Come proteggere account personale su crypto exchange di fiducia da attacchi informatici
Postato | Aggiornato , di Fabio Carbone
Un attacco informatico perpetrato ai danni dell'exchange, attività di phishing o di ingegneria sociale a tuo danno, sono scenari possibili quando come investitori e trader si opera con le criptovalute. Come proteggere l'account personale sul crypto exchange di fiducia per ridurre al minimo i rischi derivanti da un attacco informatico?
Attraverso la lettura di questo articolo apprenderai una serie di consigli utili, tra cui potrai scegliere di applicare quelli più in linea con le tue esigenze. E-mail segreta, smartphone dedicato ai crypto asset e molte altre strategie di sicurezza, possono fare la differenza quando si opera nei mercati delle criptovalute.
Se sei un trader o un investitore che opera assiduamente sui crypto exchange, la lettura di questi consigli potrebbe rendere più sicuro il crypto account rispetto ai tentativi di attacco dei pirati informatici (cracker). 🏴☠️
Proteggi la tua navigazione in rete: sempre e ovunque
Prima di qualsiasi altro consiglio è bene che tu parta dal proteggere la tua navigazione in internet con una VPN, cioè con una rete privata virtuale (Virtual Private Network).
Una rete privata virtuale viene simulata utilizzando un software che ti collega ad internet attraverso un indirizzo IP diverso da quello che ti ha assegnato il tuo operatore telefonico (di rete fissa o mobile è indifferente).
Navigando su un IP protetto diventa difficile per chi vuole "pedinare" i tuoi spostamenti nel web farlo. Il pirata informatico non riuscirà a seguirti mentre ti sposti tra il sito web del crypto exchange e il wallet online, oppure quando ti sposti tra l'exchange e l'app wallet scaricata sullo smartphone.
In questi casi è sconsigliabile usare un servizio VPN gratuito, anche se la gratuità è ovviamente allettante. Tuttavia, spesso gli indirizzi IP forniti dalle VPN gratuite non sono poi così sicuri e potrebbero anche essere bloccati da molti dei siti web che utilizzi tutti i giorni. Questo accade perché le VPN gratuite vengono usate anche per sferrare attacchi informatici o per commettere illeciti.
Le VPN a pagamento offrono dei contratti in abbonamento molto interessanti, in particolare quando li sottoscrivi annualmente o su base biennale. Del resto, proteggere le tue crypto depositate sui crypto exchange è importante per te. Dovresti domandarti, infatti, quale danno economico ti potrebbero arrecare se ti rubassero le credenziali di accesso al crypto exchange dove hai i tuoi crypto asset? Quanto ti costerebbe subire la razzia fino all'ultimo satoshi dei tuoi sudati bitcoin?
Meglio allora scegliere un servizio che ti possa garantire riservatezza nella navigazione, ma anche protezione contro i malware e altre minacce informatiche.
Un compito assolto ottimamente da NordVPN, di cui ti parlo più ampiamente qui di seguito. Oppure mettilo subito alla prova con un forte sconto sugli abbonamenti annuali e biennali, a cui si aggiungono 3 mesi di servizio gratuito e 30 giorni di garanzia soddisfatti o rimborsati. Cogli al volo l'offerta di NordVPN e proteggi (🛡) la tua navigazione sui crypto exchange.
Usare NordVPN come VPN per casa e smart working
Uno dei servizi di VPN a cui puoi affidare la navigazione sicura a casa tua e per fare smart working è NordVPN. Il servizio di Nord Security protegge contemporaneamente la rete WiFi di casa tua e ti protegge anche quando sei fuori casa e stai utilizzando lo smartphone/iPhone, oppure il computer portatile e il tablet.
Quali tipi di protezione ti offre NordVPN? Vediamoli in sintesi qui sotto.
- Ti protegge con IP di mascheramento di qualità intercambiabili a piacimento tra 5.400 server NordVPN in 60 paesi.
- Connessione veloce e stabile sempre, anche quando vedi un film o una serie TV o la partita di calcio.
- Ti protegge da annunci pubblicitari sgraditi e blocca i tracker che ledono la tua privacy.
- Blocca i malware e analizza i tuoi download dal web per verificare che siano sicuri.
- Con Dark Web monitor, verifica se il tuo indirizzo di posta elettronica è finito in un data breach (perdita di informazioni personali da parte di società a cui li avevi affidati).
- Proteggi fino a 6 dispositivi contemporaneamente con un solo account. Tutti i maggiori sistemi operativi sono compatibili: Windows, MacOS, Linux, iOS, Android e anche Android TV.
