{"id":24422,"date":"2021-04-19T16:43:36","date_gmt":"2021-04-19T14:43:36","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=24422"},"modified":"2021-04-19T16:43:36","modified_gmt":"2021-04-19T14:43:36","slug":"cryptoscam-fake-antminer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/cryptoscam-fake-antminer\/24422\/","title":{"rendered":"Crypto-truffa con falsi strumenti di mining"},"content":{"rendered":"

L\u2019aumento dei prezzi delle criptovalute ha portato a una maggiore richiesta di attrezzature per il mining; tuttavia, le restrizioni dovute al COVID-19 hanno portato anche a un calo dell\u2019offerta. Come risultato, nel mondo esiste nuovamente una carenza di potenti schede video e di altre attrezzature per il mining di criptomonete<\/a>, con tempi di attesa per le nuove consegne che possono protrarsi per mesi. I criminali informatici, come sempre, stanno cercando di approfittare di questa crisi per ottenere un ritorno economico.<\/p>\n

Per esempio, i truffatori hanno sottratto criptovalute dagli acquirenti di queste attrezzature sfruttando un popolare servizio di Google e una copia del sito web di un produttore di strumenti per il mining.<\/p>\n

Come funziona la truffa<\/h2>\n

Gli scammer e gli spammer hanno a lungo fatto affidamento sui servizi di Google<\/a> (Moduli, Documenti, Calendario, Foto e altri) per la loro capacit\u00e0 di inviare notifiche automatiche a chiunque con cui l\u2019autore abbia condiviso un file (o una voce del calendario, etc.) o che sia stato menzionato. Le e-mail non provengono dall\u2019autore reale, ma addirittura da Google, quindi i filtri antispam in genere le lasciano passare.<\/p>\n

In questo caso, i potenziali miner di criptovalute stanno ricevendo e-mail secono le quali sono stati menzionati in un file di Google Docs da un utente con il nickname BitmainTech (il nome di un vero produttore di attrezzature per il mining). Il nome dalla reputazione rispettabile, @docs[.]google[.]com, presente nel campo del mittente aiuta a far abbassare la guardia del destinatario. Il nome utente visualizzato \u00e8 quello che desidera il mittente, e il vero indirizzo e-mail del richiedente rimane invece nascosto.<\/p>\n

\"\"

L\u2019e-mail recita: \u201cBitmainTech ti ha menzionato in un documento\u201d<\/p><\/div>\n

L\u2019esca prende la forma di un annuncio di vendita di dispositivi Antminer S19j per il mining. Spacciandosi per l\u2019ufficio vendite di Bitmain, i truffatori confermano che l\u2019attrezzatura \u00e8 disponibile per essere ordinata ma che il tempo sta finendo; le scorte sono limitate e la consegna avviene in base all\u2019ordine di acquisto. Il testo \u00e8 pieno di dettagli e cifre che ispirano fiducia.<\/p>\n

\"\"

Il falso team di vendita di Bitmain usa Google Docs per comunicare alla vittima la disponibilit\u00e0 di Antminer S19j<\/p><\/div>\n

Lo stesso testo appare nel file di Google Docs, solo con un link attivo che porta, attraverso una catena di reindirizzamenti, a bitmain[.]sa[.]com, un clone del sito ufficiale bitmain[.]com (notare le differenze nell\u2019indirizzo). Un test su WHOIS rivela che il dominio del sito falso \u00e8 stato registrato<\/a> a marzo 2021.<\/p>\n

Per una maggiore credibilit\u00e0, i criminali informatici utilizzano il protocollo HTTPS. I lettori di questo blog sanno gi\u00e0 che l\u2019HTTPS protegge i dati dall\u2019intercettazione mentre viaggiano dall\u2019utente al sito, ma non garantisce che un sito sia in buona fede. Se il sito di destinazione \u00e8 dannoso, usare un protocollo di questo tipo significa solo che i dati viaggeranno in modo sicuro verso i criminali informatici.<\/p>\n

