irrintracciabili se non in casi particolari ove tramite analisi della blockchain e delle evidenze digitali annesse al protocollo utilizzato non emergano flebili tracce utilizzabili per ricondurre wallet o transazioni ai reali utilizzatori. In caso di utilizzo di Exchange, poi, spesso le credenziali fornite dai criminali sono false, ottenute tramite prestanome o furti d’identità e gli indirizzi IP utilizzati per la connessione anonimi (VPN o Tor) quindi poco utili per le indagini.

È paradossale che, in un sistema in cui il monitoraggio sui mezzi di pagamento è divenuto capillare e persino ossessivo, non si riesca a giungere all’altro capo di trasferimenti tracciati e quindi, ad identificare i responsabili di queste frodi.

Ma se anche l’intervento dell’autorità giudiziaria e delle forze di polizia rischia di essere vano ed infruttuoso, quali tutele hanno i consumatori che cadono vittime di queste frodi?

Si deve concludere amaramente che l’unica forma di tutela è quella di esercitare la massima attenzione per evitare di cadere in questi tranelli.

I segnali più comuni per riconoscere la frode

I segnali indicatori che possono suggerire il rischio di una frode sono diversi. Uno di questi è la promessa di ritorni garantiti in misura irragionevolmente elevata. Se un investimento suona troppo bello per essere vero, è altamente probabile che sia un bidone.

Un altro elemento indicatore è che, quando l’operazione è una truffa, nei vari siti web non vengono chiaramente indicati né i nomi e i dettagli identificativi dei responsabili aziendali né i dettagli della stessa entità giuridica che promuove l’iniziativa. Niente sedi legali, indirizzi fisici, codici fiscali o numeri di registrazione, e così via. Diventa impossibile così effettuare una visura camerale o un’interrogazione al locale registro delle imprese.

Vi è poi un altro possibile indizio: non viene spiegata chiaramente la funzione sostanziale di tutta l’operazione. Cioè, a cosa concretamente serva il token che viene promosso. Se c’è un white paper, quest’ultimo ha contenuti indefiniti e poco chiari.

Ultimo, ma non meno importante, tra i possibili indizi, vi è quello di un marketing sproporzionato e martellante. Sebbene un largo uso di campagne di marketing sia un elemento comune delle iniziative nel mondo crypto (anche di quelle non fraudolente), chi mette in piedi questo tipo di frodi persegue una logica “mordi e fuggi”. Cioè, ha l’impellente necessità di raggiungere il maggior numero di persone possibili, per poi sbaraccare il più velocemente possibile. Questo esige che le campagne di marketing siano particolarmente invasive ed estese.

Certo, viene naturale chiedersi a cosa serva l’enorme armamentario di raccolte di dati, sanzioni e adempimenti burocratici ed identificativi imposti dalla normativa antiriciclaggio, il cui peso, di fatto, viene riversato a carico dell’utenza comune, se poi il sistema non riesce concretamente a perseguire quelli che appaiono come criminali dichiarati.

Source

Subscribe to get our top stories

Coin News
App StoreApp Store