Le procedure KYC utilizzate da molti exchange crypto possono porre un grande rischio per gli utenti ed essere bersaglio di hacker, come han messo in luce diversi esperti riguardo le procedure Know Your Customer.
Read this article in the English version here.
Quando ci si iscrive ad un exchange normalmente si attivano le procedure 2FA per aumentare la sicurezza e si riceve un codice casuale via telefono che l’utente userà per accedere all’exchange stesso.
Dato che si utilizza il cellulare l’utente potrebbe pensare di essere al sicuro, ma non è così.
Nel Dark Web è possibile comprare documenti di identità a dei prezzi assolutamente accessibili: un passaporto costa poco più di 14 dollari, una prova di identità, completa di foto o di bolletta delle utenze, viene a costare poco più di 60 dollari.
A questo punto, la ricchezza in criptovalute è in pericolo, perchè l’hacker può impossessarsene semplicemente.
Prima di tutto, l’hacker si procura la password tramite il phishing tradizionale oppure col furto del cellulare o del pc. Quindi, clona l’utenza telefonica che utilizza per chiamare l’exchange lamentando la perdita del codice 2FA, cosa possibile se, per esempio, si è cambiato o perso lo smartphone.
L’exchange, per fornire le informazioni, chiederà una prova di identità, che l’hacker avrà già a sua disposizione ed a questo punto l‘exchange fornirà una nuova chiave 2FA o cancellerà la protezione, lasciando al malvivente l’accesso alle crypto.
Come finiscono i documenti e le prove di identità sul Dark Web?
Spesso questo tipo di informazioni viene fornito direttamente dalla vittima, magari per partecipare ad una ICO fraudolenta oppure ad un airdrop.
La stessa SEC ha creato il sito Howeycoins per mostrare in modo tangibile quanto sia facile riuscire a creare un falso token launch, ma anche siti web legittimi legati alla presentazione di iniziative crypto possono essere violati, come già successo in passato.
Gli stessi exchange possono essere penetrati dagli hacker: di solito in questi casi si viene a sapere della sparizione delle criptovalute, ma nulla impedisce che possano accedere anche a dati riservati.
In generale, il 2FA, ovvero la sicurezza a due passaggi, per quanto più sicura della singola password, non è sicura in senso assoluto e può essere aggirata con diverse modalità, quindi è più sicuro detenere i propri token nel wallet personale non custodian piuttosto che in quelli degli exchange.