- Puoi proteggere i browser di navigazione web Chrome, Firefox ed Edge con una estensione proxy crittografata.
Attivando ora NordVPN otterrai un forte sconto sull'abbonamento (mensile, annuale o biennale) + 3 mesi gratis. Inoltre, hai una garanzia di rimborso di 30 giorni soddisfatto/a o rimborsato/a. Perché non provare subito la sicurezza della VPN di NordVPN? Approfitta dell'offerta subito.
E-mail segreta
Per proteggere al meglio l'account aperto presso un crypto exchange, consigliamo di creare una e-mail apposita da non divulgare a terzi, ma solo all'exchange di criptovalute.
A nessuno, ma proprio a nessuno, va comunicato questo indirizzo di posta elettronica. Andrà utilizzato esclusivamente per le comunicazioni con la piattaforma di scambio.
Perché una e-mail segreta?
Usare l'e-mail personale o peggio ancora l'e-mail aziendale per registrarsi presso un crypto exchange, espone a rischi dovuti al fatto che questi indirizzi di posta elettronica sono noti a tutte quelle persone a cui lo abbiamo fornito per ricevere informazioni e comunicazioni.
Di seguito un paio di scenari possibili che presentano condizioni di rischio per il conto in criptovaluta.
La diffusione dell'indirizzo di posta elettronica personale su numerose piattaforme (social network, forum, servizi), espone l'indirizzo e-mail a possibili attività di phishing, permettendo in questo modo al pirata informatico di carpire i dati personali allo scopo di accedere al crypto account.
L'uso dell'indirizzo di posta elettronica aziendale potrebbe risultare ancor più rischioso, poiché chi in azienda ha i privilegi di amministratore potrebbe essere potenzialmente in grado di leggere le e-mail inviate e ricevute.
Naviga in rete protetto dalla VPN di NordVPN
Con la rete virtuale di NordVPN navighi in rete protetto da occhi indiscreti e proteggendoti dagli hacker e dal download accidentale di malware pericoloso. Navighi al sicuro da casa, dallo smartphone e dal tablet anche dalle reti WiFi pubbliche. Metti fuori la porta le minacce informatiche con 3 mesi gratis e 30 giorni soddisfatti o rimborsati.
Approfitta ora dell'offerta →Numero di telefono riservato
Gli exchange di criptovalute richiedono quasi sempre la registrazione di un numero di cellulare. In alcuni casi esso viene utilizzato anche come secondo fattore di autenticazione (2FA).
Il consiglio qui è di dotarsi di un numero di cellulare dedicato e riservato, diverso dal numero di cellulare personale o aziendale.
Basterà dotarsi di una nuova SIM, il cui numero sarà comunicato soltanto all'exchange di criptomonete e stablecoin.
Perché un numero di cellulare riservato
Un attacco SIM swapping è uno dei principali motivi che dovrebbe spingere un trader/investitore in asset digitali a usare un numero di cellulare riservato alle comunicazioni con il crypto exchange.
Se una persona terza entra in possesso del numero di cellulare, anche attraverso il furto dello smartphone, e il secondo fattore di autenticazione che abbiamo abilitato è l'SMS, il crypto account potrebbe essere in serio pericolo.
Ecco perché è consigliabile dotarsi di un secondo smartphone, come spiega la prossima sezione di questa guida dedicata alla difesa dell'account aperto presso il crypto exchange di fiducia.
Smartphone dedicato
Perdere o essere derubati dello smartphone non è purtroppo un evento raro. Ma cosa accade se lo smartphone è la porta d'accesso a tutto il nostro mondo, crypto finanziario compreso? Gli scenari negativi e problematici che si potrebbero venire a crear sono vari.
Tra i problemi che si dovranno affrontare, il primo riguarda la perdita di accesso alla piattaforma di trading con le criptovalute. Potremmo infatti aver impostato il secondo fattore di autenticazione (2FA) usando una app di autenticazione (Authy, Google Authenticator, ecc.) che è presente sullo stesso smartphone di cui non siamo più in possesso. Questo problema si risolve facilmente conservando il codice di backup come di solito consigliato anche dall'exchange di criptovalute.
Le cose si complicano se nello smartphone abbiamo concentrato tutto e tutti gli account sono aperti, cioè privi di protezioni: password, PIN, o impronta digitale.
- App dell'e-mail personale (quella usata anche per il crypto exchange) aperta senza password;
- app authenticator privo di PIN di accesso.
