Cos'è ChatControl e Perchè è Pericolosa

Chatcontrol è una proposta dell'Unione Europea pensata nel 2020 e che vide la sua fase embrionale nel 2021 che mira a combattere abusi online su minori attraverso la sorveglianza e la regolamentazione delle comunicazioni digitali. Una delle aree più controverse di questa proposta riguarda il suo impatto sulla crittografia end-to-end (E2EE), una tecnologia che garantisce la privacy e la sicurezza delle comunicazioni online. La crittografia end-to-end è un metodo di comunicazione sicura in cui solo le persone che stanno comunicando possono leggere i messaggi. Nei sistemi con E2EE, i messaggi vengono criptati sul dispositivo del mittente e possono essere decriptati solo sul dispositivo del destinatario. Neanche il provider del servizio di comunicazione può accedere al contenuto dei messaggi. Essa viene utilizzata da Whatsapp o da Telegram quando si utilizza la chat segreta.

PROPOSTA DI CHATCONTROL

La proposta di Chatcontrol include misure per monitorare le comunicazioni digitali allo scopo di individuare e segnalare contenuti abusivi, il che potrebbe includere l'analisi dei messaggi criptati. Praticamente se passasse questa legge, le comunicazioni di centinaia di milioni di persone saranno oggetto di sorveglianza. Come scrive Patrick Breyer: tutti i tuoi flirt saranno letti da algoritmi e persone che cercheranno di capire se sei un malintenzionato o una persona per bene. 

A luglio 2020 la Commissione Europea annuncia la sua strategia contro la CP online, a cui segue un documento tecnico del Consiglio UE in merito ai problemi creati dalla crittografia.

Nel 2021 viene approvato un regolamento per consentire, facoltativamente, a piattaforme come Facebook di iniziare a scansionare chat e contenuti per ricercare materiale illegale. 

A inizio 2022 viene pubblicata la prima versione della proposta del Chatcontrol. Simultaneamente, sia Stati Uniti che Regno Unito propongono la loro versione della legge. La proposta diventa sempre più controversa. A maggio 2024 un documento mostra la categorizzazione del rischio (a cui è legata la sorveglianza): chi offre più privacy, sarà anche più a rischio. Oggi l’ultima versione del testo riporta ancora alcune modifiche, ad esempio non è più presente la sorveglianza dei testi delle chat, che ora è limitata solo ai contenuti visivi (immagini, loghi, gifs, video, etc).

RISCHI

I problemi sono facilmente immaginabili ma provo a riassumerli:

-Privacy: in primis, l'implementazione di misure di sorveglianza potrebbe compromettere la privacy degli utenti. La crittografia end-to-end garantisce che le conversazioni siano private e solo i partecipanti possano leggerle

-Sicurezza: questa crittografia è anche essenziale per la sicurezza dei dati. Se si creano backdoor o altri meccanismi per aggirare la crittografia, si potrebbe aprire la porta a potenziali abusi da parte di persone malintenzionate, mettendo a rischio la sicurezza delle informazioni sensibili degli utenti

-Libertà di espressione: la possibilità di monitorare le comunicazioni private potrebbe avere un effetto sulla libertà di espressione, poiché le persone potrebbero non sentirsi libere di comunicare apertamente se sanno che le loro conversazioni potrebbero essere sorvegliate

Le principali argomentazioni contro la proposta includono:

-Violazione dei diritti fondamentali: la sorveglianza delle comunicazioni digitali rappresenta una violazione del diritto alla privacy e alla protezione dei dati, sanciti dalla Carta dei diritti fondamentali dell'Unione Europea e dal Regolamento generale sulla protezione dei dati (GDPR)

-Effetto limitato: i criminali troveranno comunque modi per comunicare senza essere intercettati, mentre gli utenti legittimi vedranno compromessa la loro privacy. I criminali potrebbero passare a sistemi di comunicazione non regolamentati o sviluppare nuove tecniche per evitare la sorveglianza

-Rischi per la sicurezza: come detto, l'introduzione di vulnerabilità nei sistemi di crittografia potrebbe esporre gli utenti a maggiori rischi di cyberattacchi e furti di dati, poiché queste vulnerabilità potrebbero essere sfruttate non solo dai governi ma anche da hacker malintenzionati

Cenni Sul Cyberpunk, Cypherpunk, Solarpunk e Lunarpunk

In questo articolo si faranno brevi cenni su movimenti basati sulla tecnologia, diritti alla privacy (crittografia) contro la sorveglianza di massa. Alcuni sono molto noti e nati negli anni 80 e 90 (Cyberpunk e Cypherpunk), altri invece sono più recenti (Solarpunk e Lunarpunk). Alla base di tutto, l'uso di tecnologie web3 per difendere i diritti alla privacy di ogni singolo individuo.

