Come riconoscere le trappole con email di phishing e proteggere i tuoi asset digitali
1. Che cos'è una email di phishing? Perché è importante fare attenzione?
Una email di phishing si presenta come un "lupo travestito da agnello": gli hacker fingono di impersonare istituzioni affidabili (come exchange, banche o team di progetto) ingannandoti e progettando i contenuti della mail allo scopo di:
🔑 Ottenere le tue password, codici di verifica o frasi mnemoniche
🖱️ Indurti a cliccare su link o allegati malevoli
💸 Farti trasferire fondi verso indirizzi wallet fraudolenti
Considerando il fatto che le transazioni onchain nono sono reversibili, una volta trasferiti i tuoi asset, recuperarli sarà estremamente difficoltoso.
🌰 I più comuni scenari di phishing che colpiscono gli utenti crypto:
1️⃣ Fingersi il servizio clienti di un exchange: “Abbiamo rilevato un rischio presente nel tuo account, clicca su questo link per verificare la tua identità!”
2️⃣ Notifiche di falsi airdrop: “Reclama la tua ricompensa in BTC, associa subito il tuo wallet!”
3️⃣ Avvisi sulla sicurezza malevoli: “Abbiamo rilevato che il tuo account si è collegato da una posizione insolita, scarica questo allegato per visualizzare il registro con il log degli accessi!”
2. Cinque campanelli d’allarme relativi alle email di phishing: individuali a colpo d'occhio!
1. 📩 Indirizzi email falsi ma simili a quelli originali
Gli hacker possono creare indirizzi mittenti e domini che assomigliano molto a quelli ufficiali, inducendoti a credere che l'email provenga da una fonte attendibile.
Per esempio: email hacker: no-reply@p2p-kucoin.com; l’email ufficiale KuCoin dovrebbe invece terminare con il dominio @kucoin.com.
2. ✅ Identificatori ufficiali di sicurezza
Verifica che la mail che hai ricevuto includa il tuo codice anti-phishing univoco. Se hai impostato il codice anti-phishing, tutte le nostre e-mail ufficiali lo includeranno. Se questo codice non è presente nell'email che hai ricevuto, allora si tratta di una truffa al 100%!
Per esempio: l’utente ha impostato il codice anti-phishing ma l'email di phishing non lo contiene.
3. ⚠️ Instillare il panico per forzare un’azione immediata
Messaggi del tipo “Il tuo account verrà congelato entro 24 ore se non completi questa verifica!” sfruttano la psicologia del panico per indurti a cliccare sui link. —— le istituzioni ufficiali non utilizzano mai un linguaggio minaccioso per mettere fretta agli utenti.
4. 🔗 Link nascosti che indirizzano a siti web falsi
I pulsanti nelle email o i link possono reindirizzare a siti web malevoli (ad esempio, www[.]kucoin-login[.]com). Una volta inserite le credenziali, gli hacker ne approfittano per rubare le tue risorse. Passa il mouse sul pulsante (mai cliccare!) per verificare se un link è reale.
A seguire, riportiamo un esempio di email di phishing che contiene un link malevolo. Cliccando su "Reclama i tuoi $KCS" verrai indirizzato ad una falsa pagina di accesso a KuCoin dove ti verrà chiesto di inserire nome utente e la password, consentendo così ai truffatori di rubarti le informazioni ed avere accesso ai tuoi asset.
5. 📎 Allegati o immagini che nascondono malware
Fai molta attenzione ai formati di file che terminano in .exe, .zip e .docm: eseguirli potrebbe portare i truffatori a prendere il controllo del tuo computer.
3. Utilizza le funzioni di sicurezza messe a disposizione da KuCoin per costruirti uno scudo e proteggerti
🔐 Funzionalità 1: verifica ufficiale di KuCoin
Per qualsiasi SMS, email o link di siti web che ti chiedono di visitare una pagina che sembra essere quella di KuCoin, puoi verificarne la legittimità attraverso il nostro sito ufficiale per la verifica che trovi all’indirizzo: https://www.kucoin.com/cert.
