L’attacco hacker subìto da uno tra i più grandi exchange di criptovalute al mondo, Binance, ha messo in luce diversi problemi legati alla sicurezza della piattaforma. Il 2FA (two-factor-authentication) potrebbe non essere più sufficiente e il 3FA (three-factor-authentication) potrebbe essere una soluzione.

In ciò che è stato riportato da Wired come “una violazione della sicurezza su larga scala, gli hacker hanno rubato non solo 7.000 bitcoin equivalenti a oltre 40 milioni di dollari, ma anche qualche autenticazione a due fattori e codici per accedere alle API degli utenti” ,si può facilmente notare come in realtà si tratti di uno tra i tanti furti avvenuti nell’ultimo anno.

CipherTrace, infatti, ha stimato che complessivamente sono stati rubati circa 356 milioni di dollari in criptovalute nel solo Q1 del 2019.

Per quale motivo gli hacker prendono di mira proprio il settore delle criptovalute?

Purtroppo ci sono tanti soldi in mano a persone che non sanno proteggersi. L’enorme quantità di bitcoin (BTC) rubati a Binance rappresentano solo il 2% della loro riserva e l’exchange stesso si è mosso in tempo.

La trasparenza è un fattore importantissimo e il CEO di Binance, Changpeng Zhao ha fatto la cosa giusta: non ha tardato ad annunciare il furto subito da parte degli hacker pubblicando un tweet il giorno stesso (7 maggio 2019).

Gli hacker sono stati pazienti, hanno aspettato il momento giusto e hanno portato a termine azioni ben orchestrate, attraverso più account che apparentemente sembravano tra loro indipendenti. Ciò che hanno fatto è stato pensato per superare i nostri controlli di sicurezza.”

Zhao ha successivamente annunciato che nessun wallet dei clienti di Binance sarebbe stato toccato, perché l’exchange aveva creato un fondo assicurativo nel 2018 in grado di accumulare il 10% di tutte le commissioni in un cold wallet.

tecnica di phishing sicurezza hacker

Cosa è successo a Binance durante il furto?

Attualmente non si sa ancora con precisione cosa sia capitato. Sicuramente l’exchange era dotato dei sistemi di sicurezza informatica dello stato attuale dell’arte. Gli hacker possono aver usato password rubate in un attacco di phishing, oppure attraverso un attacco brute force le hanno trovate.

Sicuramente solo il phishing (una tecnica che risale al 1987) non può aver causato tutti questi danni.

Lo spear phishing (attacchi mirati ad intercettare informazioni di individui ritenuti ad “alto valore”) e la BEC (business-email-compromise) stanno peggiorando drasticamente. Entrambi sono sempre più frequentemente rivolti a quei clienti che hanno a che fare con le criptovalute e a quelle aziende che si occupano di crypto e blockchain.

L’attacco sferrato a Binance potrebbe esser stato causato da un dipendente che si è fatto imbrogliare da un sito fake, o da uno stratagemma organizzato via email, qualsiasi cosa è possibile. password Binance exchange

Ormai è il momento di rafforzare la sicurezza informatica

L’autenticazione a due fattori (2FA) non è più sufficiente. L’SMS che si riceve prima di effettuare il login non è poi cosi sicuro come mostrano i report di CipherTrace del Q4 2018. Tuttavia, avendo un’app per l’autenticazione sul telefono, invece di affidarsi ai codici SMS, le persone sono più protette di prima.

Che cosa devono fare dunque gli exchange per prevenire questi furti? Le soluzioni sono molteplici ma l’autenticazione a tre fattori (3FA) potrebbe essere una di queste.

In che cosa consiste la three factor authentication?

  1. One-factor authentication si riferisce a qualcosa che l’utente conosce. Un esempio molto semplice è la classica password.
  2. Two-factor authentication, in aggiunta a quella precedente, è un qualcosa che l’utente “possiede“. Il classico google authenticator, l’impronta biometrica o la presenza di certificati.
  3. Three-factor authentication, insieme alle due appena citate, identifica qualcosa che è proprio dell’utente, un “carattere fisico“. Scan della retina, riconoscimento vocale, biometrico (anche in questo caso la biometrica vale come nel precedente).

Per accedere alla rete è necessario utilizzare un’app presente sul proprio smartphone, un certificato sul proprio computer per connettersi alla VPN aziendale e una password. In questo modo, se i criminali riescono a violare la password o le scovano con un attacco di tipo brute force, non sono comunque in grado di effettuare un login.

Inoltre, a differenza delle password, i certificati possono essere revocati. L’hacker potrà anche trovare la password e magari rubare un telefono dove è presente il 2FA, ma il certificato persiste e non è comunque possibile entrare nel sistema. Inoltre, avere un certificato sul proprio computer non richiede sforzi quotidiani.

User experience o sicurezza?

Non possiamo pensare ad un mondo in cui, per poter accedere al proprio exchange e fare trading, un utente debba:

  • scannerizzare la retina;
  • inserire il codice del Google Authenticator;
  • pronunciare una frase per il riconoscimento vocale;
  • inserire una password;
  • confermare l’impronta biometrica;
  • inserire il codice ricevuto via SMS;

Ovvio che tutte queste cose messe assieme (e ce ne sono tante altre) farebbero risultare una piattaforma poco user-friendly. Ma almeno per l’utilizzo aziendale, la presenza di certificati non costa niente ed è buona norma farne uso.

Ad ogni modo, quanti più sistemi di sicurezza vengono implementati (anche a discapito dell’esperienza utente), tanto più alta sarà la sicurezza di qualsiasi piattaforma e, con essa, la fiducia che esprimerà nei confronti dei clienti.