OpenSea ha pubblicato una dichiarazione relativa ad una falla che ha consentito una perdita di dati (pubblicizzazione) inerente gli indirizzi di email dei suoi utenti.
In un post pubblicato un post sul blog, OpenSea ha avvertito la sua comunità che un dipendente di Customer(dot)io, il suo fornitore di posta elettronica, ha condiviso un elenco di indirizzi e-mail dei suoi utenti e newsletter con un parte esterna non autorizzata.
La violazione non era relativa ad altro: i dati dei criptoportafogli, ad esempio, non erano inclusi nella dichiarazione, anche se, teoricamente, i dati dei criptoportafogli sono già reperibili pubblicamente.
OpenSea ha immediatamente avvertito della violazioni i diretti interessati tramite messaggio email.
Dopo poche ora dall’informativa della falla, arriva il primo messaggio di phishing
Anche all’indirizzo che utilizziamo qui su NFTexpert per la diffusione della cultura NFT è toccata la stessa sorte.
L’email che avvertiva della falla l’abbiamo ricevuta nella giornata di ieri alle 5,42 del mattino.
Dopo poche ore è arrivata puntuale la prima email di phishing. Nel messaggio, venivamo avvertiti che c’era stata una nuova offerta per il nostro NFT “Peace and Love” (titolo molto subdolo per dei truffatori) di 0.003 ETH, corrispondente a 3.1$ circa.
A parte che per 3.1$ circa a momenti, oggi, non ci si riesce nemmeno ad accendere la macchina, figuriamo ad utilizzarla – dopo averla accesa – che so, per fare spesa. Cari truffatori, quando volete fare una truffa fatela bene! Chi rischierebbe tutto quanto contenuto nel proprio criptoportafoglio per 3.1$?
Fuori di facezia, il caso è serio. Così come è serio tutto ciò che ruota intorno allo strumento subdolo del phishing.
“Attenzione, abbiamo ricevuto un accesso sospetto sul tuo conto bancario. Fai l’accesso per verificarlo”
Quante volte hai ricevuto un SMS tale, che ti avvertiva di un ipotetico accesso sul tuo conto bancario? Cliccando sul link ovviamente non si andava sul sito ufficiale della banca, ma su una pagina clone – perfettamente allestita – della banca, per rubarti i tuoi dati di accesso al conto.
In questo caso è lo stesso. Cliccare sui link di messaggi simili, nella stragrande maggioranza dei casi (sempre, direi piuttosto) non fa altro che far “abboccare” – come farebbe un pesce all’amo – e sottrarre dati importanti.
Passando il mouse sopra il link di “view on Rarible” (non cliccandoci, mi raccomando) è facile constatare che il link non porta su l sito ufficiale di rarible.com, ma su un altro dominio di primo livello, che nemmeno mostriamo per pietà. L’indirizzo è lunghissimo perché contiene tutte le informazioni relative alla nostra email ufficiale, cioè le informazioni che assocerebbero il clic al nostro indirizzo di email, come traccia per capire chi è lo stupido che ha abboccato.
In questo caso l’indirizzo di invio sembra essere quello legittimo “noreply@rarible.com”, quindi non ha senso segnare il messaggio come spam, perché se lo fai potresti non ricevere più messaggi dal reale Rarible (qualora tu abbia un rapporto con loro).
In questo caso cliccandoci sopra, presumiamo, perché nessuno della redazione ci ha cliccato sopra e mai lo farà, saremmo arrivati sul sito clonato su cui ci sarebbe stato un invito pressante a connettere il nostro criptoportafoglio per visualizzare il dettaglio l’offerta.
Se ti capitano inviti del genere su sito sconosciuti, non connettere mai il tuo criptoportafoglio!
Importantissimo: non connettere mai il tuo criptoportafoglio a siti sconosciuti oppure con nomi simili a quelli che hai intenzione di visitare. La connessione di un portafoglio digitale è un rapporto di fiducia e va concessa solo in situazioni estremamente sicure e verificate. Se connetti il tuo portafoglio a siti strani corri il rischio concreto di vedertelo svuotato di ogni asset, NFT o criptomonete che siano.
Come abbiamo più volte ripetuto, connettere un criptoportafoglio su un sito sconosciuto o clonato (con un indirizzo URL diverso dall’originale) significa mettere a rischio tutti gli asset (criptomonete e NFT) contenuti al suo interno.
Conclusione
La falla di OpenSea è ben poca cosa, visti le email spam che certamente tu come noi, del resto, riceviamo nella tua casella tutti i giorni.
Quello del phishing, invece, è un problema serio e come tale deve essere affrontato con calma e competenza. Se ricevi un qualche messaggio che ti chiede un intervento pressante, fai un bel respiro, conta fino a 10 e poi analizza, con mente lucida, quello che hai ricevuto.
Analizza la richiesta e chiediti se possa essere reale o meno, ma sempre prima di cliccare, informati sempre bene prima per non farci sempre la solita figura del “pesciolino che abbocca” che fa la gioia di tanti ladri e truffatori informatici.