\"\"

Un falso sito Bitmain con pubblicit\u00e0 di Antminer S19j<\/p><\/div>\n

Sul sito reale di Bitmain, al momento della pubblicazione, il pulsante Acquista era inattivo perch\u00e9 l\u2019ultimo lotto Antminer S19j era gi\u00e0 stato preso; il sito non prevede nuove consegne prima di ottobre. Ma sulla pagina falsa, l\u2019ambito dispositivo per il mining passa direttamente nel carrello e per lo stesso prezzo di quella vera, a 5.017 dollari.<\/p>\n

\"\"

Il falso sito web vi permette di aggiungere al carrello questa attrezzatura per il mining<\/p><\/div>\n

Per procedere al pagamento, la vittima deve accedere o registrarsi. Ci sono due possibili ragioni per implementare questo requisito: per sembrare autentici o per costruire un database di indirizzi e password per hackeraggi successivi degli account. Nonostante la registrazione (attraverso un indirizzo e-mail usa e getta, ovviamente) non abbiamo mai ricevuto un messaggio di conferma della registrazione.<\/p>\n

\"\"

Falsa pagina di autorizzazione di Bitmain<\/p><\/div>\n

In ogni caso, il sistema permette all\u2019utente di registrarsi e completare l\u2019ordine. La procedura di login sembra abbastanza convincente.<\/p>\n

\"\"

Antminer S19j \u00e8 nel carrello! Ma siete davvero sicuri?<\/p><\/div>\n

Nella fase successiva, alla vittima viene chiesto di fornire un indirizzo di consegna. Forse i truffatori stanno raccogliendo anche questi dati per rivenderli.<\/p>\n

\"\"

Un avviso sul fatto che il produttore non pu\u00f2 spedire nella Cina continentale se l\u2019ordine viene effettuato sul sito in lingua inglese<\/p><\/div>\n

La maggior parte dei produttori di strumenti per il mining, tra cui Bitmain, si trovano in Cina. Spostare attrezzature pesanti e costose dalla Cina non \u00e8 di certo economico, ma i criminali informatici fanno pagare circa cinque dollari per la spedizione, indipendentemente dalla destinazione e dal corriere (UPS, DHL o FedEx).<\/p>\n

\"\"

Scegliete un servizio di consegna. Il costo di spedizione \u00e8 sempre di 5,45 dollari, non importa dove sia diretta la spedizione<\/p><\/div>\n

Successivamente, alla vittima viene chiesto di scegliere un metodo di pagamento. Devono usare criptomonete ma possono scegliere tra BTC, BCH, ETH o LTC.<\/p>\n

\"\"

Selezionate un metodo di pagamento: Bitcoin, Ethereum, Bitcoin Cash o Litecoin<\/p><\/div>\n

L\u2019ultimo e pi\u00f9 importante passo \u00e8 effettuare il pagamento. I criminali informatici forniscono i dettagli del cryptowallet e informano che la transazione deve essere completata entro due ore, altrimenti l\u2019ordine sar\u00e0 annullato. Da notare che il costo della consegna, anche se contenuto, non compare nella fattura.<\/p>\n

\"\"

Il prezzo totale dell\u2019ordine non include la spedizione<\/p><\/div>\n

Dopo aver fatto spendere alla vittima una quantit\u00e0 considerevole di criptovaluta, tutta l\u2019aria di credibilit\u00e0 garantita fino a quel momento si dissolve nel nulla. L\u2019account personale dell\u2019utente non contiene i dati dell\u2019ordine e i pulsanti sono inattivi.<\/p>\n

\"\"

Il tragico epilogo<\/p><\/div>\n

Come proteggersi dalle truffe<\/h2>\n

Per evitare di essere ingannati, stare all\u2019erta \u00e8 l\u2019unica opzione:<\/p>\n