Di recente, al Senato degli Stati Uniti sono stati presentati progetti di legge che darebbero
Supervisione della Commodities Futures Trading Commission (CFTC) sulla criptovaluta, che li tratterebbe come merci digitali. Indipendentemente dal fatto che il disegno di legge diventi legge, tuttavia, le banche e le istituzioni finanziarie dovrebbero prestare molta attenzione alle criptovalute,
se non altro dal punto di vista della sicurezza. Dopotutto, alcune organizzazioni di servizi finanziari vendono prodotti di criptovalute, come
Il servizio di custodia delle criptovalute della US Bank. Ma c'è un motivo ancora più importante per cui le banche si preoccupano delle criptovalute. È chiaro che gli stati-nazione si stanno muovendo nella direzione delle valute digitali, con alcuni che le hanno effettivamente emesse, come il
Dollaro di sabbia delle Bahamas. Anche gli Stati Uniti lo sono
soppesare seriamente la questione dei CBDC e di un dollaro digitale. Molte delle vulnerabilità di sicurezza che le criptovalute devono affrontare riguarderanno anche le valute digitali della banca centrale (CBDC).
I consumatori che investono in criptovalute spesso conservano le loro criptovalute in un portafoglio digitale che esiste come app mobile sul proprio smartphone. I criminali informatici ne sono ben consapevoli, il che significa che sono bersagli allettanti per l'attacco. E, come qualsiasi app, ci sono una miriade di metodi
per attaccare un portafoglio di criptovalute, ma nella mia esperienza di lavoro con le criptovalute e come professionista della sicurezza, garantire che l'app sia protetta da questi cinque attacchi più comuni aumenterà notevolmente la protezione fornita ai consumatori.
Furto di chiavi e passphrase
La crittografia delle chiavi a livello di applicazione è un must assoluto. Se le chiavi non sono crittografate nelle aree di preferenza, nella sandbox dell'applicazione, nella scheda SD o in aree esterne come gli appunti, gli hacker saranno in grado di rubarle. Una volta
hanno le chiavi, possono fare quello che vogliono con i fondi nel portafoglio.
Se crittografate a livello di applicazione, anche se il dispositivo stesso è compromesso, le chiavi rimarranno al sicuro.
Attacchi dinamici alle chiavi private
Le chiavi e le passphrase di un portafoglio crittografico possono anche essere rubate dinamicamente, il che significa che vengono in qualche modo intercettate mentre il proprietario del portafoglio digita i caratteri della chiave o della passphrase nell'app mobile del portafoglio crittografico. Gli hacker utilizzano in genere uno dei tre metodi
per farlo:
-
Attacco over-the-shoulder: Storicamente, questo si riferisce a un hacker che è fisicamente e surrettiziamente abbastanza vicino a un utente da vederlo inserire la passphrase nel portafoglio crittografico. Ma oggi, non c'è bisogno di essere lì nella carne. Screenshot e schermate
la registrazione può essere abusata a tal fine. -
Malware di keylogging: qui, il malware viene eseguito in background sull'app per catturare ogni battitura e inviarla ai criminali informatici. Il rooting (Android) e il jailbreak (iOS) dello smartphone rendono il keylogging ancora più facile da eseguire.
-
Attacco overlay: in questo caso, il malware posiziona una schermata, che potrebbe sembrare autentica o trasparente, che induce il proprietario del portafoglio crittografico a inserire le credenziali in un campo all'interno dell'app del portafoglio o in una schermata dannosa. Il malware trasmette
le informazioni direttamente ai criminali informatici o rileva direttamente il portafoglio per trasferire i fondi nel portafoglio agli hacker.
Per difendersi da queste minacce, l'app deve rilevare il keylogging, gli overlay e la registrazione, in modo che possa intervenire direttamente avvisando il proprietario del portafoglio o addirittura chiudendo completamente l'app.
Strumentazione dannosa
La sicurezza di un portafoglio mobile dipende dall'integrità della piattaforma che lo esegue, perché se il dispositivo è rootato o jailbroken, o se gli hacker abusano di strumenti di sviluppo come Frida, possono ottenere l'accesso all'indirizzo blockchain dell'app client. Essi
può persino impersonare l'app per effettuare transazioni in proprio. Le app di portafoglio crittografico mobile devono essere in grado di dire quando stanno lavorando all'interno di un ambiente rooted o jailbroken in modo che possano, se richiesto, spegnersi per proteggere l'utente. Devono anche essere in grado
per bloccare Magisk, Frida e altri strumenti di analisi dinamica e strumentazione di cui si può abusare per compromettere l'integrità delle funzioni critiche.
Altrettanto importante, gli sviluppatori dovrebbero offuscare il codice dell'app in modo che gli hacker abbiano molto più difficoltà a decodificare il funzionamento interno e la logica dell'app.
Attacchi Man-in-the-Middle (MitM).
Molti portafogli crittografici fanno parte di scambi che possono essere decentralizzati o centralizzati. In entrambi i casi, le comunicazioni sono aperte agli attacchi MitM quando l'app comunica con un server o durante le transazioni peer-to-peer. I dati in transito dovrebbero essere protetti con
La crittografia AES-256 e il secure socket layer (SSL)/transport layer security (TLS) devono essere rigorosamente applicati per tutte le comunicazioni.
Emulatori
Gli hacker sono anche in grado di creare versioni modificate delle app del portafoglio crittografico. Possono anche utilizzare queste app modificate con simulatori ed emulatori per creare account fraudolenti, effettuare operazioni fraudolente e trasferire criptovaluta.
I metodi RASP (runtime application self-protection), e in particolare anti-manomissione, anti-debug e rilevamento dell'emulatore, sono la chiave per contrastare questo tipo di attacchi.
Anche per le istituzioni finanziarie non coinvolte in alcun tipo di servizi di criptovaluta, è importante imparare dalle sfide di sicurezza che gli utenti devono affrontare, in particolare quando si tratta di portafogli crittografici. Il "dollaro digitale" potrebbe non essere così lontano come pensiamo,
e quelle istituzioni che sono pronte a fornire portafogli mobili sicuri di CBDC avranno un vantaggio competitivo significativo.
- formica finanziaria
- blockchain
- conferenza blockchain fintech
- carillon fintech
- coinbase
- geniale
- criptoconferenza fintech
- Fintech
- app fintech
- innovazione fintech
- Fintextra
- OpenSea
- PayPal
- Paytech
- pagamento
- Platone
- platone ai
- Platone Data Intelligence
- PlatoneDati
- gioco di plato
- rasoio
- Revolut
- Ripple
- fintech quadrato
- striscia
- Tencent fintech
- Xero
- zefiro