CYBERPUNK

Il Cyberpunk è un sottogenere fantasy che si è sviluppato negli anni '80. sso immagina un futuro distopico, caratterizzato da una forte presenza di tecnologia avanzata, come l'intelligenza artificiale, la cibernetica e il cyberspazio (network globali), ma anche da un degrado sociale, politico e ambientale. Le ambientazioni Cyberpunk sono spesso metropolitane, oscure con luci al neon, con una marcata divisione tra ricchi e poveri, e un senso di anarchia e ribellione. I protagonisti del Cyberpunk sono spesso antieroi che vivono ai margini della società, in un mondo dominato da potenti corporazioni.

Temi principali:

-Decadenza urbana

-Potere delle multinazionali

-Alienazione tecnologica

-Ribellione e anarchia

Esempi noti (letteratura, film e videogame):

Romanzi: "Neuromante" di William Gibson

Film: Blade Runner di Ridley Scott

Serie TV: Altered Carbon

Videogiochi: Cyberpunk 2077

Si tratta di un genere che pone la tecnologia alla base dei suoi principi ma è un genere letterario. Nel Cyberpunk, i protagonisti spesso si ribellano contro sistemi oppressivi e tecnologicamente avanzati, come potenti corporazioni o stati autoritari. Questa ribellione spesso si manifesta attraverso l'uso di tecnologie avanzate Hacking e Cyberattacchi. Qui, la tecnologia è spesso rappresentata in maniera ambivalente: può essere un'arma nelle mani del potere (forza distopica), ma anche un mezzo di contrattacco per gli individui. La tecnologia nel Cyberpunk è avanzata, pervasiva e può sfociare in situazioni estreme, come la fusione uomo-macchina (Cyberware) o il Cyberspazio.

CYPHERPUNK

Il Cypherpunk si riferisce a un movimento nato negli anni '90, che promuove l'uso della crittografia e delle tecnologie orientate alla privacy come strumenti fondamentali per il cambiamento sociale e la protezione dei diritti individuali. Il movimento nasce proprio dalla visione distopica e decadente introdotta dal Cybepunk. Il Cypherpunk è basato sull'idea che la privacy sia un diritto umano fondamentale e che le tecnologie crittografiche possano aiutare a difenderlo contro la sorveglianza di massa. Il movimento è nato grazie ad un gruppo di attivisti tecnologici e hacker che comunicavano mediante mailing list per discutere di crittografia, sicurezza delle informazioni e privacy digitale. La parola "Cypherpunk" è una combinazione di "Cipher" (cifra, in riferimento alla crittografia) e il genere musicale "Punk", che richiama l'atteggiamento ribelle e anti-autoritario tipico di questi movimenti.  La loro influenza è stata determinante nel plasmare un Internet dove la privacy è possibile, anche in un'era di crescente sorveglianza globale.

Principi cardine:

-La crittografia sia essenziale per preservare la libertà di parola e la privacy

-Gli individui abbiano il diritto di comunicare in modo anonimo e sicuro

-Le tecnologie di crittografia e privacy debbano essere sviluppate e utilizzate per contrastare la sorveglianza governativa e la censura

L'impatto di questo movimento ha portato alla creazione di tecnologie quali:

-PGP (Pretty Good Privacy): un software di crittografia per email sviluppato da Phil Zimmermann nel 1991, ampiamente utilizzato per proteggere le comunicazioni.

-TOR: un sistema per l'anonimato online che permette agli utenti di navigare sul web in modo anonimo su rete decentralizzate (Darknet). 

-Bitcoin: Satoshi Nakamoto, il creatore di Bitcoin, è stato influenzato dalle idee del movimento Cypherpunk. Bitcoin è la prima criptovaluta decentralizzata, progettata per essere sicura e resistente alla censura. Durante la crisi del 2008, precisamente il 31 ottobre 2008, è stata inviata un'e-mail alla mailing list Cypherpunk: "Bitcoin: A Peer-to-Peer Cash System". Questa struttura prometteva trasferimenti peer-to-peer, sicuri, veloci, immutabili e a basso costo, offrendo possibilità completamente nuove per l'epoca. Il whitepaper di Bitcoin è stato influenzato da molte idee e dal movimento Cypherpunk che lo ha preceduto.

