Avviso di Sicurezza da Jameson Lopp
Il noto sviluppatore di Bitcoin, Jameson Lopp, ha esortato i detentori di criptovalute ad adottare un rigoroso approccio “zero trust” verso tutte le comunicazioni in arrivo, dopo la scoperta di una vulnerabilità nell’infrastruttura di Google.
Schema di Phishing Sottile
Questo avviso è emerso in seguito a uno schema di phishing sofisticato che sfrutta un modulo Google legittimo, utilizzato per le richieste di contatto di backup. Poiché la notifica viene inviata dal dominio ufficiale dell’azienda, i filtri di sicurezza la consentono direttamente nelle caselle di posta delle vittime.
Gli attaccanti sfruttano il campo del nome inserendo un enorme blocco di testo che spinge visivamente il contenuto reale del messaggio verso il basso, mentre posizionano un falso avviso di sicurezza e un link di phishing in cima all’email. La fiducia degli utenti è ulteriormente manipolata dal fatto che il sito web malevolo è ospitato sulla piattaforma ufficiale di Google Sites.
Canali di Comunicazione Non Affidabili
In base a questo incidente, Lopp ha identificato cinque principali canali di comunicazione che non dovrebbero più essere considerati affidabili per i messaggi in arrivo:
- Telefonate
- SMS
- Messaggi istantanei
- Qualsiasi altra notifica esterna
“Non posso sottolinearlo abbastanza: NON FIDARTI DELLE EMAIL, NON FIDARTI DELLE TELEFONATE, NON FIDARTI DEI MESSAGGI SMS, NON FIDARTI DEI MESSAGGI CHAT, NON FIDARTI DELLE COMUNICAZIONI IN ARRIVO!”
Qualsiasi messaggio che afferma che c’è un problema di sicurezza con un account che deve essere urgentemente risolto è un tentativo di phishing.
Proposta Controverso BIP-361
È interessante notare che Lopp è recentemente diventato co-autore della controversa proposta BIP-361, progettata per proteggere Bitcoin dai futuri computer quantistici, inclusi quelli potenzialmente sviluppati da Google. Il documento propone di vietare le transazioni da indirizzi legacy entro tre anni e di congelare completamente fino a 1,7 milioni di BTC in portafogli collegati a Satoshi Nakamoto entro cinque anni, se i loro proprietari non aggiornano le firme crittografiche.
Questa iniziativa ha scatenato una feroce ondata di critiche e accuse di violazione dei principi di decentralizzazione, intensificando ulteriormente le divisioni all’interno della comunità degli investitori.
Comportamento delle Grandi Aziende Tecnologiche
La situazione è ulteriormente aggravata dal comportamento delle grandi aziende tecnologiche. Google ha recentemente rimosso il linguaggio dalle descrizioni delle funzionalità di Chrome AI, che affermava che i dati locali degli utenti non sarebbero stati trasmessi ai server dell’azienda, minando ulteriormente la fiducia negli ecosistemi centralizzati.
Conclusione
La lezione principale è che non dovresti mai fidarti di un messaggio che afferma che c’è un problema di sicurezza urgente con il tuo account, anche se l’email proviene da un dominio ufficiale di Google. Secondo Lopp, la competenza tecnica dei nuovi utenti sta diminuendo, rendendoli obiettivi ideali per attacchi di questo tipo.
