Per chi ha fretta

Un gruppo di hacker, noto come “Elusive Comet” e potenzialmente legato alla Corea del Nord, sta prendendo di mira professionisti e dirigenti del settore criptovalute tramite attacchi di ingegneria sociale su Zoom. Fingendosi giornalisti (es. di Bloomberg Crypto) o investitori, invitano le vittime a riunioni Zoom apparentemente legittime (spesso tramite link Calendly). Durante la chiamata, con la scusa di problemi tecnici, chiedono il controllo remoto dello schermo, a volte mascherando la richiesta rinominando il proprio account Zoom in “Zoom” per farlo sembrare un avviso di sistema. Una volta ottenuto l’accesso, rubano criptovalute dai wallet, installano malware o compromettono gli account. È fondamentale verificare sempre l’identità dei contatti, non concedere mai il controllo remoto a sconosciuti, disabilitare la funzione se non necessaria e usare misure di sicurezza come l’autenticazione a più fattori. Se si cade vittima, bisogna documentare tutto, denunciare alle autorità e alle piattaforme coinvolte, mettere in sicurezza gli account e valutare un aiuto professionale per il recupero.

---

“Zoom richiede il controllo del tuo schermo”: Attenzione alla truffa che svuota i wallet crypto

Una sofisticata campagna di truffe sta sfruttando una funzionalità legittima di Zoom per rubare criptovalute, prendendo di mira in particolare manager, CEO e professionisti del settore finanziario digitale. Il gruppo di hacker dietro questi attacchi, identificato come “Elusive Comet” e con possibili legami con attori nordcoreani, utilizza tecniche di ingegneria sociale ben orchestrate per ingannare le vittime.

Come funziona l’attacco:

1. Il Contatto Iniziale: Gli hacker si fingono figure autorevoli, come giornalisti di testate note (ad esempio, “Bloomberg Crypto”) o rappresentanti di società di venture capital. Contattano le potenziali vittime tramite email (spesso da indirizzi Gmail generici ma che sembrano plausibili, come bloombergconferences[@]gmail.com) o messaggi diretti su social media come X (ex Twitter).
2. L’Invito Legittimo: Per rendere l’approccio credibile, utilizzano strumenti legittimi come Calendly per pianificare una riunione su Zoom. Poiché sia Calendly che Zoom sono piattaforme autentiche, gli inviti e i link funzionano correttamente, riducendo il sospetto della vittima.
3. La Trappola su Zoom: Durante la videochiamata, che sembra un’intervista o una normale discussione di lavoro, l’hacker (o un complice) solleva finti problemi tecnici o la necessità di validare configurazioni. A questo punto, chiede alla vittima di concedere il controllo remoto del proprio schermo tramite la funzione integrata di Zoom.
4. Il Dettaglio Ingannatore: Per aumentare le possibilità di successo, l’hacker può cambiare il proprio nome visualizzato su Zoom in “Zoom”. In questo modo, la richiesta di controllo remoto che appare sullo schermo della vittima (“Zoom sta richiedendo il controllo remoto del tuo schermo“) sembra provenire dal software stesso, inducendo più facilmente a cliccare su “Approva”.
5. Il Furto: Una volta ottenuto l’accesso, gli hacker possono navigare nel computer della vittima, accedere a wallet di criptovalute (sia hot wallet che estensioni del browser), rubare credenziali, chiavi private, installare malware (come infostealer o trojan ad accesso remoto – RAT) per mantenere un accesso persistente o esfiltrare dati sensibili.

Questo modus operandi, come sottolineato dall’azienda di sicurezza informatica Trail of Bits (il cui CEO è stato anch’esso bersaglio di un tentativo di attacco), ricorda le tecniche utilizzate da gruppi come Lazarus nel colpo miliardario a Bybit, dove vengono manipolati flussi di lavoro legittimi anziché sfruttare vulnerabilità tecniche del software. Si tratta quindi di un attacco che punta sulla manipolazione psicologica e sull’inganno, sfruttando la fiducia e la possibile disattenzione dell’utente.