La filosofia Cypherpunk si basa sull'idea che la privacy non debba essere concessa da un'autorità centrale, ma piuttosto ottenuta e protetta attraverso la tecnologia. I Cypherpunk non si fidano delle istituzioni per proteggere i diritti individuali e credono che la tecnologia possa essere una forma di potere individuale contro lo stato e le corporazioni.

"La privacy è necessaria per una società aperta nell'era elettronica. Non possiamo aspettarci che governi, corporazioni o altre grandi organizzazioni ci concedano la privacy; dobbiamo difenderla da soli"

Come detto, nato dopo il Cyberpunk ed anch'esso incentrato su computer e reti, in questo caso parliamo di un movimento attivista e non letterario/culturale, focalizzato soprattutto su libertà e privacy contro il controllo dei governi. La tecnologia viene vista come un mezzo per proteggere i diritti del singolo individuo. Per approfondire: A Cypherpunk's Manifesto

Per approfondire riguardo operazioni di censura a vasta scala:

La Legion Of Doom e L'Operazione Sundevil (1990)

L'Operazione Italian Crackdown (Hardware I 1994)

SOLARPUNK

Il Solarpunk è nato in contrapposizione alle visioni distopiche del Cyberpunk. Rappresenta un futuro utopico in cui l'umanità è riuscita a vivere in armonia con la natura attraverso l'uso di tecnologie sostenibili e energie rinnovabili. Queste comunità sono spesso cooperative, ecologiche e decentralizzate, con un forte senso di collettività e rispetto per l'ambiente. Le estetiche Solarpunk sono luminose, colorate, con edifici coperti di piante e tecnologie che integrano la natura invece di sfruttarla.

Temi principali:

-Sostenibilità ambientale ed energie rinnovabili

-Comunità cooperative

-Ottimismo tecnologico

Il Solarpunk promuove una visione del futuro in cui le comunità locali sono autosufficienti (immagina le DAO nel Proof Of Stake) e collaborative, con un forte accento sulla sostenibilità e l'equità. In questo contesto, le tecnologie decentralizzate, come le criptovalute e le piattaforme basate su blockchain (parte del web3), possono essere viste come strumenti per realizzare queste visioni.

Le criptovalute potrebbero essere utilizzate per facilitare economie locali o per finanziare progetti comunitari senza dipendere dalle istituzioni centralizzate tradizionali. Questo si allinea con l'ideale Solarpunk di ridurre la dipendenza dai grandi centri di potere economico e politico.

Una delle applicazioni potenziali delle blockchain nel contesto Solarpunk è la creazione di reti decentralizzate, dove l'energia rinnovabile prodotta localmente (come da pannelli solari) può essere utilizzata per garantire l'uso di queste tecnologie (un chiaro esempio è Bitcoin, che usa principalmente energie rinnovabili). L'idealizzazione troppo positiva/ottimistica della realtà viene considerato troppo utopico.

LUNARPUNK

Questo sottogenere ancora più recente si può considerare come una sorta di "Dark Side" del Solarpunk. Mentre il Solarpunk si focalizza su un futuro sostenibile sulla Terra, il Lunarpunk esplora la possibilità di una vita umana su altri corpi celesti, come la Luna o Marte. Questa estetica si concentra sul cosmo e l'uso di tecnologie avanzate per adattarsi a nuovi ambienti, spesso con un approccio mistico (luci soffuse e ambienti spogli, con un tocco mistico). Le ambientazioni Lunarpunk possono essere un mix di architetture futuristiche integrate nel paesaggio lunare e tecnologie organiche.