L'aver attivato in precedenza l'accesso biometrico naturalmente aiuta — in particolare l'impronta digitale, molto meno il rilevamento del volto che sconsigliamo —, tuttavia i fondi potrebbero essere comunque a rischio.
La soluzione: smartphone dedicato
Consigliamo come soluzione di acquistare uno smartphone dedicato alle attività crypto, al quale associare il numero di cellulare riservato, e sul quale scaricare l'app authenticator. Risulterà utile scaricare anche un crypto wallet personale evoluto e con gestione delle chiavi private, come ad esempio il Coinbase wallet (non la piattaforma di scambio): il portafoglio di criptovalute è utile per conservare gli asset non utilizzati nell'attività di trading/investimento.
Non è necessario spendere molto per il dispositivo mobile, anzi, si può utilizzare un precedente smartphone dismesso, a patto che non sia di terze persone, e questo per motivi di sicurezza. Ne consegue che anche l'acquisto di dispositivi di seconda mano è da evitare. Se non si dispone di un secondo smartphone consigliamo l'acquisto di un nuovo dispositivo mobile economico, ma dotato di memoria sufficiente per installare le applicazioni: 32 GB andranno bene.
Per aggiungere una maggiore sicurezza è consigliata la lettura della prossima sezione, che introduce l'uso della chiave di sicurezza fisica.
Sicurezza 2FA superiore: chiave di sicurezza YubiKey
Il secondo fattore di autenticazione (2FA) è stato introdotto da numerosi servizi e piattaforme per aumentare la sicurezza degli account. Col tempo sono nate varie soluzioni tecniche 2FA, ognuna con un certo grado di sicurezza più o meno elevato.
Gli SMS con codice univoco non offrono il miglior livello di protezione 2FA, mentre le app di autenticazione offrono un buon livello di sicurezza, ma l'autenticazione biometrica con impronta digitale offre un grado di sicurezza più elevato.
Esiste, poi, un metodo 2FA con sicurezza ancor più elevata, garantita da una chiave di sicurezza OTP fisica. Questo tipo di chiave è un dispositivo fisico indipendente dal personal computer o dallo smartphone, una caratteristica che rende la chiave inattaccabile da un pirata informatico.
Negli ultimi anni la YubiKey, prodotta dall'azienda svedese yubico, si è affermata come chiave di sicurezza scelta da numerose piattaforme web: Google, Facebook, Twitter, Microsoft, Redhat e molti altri servizi la accettano. Anche le aziende che adottano i criteri di sicurezza informatica più elevati dotano i propri dipendenti della chiave di sicurezza YubiKey per accedere ai sistemi informatici.
Alcuni crypto exchange hanno abilitato la YubiKey come secondo fattore di autenticazione. Tra gli exchange che lo hanno fatto troviamo Coinbase e Kraken. La soluzione, infatti, garantisce i più alti standard di sicurezza al proprio account crypto e una elevata resistenza agli attacchi informatici di forza bruta o furto di password.
Come funziona la YubiKey con i crypto exchange
Ciascuna piattaforma di scambio ha le sue procedure, tuttavia in generale i passaggi da seguire sono i seguenti:
- accedere all'exchange;
- visitare la pagina dedicata ai 2FA nella sezione dedicata alla sicurezza dell'account;
- inserire la YubiKey nel PC/notebook;
- attivare la YubiKey come secondo fattore di autenticazione toccando la chiave stessa.
Modelli di YubiKey e funzionalità
Esistono diversi modelli di YubiKey della serie 5 (YubiKey 5 Series), l'ultima rilasciata in ordine di tempo.
I vari modelli sono caratterizzati dal supporto di più protocolli contemporaneamente: autenticazione FIDO2/WebAuthn; autenticazione U2F; Smart Card; OpenPGP; OTP.
I modelli di YubiKey 5 Series si differenziano essenzialmente per il tipo di porta di connessione utilizzata: USB tipo A; USB tipo C. Esiste anche la versione con tecnologia NFC per l'utilizzo mobile con lo smartphone/iPhone o il tablet/iPad.
Le YubiKey 5C NFC e YubiKey 5 NFC sono le versioni dotate di tecnologia NFC per l'uso con il dispositivo mobile, si differenziano per la porta di connessione: la prima è dotata di porta USB-C; la seconda di porta USB-A.
I costi di una YubiKey dipendono dal modello scelto. La YubiKey 5C NFC costa 67,10 euro, spese di spedizione incluse su Amazon. La YubiKey 5 NFC costa 54,90 euro, spese di spedizione incluse.