Consigli per Evitare la Truffa

• Verifica l’Identità: Prima di accettare inviti a riunioni da sconosciuti, specialmente se riguardano argomenti sensibili come le finanze o le criptovalute, cerca di verificare l’identità del contatto tramite canali diversi e ufficiali (es. contatta direttamente la presunta organizzazione tramite il loro sito web).
• Diffida delle Richieste di Controllo Remoto: Non concedere mai il controllo remoto del tuo computer a persone che non conosci e di cui non ti fidi ciecamente, indipendentemente dalla scusa fornita.
• Disabilita la Funzione: Se non usi regolarmente la funzione di controllo remoto di Zoom, considera di disabilitarla nelle impostazioni del tuo account o a livello organizzativo per ridurre la superficie d’attacco. Trail of Bits suggerisce addirittura di valutare la rimozione completa del client Zoom dai sistemi ad alta sicurezza, usando alternative basate su browser.
• Controlla i Partecipanti: Presta attenzione ai nomi dei partecipanti nella riunione Zoom. Un partecipante chiamato genericamente “Zoom” che chiede privilegi è un enorme campanello d’allarme.
• Usa le Funzionalità di Sicurezza di Zoom: Utilizza password per le riunioni, la sala d’attesa (Waiting Room) per controllare chi entra, e valuta di bloccare la riunione una volta che tutti i partecipanti attesi sono presenti.
• Mantieni Aggiornato il Software: Assicurati che il tuo client Zoom sia sempre aggiornato all’ultima versione.
• Autenticazione a Più Fattori (MFA): Abilita l’MFA su tutti i tuoi account importanti (email, exchange di criptovalute, wallet online) per aggiungere un ulteriore livello di sicurezza.
• Formazione sulla Sicurezza: Sii consapevole delle tecniche di ingegneria sociale. Diffida di richieste urgenti, offerte troppo allettanti o messaggi che fanno leva sull’emotività.
• Non Salvare Credenziali Sensibili sul PC: Evita di salvare password, frasi di recupero (seed phrase) o chiavi private dei wallet direttamente su dispositivi connessi a Internet. Utilizza gestori di password sicuri e considera l’uso di hardware wallet (cold storage) per detenere quantità significative di criptovalute.

Cosa Fare se Sei Caduto nella Trappola

Se sospetti di essere stato vittima di questa o di una truffa simile:

1. Agisci Immediatamente: Disconnetti il computer da Internet per limitare ulteriori danni.
2. Documenta Tutto: Raccogli ogni dettaglio possibile: screenshot delle conversazioni, indirizzi email dei mittenti, link ricevuti, indirizzi dei wallet coinvolti nelle transazioni, date, orari e importi delle transazioni sospette. Crea una cronologia degli eventi.
3. Metti in Sicurezza gli Account: Cambia immediatamente le password di tutti gli account potenzialmente compromessi (Zoom, email, exchange, wallet online, account bancari). Abilita l’MFA ovunque possibile se non l’avevi già fatto. Controlla le impostazioni degli account per attività sospette.
4. Denuncia alle Autorità: Sporgi denuncia presso le forze dell’ordine locali (Polizia Postale in Italia). Segnala l’accaduto anche a organismi internazionali che si occupano di frodi informatiche e finanziarie (come l’IC3 dell’FBI se rilevante).
5. Informa le Piattaforme Coinvolte: Notifica la truffa all’exchange di criptovalute o alla piattaforma wallet utilizzata. Potrebbero essere in grado di bloccare gli account o i fondi del truffatore se agisci tempestivamente. Segnala l’accaduto anche a Zoom.
6. Contatta la Tua Banca: Se sono coinvolti trasferimenti bancari o carte, informa subito la tua banca per bloccare ulteriori transazioni e segnalare la frode.
7. Valuta un Aiuto Professionale:
   • Analisti Blockchain: Esistono aziende specializzate (come Elliptic o Chainalysis) che possono tentare di tracciare i fondi rubati sulla blockchain. Questo può aiutare nelle indagini e potenzialmente nel recupero.
   • Avvocati Esperti: Consulta un legale specializzato in frodi informatiche e criptovalute per valutare azioni legali, come richieste di ingiunzioni di congelamento dei beni (Worldwide Freezing Orders) se i fondi sono stati spostati all’estero.
8. Informa la Community: Condividi la tua esperienza (senza rivelare dati sensibili) su forum dedicati alle criptovalute o alla sicurezza informatica per mettere in guardia altri utenti.

Ricorda che il recupero di criptovalute rubate è complesso e non sempre garantito, ma agire rapidamente e in modo sistematico aumenta le possibilità di limitare i danni e potenzialmente recuperare parte dei fondi.