Temi principali:

-Esplorazione spaziale

-Adattamento e sopravvivenza in ambienti alieni

-Spiritualità cosmica

-Connessione con il cosmo

La privacy nel contesto Lunarpunk potrebbe essere estesa non solo alla protezione dei dati personali, ma anche alla protezione della sovranità individuale e collettiva in nuovi ambienti extraterrestri o digitali. Il Lunarpunk esplora la possibilità di colonizzare e adattarsi a nuovi mondi, come la Luna o Marte. In questo contesto, Bitcoin e le tecnologie web3 potrebbero essere utilizzate per creare economie autonome, che non dipendono dalle strutture economiche terrestri. Queste economie potrebbero operare su modelli decentralizzati, resistenti alla censura e basati su smart contract. In generale si oppongono al capitalismo della sorveglianza con miglioramenti della privacy forniti da varianti di zero-knowledge proof (zk-Knowledge Proof) su tecnologie specifiche della blockchain (DAO, DeFi, NFT). Tra i principali autori ad esempio Rachel-Rose O'Leary.

Loro paragonano il mondo di Internet a una foresta digitale non supervisionata, utilizzando strumenti come la crittografia. Nelle condizioni attuali, sono identificati come cripto-anarchici. 

Utilizzando sistemi autonomi quali DAO e strumenti organizzativi peer-to-peer (P2P), mirano a rendere Internet più efficiente credendo che la tecnologia sia attivamente coinvolta nella governance e nel futuro dei sistemi non statali.

Cos'è Il Settembre Eterno Di Usenet?

Il concetto di "Settembre Eterno" (Eternal September) è un fenomeno nato originariamente su Usenet, ma si è poi esteso a internet in generale. Usenet era un sistema di newsgroup (forum testuali distribuiti, qui per approfondire: la Gerarchia di Usenet) nato alla fine degli anni '70 e diventato molto popolare tra studenti universitari e appassionati di informatica negli anni '80 e '90. Usenet è l’abbreviazione di "Users Network" ed è stata creata come un sistema di comunicazione tra università basato su UNIX. Oggi è dimenticato, ma ha influenzato forum, chat e social media moderni.

Negli anni ’80 e ’90, Usenet era frequentata da programmatori, accademici e appassionati di tecnologia. Tra questi c'era John Gilmore, un hacker e cofondatore della Electronic Frontier Foundation (EFF), che contribuì a preservare la filosofia di internet aperta e decentralizzata. Usenet ha dato origine anche ai primi meme. Uno dei più antichi era la tendenza di alcuni utenti a postare semplicemente la parola "Meow", senza alcun contesto. Questo comportamento, oggi tipico di alcuni thread su Reddit o X, esisteva già negli anni '80.

Su Usenet è nata anche la famosa Legge di Godwin, che afferma:

"Man mano che una discussione su internet si allunga, la probabilità di un paragone con Hitler o i nazisti tende a 1"

Questa regola è ancora oggi valida nelle discussioni sui social media.

L’attuale spam pubblicitario su internet ha origini in Usenet. Il primo messaggio di spam fu inviato nel 1994 dagli avvocati Laurence Canter e Martha Siegel, che promossero i loro servizi legali su tutti i newsgroup con un unico messaggio uguale, causando il caos.

SETTEMBRE

Sostanzialmente, ogni settembre arrivava un'ondata di nuove matricole universitarie che ottenevano accesso a Usenet per la prima volta. Questi studenti, inesperti delle norme e dell’etichetta dei newsgroup (la netiquette), tendevano a creare un certo caos fino a quando non imparavano a comportarsi. Questa situazione si ripeteva ogni anno, ma era temporanea, poiché gli utenti solitamente perdevano interesse o si adattavano alle norme.

SETTEMBRE ETERNO DEL 1993

Nel settembre 1993, AOL (America Online) aprì l'accesso a Usenet ai suoi utenti, che all'epoca erano milioni. A differenza degli studenti universitari, questi nuovi utenti non arrivavano solo a settembre, ma in massa e continuamente. Questo portò a un sovraccarico di newbie, che non avevano familiarità con la cultura di Usenet e spesso ignoravano le regole della netiquette.

Da quel momento in poi, non ci fu più un ritorno alla normalità: l'ondata di nuovi utenti inesperti non finì mai. Per questo motivo, l'evento venne battezzato Settembre Eterno (Eternal September), per indicare un periodo di disordine e declino permanente della cultura originaria di Usenet.

CONCETTO PIU' AMPIO

Oggi il concetto di Settembre Eterno è spesso usato per descrivere come Internet sia cambiata con la massificazione dell'accesso. Alcuni esempi di "Settembri Eterni" moderni includono:

-L'arrivo massiccio di utenti mainstream sui social media (Reddit, Facebook, Twitter, TikTok), che ha cambiato la cultura di queste piattaforme.