In alternativa si possono acquistare sul sito web della yubico, ma al prezzo presentato sul sito va aggiunta l'IVA e anche le spese di spedizione che sono a parte. La YubiKey 5C NFC costa 55€ sul sito yubico, che salgono a 67,10€ aggiungendo l'IVA al 22%, più 30 euro di spese di spedizione con tracking code.
Se il pirata informatico 'buca' l'exchange tutto ciò non è servito
Ai consigli sin qui forniti si potrebbe obiettare che, in caso di attacco informatico diretto ai sistemi dell'exchange, tutte queste accortezze sarebbero state un inutile spreco di tempo e denaro.
Questa osservazione è corretta ma non tiene conto dei costi/benefici. Nel malaugurato caso di un hacking dei nostri dati personali in possesso del crypto exchange, è vero che l'email segreta e il numero di cellulare riservato sono da considerare compromessi insieme a tutti gli altri dati. Di più, anche i nostri fondi potrebbero essere trafugati durante l'hacking.
Dicevamo che si devono però considerare i costi benefici.
Un conto, infatti, è la compromissione della nostra e-mail e/o numero di cellulare personale/aziendale, un conto è la compromissione di un indirizzo e-mail e/o numero di cellulare che abbiamo dedicato all'uso esclusivo con l'exchange di criptovalute. In quest'ultimo caso risulterà più semplice, rapido e conveniente sostituire e-mail e numero di cellulare violati.
C'è anche un altro scenario da considerare che è a favore dei consigli sin qui proposti, ed è quello in cui usiamo l'indirizzo e-mail personale (e numero di cellulare) per qualsiasi servizio, compreso il crypto exchange, ma a subire la violazione dei dati personali (data breach) è, ad esempio, la società con cui abbiamo stipulato il contratto della polizza assicurativa (auto, moto, casa, gatto).
Valutati i costi benefici, quindi, crediamo sia meglio usare una e-mail e una SIM dedicati al crypto exchange di fiducia. Infondo, stiamo proteggendo i nostri soldi.
Infine, anche se è chiaro a tutti che nessuna piattaforma di trading è immune dalle compromissioni, affidarsi ad un valido exchange di criptovalute aiuta.
Dotarsi di un hardware wallet
Prima di concludere con alcuni consigli finali, diamo uno sguardo agli hardware wallet. Il portafoglio hardware si potrebbe rivelare una soluzione strategica, da valutare quando non tutti i crypto asset in nostro possesso devono essere necessariamente pronti all'uso sull'exchange di criptovalute.
Quali sono i benefici di un hardware wallet?
- Funziona come un servizio di custodia di terze parti, ma al costo del solo dispositivo.
- Il dispositivo non si collega direttamente ad Internet, garantendo la sicurezza dei fondi contro atti di pirateria informatica.
- Custodisce decine di crypto asset in un solo dispositivo.
Un modello di hardware wallet si configura, quindi, come la soluzione di sicurezza tra le più efficaci dove conservare al sicuro e offline le personali ricchezze in criptovaluta.
Garantisci Privacy e Sicurezza alle tue Crypto
Gli hardware wallet sono i dispositivi migliori dove conservare le criptovalute al sicuro e in assoluta riservatezza. I Ledger wallet conservano 1.500 tra criptovalute e token.
Scopri i modelli di Ledger wallet →Consigli finali
Per concludere alcuni ultimi consigli, alcuni ben noti, per proteggere il proprio account personale sul crypto exchange dagli attacchi informatici.
- Password lunghe: usare password lunga almeno 22 tra caratteri alfanumerici e caratteri speciali.
- 2FA: attivare secondo fattore di autenticazione (exchange con YubiKey consigliati).
- Social media: non scrivere sui social network (o forum) con quale crypto exchange si fanno gli investimenti o si svolge l'attività di trading.
- Wallet personale: spostare sul portafoglio personale (cold wallet) la quantità di criptovaluta non usata per il trading (consigliato un hardware wallet).
- Dispositivi personali: usare solo il proprio computer o dispositivi mobili personali per collegarsi al crypto exchange, e non far utilizzare ad altri i propri device e PC/notebook.
- Computer aziendale: non collegarsi al crypto exchange dal computer aziendale. Prima di farlo domandarsi: quanto è attenta l'azienda per cui lavoro alla sicurezza informatica?
- Rete wifi: a casa, creare una rete wifi dedicata con password lunga almeno 22 tra numeri e caratteri speciali. Maggiore sicurezza si ottiene con SSID nascosto e, possibilmente, collegamento al modem/router via cavo. Usare un modem/router wifi 6 e chipset wifi 6 sul PC/notebook aumenta la sicurezza.