Se compare il risultato "Questa risorsa non è gestita da KuCoin", allora vuole dire che le informazioni sono false.
Oltre al sito web, la verifica ufficiale di KuCoin ti permette di convalidare anche le email, gli account dei social media e i numeri di telefono.
🔐 Funzionalità 2: impostazione di un "codice anti-phishing"
Scopo: visualizzare il codice anti-phishing personale e univoco in ogni email ufficiale per una facile verifica.
Come impostarlo: frase di sicurezza anti-phishing (email/Login/Frase di sicurezza per i prelievi)
Suggerimento importante: Controlla sempre il tuo codice anti-phishing in qualsiasi “email ricevuta dalla piattaforma” prima di intraprendere qualsiasi azione! Se una email proveniente da “KuCoin” non contiene il tuo codice anti-phishing, evitala a tutti i costi.
🔐 Funzionalità 3: attiva l'autenticazione a due fattori obbligatoria (2FA)
Scopo: anche se la tua password è stata compromessa, gli hacker non saranno in grado di bypassare il secondo livello di verifica (come quello relativo ai codici di verifica mobile o Google Authenticator).
Raccomandazioni:
privilegia l’utilizzo di Google Authenticator o le chiavi hardware (come YubiKey) rispetto alla verifica SMS (suscettibile agli attacchi SIM-swapped).
Controlla con regolarità la "Gestione degli accessi dei dispositivi" e rimuovi prontamente quelli sconosciuti.
🔐 Funzionalità 4: abilita le notifiche relative agli accessi ed alle operazioni
Attiva le notifiche push delle email, degli SMS e in app nella sezione "Gestione notifiche" per essere sempre aggiornato sulle attività del tuo account e congelarlo immediatamente nel caso in cui dovessi riscontrare delle anomalie.
4. Hai ricevuto una email sospetta? Segui questi tre passaggi!
1. 🚫 Non cliccare, non rispondere, conserva le prove e segnala
Elimina immediatamente l'email oppure scaricarla nel formato file EML; puoi segnalarla utilizzando le seguenti modalità:
📌 Utenti Gmail:
1️⃣ Apri l'email sospetta → Clicca su "⋮" in alto a destra → Seleziona "Scarica messaggio."
2️⃣ Il sistema lo salverà automaticamente nel formato file .eml. Invia il messaggio scaricato al supporto della piattaforma per le indagini.
📌 Utenti Outlook:
1️⃣ Apri l'email sospetta → Clicca su "⋯" in alto a destra → Seleziona "Scarica."
2️⃣ Il sistema lo salverà automaticamente nel formato file .eml. Invia il messaggio scaricato al supporto della piattaforma per le indagini.
2. 📝 Entrare manualmente nel sito ufficiale
Se devi eseguire delle operazioni sul tuo account, digita sempre manualmente l’URL dell’exchange invece di cliccare sui link che potresti trovare all’interno delle email.
3. 🔍 Verifica le impostazioni di sicurezza
Controlla regolarmente il tuo codice anti-phishing, le impostazioni dell’autenticazione 2FA e aggiorna prontamente la password.
5. Ricorda queste regole: la squadra ufficiale non...
❌ ti chiederà mai la tua password, codice di verifica SMS o frase mnemonica
❌ ti indirizzerà mai a scaricare un'app non ufficiale via email
❌ ti richiederà mai di disattivare le impostazioni di sicurezza (come la rimozione dell'autenticazione 2FA)
Proteggi il tuo patrimonio iniziando dai piccoli dettagli!
Accedi subito al tuo account e assicurati che tutte le funzioni di sicurezza di cui ti abbiamo parlato siano attive. Maggiore protezione significa minori rischi.
Se hai ulteriori domande, puoi metterti in contatto con noi tramite l'assistenza clienti in-app o la "Live Chat" che trovi nell'angolo in basso a destra del sito ufficiale. Il team di sicurezza KuCoin ti aiuterà a verificare l'autenticità di qualsiasi email. —— Ricorda, un agente dell’assistenza clienti legittimo non ti solleciterà mai a trasferire fondi!