-L'ingresso del grande pubblico nei videogiochi online, portando a cambiamenti nei comportamenti e nelle comunità.

-L'utilizzo di Wikipedia da parte di utenti inesperti, che ha reso più difficile mantenere gli standard di qualità delle voci.

-Nuove entrate nel mondo delle criptovalute.

In sostanza, il Settembre Eterno rappresenta il momento in cui una comunità online perde il suo equilibrio a causa di un'ondata massiva di nuovi utenti che ignorano le sue norme tradizionali.

Tipologie Di Ricatti Più Diffusi Inviati Per Mail

Truffe via email basate su ricatti ed estorsioni, oltre ad essere diffuse da più di un decennio, sono anche molto variegate. La strategia principale è quella di incutere timore, ansia e vergogna nella vittima a fine di ottenere denaro. Queste truffe spesso utilizzano il cosiddetto "phishing" per convincere la vittima a pagare somme di denaro. Nel 99% dei casi, lo scammer non ha accesso al dispositivo nè possiede i dati che dice di avere. In alcuni casi la mail può arrivare addirittura dal proprio indirizzo, per dare l'impressione che il truffatore ha davvero installato un malware o ha accesso al vostro computer. Viene utilizzata questa tecnica: Ricevi E-Mail Da Te Stesso? Le Estorsioni In Bitcoin (Spoofing). Vediamo le più diffuse.

TRUFFA INERENTI ATTI HOT

In questo tipo di truffa, lo scammer afferma di avere accesso alla webcam del destinatario e di aver registrato un video compromettente mentre si masturbava o visitava siti hot. Minacciano di inviare questo video a tutti i contatti del destinatario (amici, familiari, colleghi) se non viene pagato un riscatto, solitamente in criptovalute come Bitcoin. 

Messaggio classico: "Abbiamo hackerato il tuo computer e registrato un video di te mentre guardavi siti per adulti. Se non paghi X Bitcoin, invieremo il video a tutti i tuoi contatti"

TRUFFA DELLA LOCALIZZAZIONE

In questa variante, abbastanza recente, il truffatore invia un'immagine di un luogo che dovrebbe spaventare il destinatario, come una foto della sua casa presa da Google Maps o un'indicazione di aver trovato il suo indirizzo fisico. L'email spesso suggerisce che l'hacker abbia informazioni personali e minaccia di fare del male fisico se non viene pagato un riscatto. Effettivamente la foto, città e nome della vita sono corrette. Come è possibile ciò? Quando si forniscono propri dati personali su siti internet e il database viene hackerato, questi dati vengono venduti sul web. Scammers avendo mail ed indirizzo di casa possono sfruttarli per questo tipo di truffe.

Messaggio classico: "Sappiamo dove vivi, ecco la tua casa (con una foto di Google Maps). Se non paghi, verremo a farti del male"

TRUFFA DI CONTENUTI CP

In questo tipo di estorsione, i truffatori affermano di aver trovato materiale illegale, sul dispositivo della vittima e minacciano di denunciare la persona alle autorità o di rendere pubbliche queste informazioni a meno che non venga pagato un riscatto. In un'altra variante si fingono proprio forze dell'ordine chiedendo il riscatto, per evitare l'eventuale denuncia.

Messaggio classico: "Abbiamo trovato materiale illegale nel tuo computer, se non paghi X Bitcoin denunceremo la tua attività alle forze dell'ordine"

TRUFFA CREDENZIALI RUBATE

I truffatori inviano email affermando di avere accesso alle credenziali di accesso (username e password) di uno o più account del destinatario. Per rendere la minaccia più credibile, includono una password (magari vecchia) che la vittima aveva effettivamente utilizzato (anche questa comprata da chi vende dati sensibili, a seguito di database hackerati). Minacciano di divulgare informazioni private o di usare l'account per scopi illeciti se non ricevono un pagamento.

Messaggio classico: "Abbiamo hackerato il tuo account e questa è la tua password. Se non paghi X Bitcoin, useremo il tuo account per attività illegali"

TRUFFA ACCOUNT COMPROMESSO

In questo schema, l'email afferma che uno degli account online della vittima (email, social media, etc) è stato violato. A volte, l'email sembra inviata da un fornitore legittimo (come Google o Facebook) e invita a cliccare su un link per risolvere il problema. Se la vittima clicca, finisce su una pagina di phishing dove gli vengono rubate le credenziali.

Messaggio classico: "Il tuo account è stato compromesso, clicca qui per risolvere il problema"

TRUFFA DEL DEBITO E DEL FINTO AVVOCATO

Il truffatore finge di essere un avvocato o un rappresentante di un'agenzia di recupero crediti, e afferma che la vittima ha un grosso debito che deve pagare immediatamente per evitare conseguenze legali. A volte, queste email includono dettagli legali falsi o documenti all'apparenza ufficiali per rendere la minaccia più credibile.

Messaggio classico: "Hai un debito di X debito, se non paghi subito, agiremo per vie legali"

TRUFFA DEL KEYLOGGER

In questa truffa, il criminale afferma di aver installato un keylogger (software che registra tutto ciò che viene digitato sulla tastiera) sul dispositivo della vittima. Minacciano di usare le informazioni raccolte per scopi illegali o di divulgare dati sensibili se non viene pagato un riscatto.

Messaggio classico: "Abbiamo installato un keylogger sul tuo dispositivo, abbiamo accesso a tutte le tue password. Paga X Bitcoin o useremo queste informazioni"

TRUFFE INERENTI DENUNCE

In alcune email di ricatto, i truffatori minacciano di fare una denuncia alla polizia o a un'altra autorità, sostenendo che la vittima abbia commesso un crimine, spesso legato a frodi finanziarie o attività illegali online (ad esempio file sharing e streaming di materiale coperto da copyright). In cambio del silenzio, chiedono il pagamento di un riscatto.

Messaggio classico: "Siamo in possesso di prove che dimostrano la tua attività illegale online. Se non paghi, inoltreremo tutto alla polizia"

Se vuoi approfondire su vecchie truffe, scammers e spammers storici vai qui:

Spammers Più Famosi Di Tutti I Tempi

Cos'è La Truffa Nigeriana (Scam)

Cos'è La Truffa Di Valentin (Scam)

Alcuni Scam Su Metamask: Address Poisoning, Clipboard, MITM

Ci sono diversi scam molto elaborati nel mondo Crypto che non prevedono esclusivamente l'eseguire uno smart contract malevolo, provare a scambiare un token scam su un dex compromesso, l'attacco al frontend di un sito web (dove il dominio originale viene dirottato sul dominio dell'attaccante) o il phishing tramite mail ma anche altri connessi direttamente all'invio di fondi e all'address stesso.

ADDRESS POISONING

L'address poisoning è una truffa semplice ma allo stesso tempo abbastanza elaborata. Anche se non coinvolge il furto diretto di fondi o l’accesso non autorizzato al portafoglio, può portare l' utente ad inviare accidentalmente criptovalute all’indirizzo sbagliato. Questa truffa sfrutta il fatto che alcuni portafogli cripto, come MetaMask, memorizzano e visualizzano le transazioni recenti. Gli scammers inviano una piccola somma di criptovaluta, come 0.0001 ETH o token insignificanti, a un portafoglio legittimo, ma utilizzano un indirizzo molto simile a uno già esistente nella cronologia delle transazioni della vittima (basta verificare sull'explorer gli ultimi address con cui ha interagito la vittima e crearne uno simile). L'idea è che l'utente, quando fa riferimento alla cronologia delle transazioni per copiare un indirizzo per spostare fondi, possa copiare per errore l'indirizzo malevolo, che somiglia a uno fidato. Il risultato è che l’utente invia i propri fondi all’indirizzo dello scammer.

Come è possibile generare un address simile? Gli indirizzi sono composti da caratteri esadecimali (0-9 e a-f), che rendono possibile una combinazione molto elevata di indirizzi unici. Nonostante la loro unicità crittografica, a occhio umano possono sembrare simili, soprattutto se un indirizzo è progettato per assomigliare ad un altro. E' possibile generare in modo random indirizzi simili fino a trovare uno che somigli all’indirizzo della vittima, concentrandosi sulle prime e ultime cifre dell'indirizzo, che sono quelle che la maggior parte degli utenti verifica prima di inviare una transazione. Esistono script e programmi che automatizzano questo processo, permettendo agli scammers di generare rapidamente migliaia di indirizzi fino a trovare una corrispondenza abbastanza simile.

Ad esempio, se l’indirizzo legittimo è:

0xADC12345...67890DEF

Gli scammers possono generare un indirizzo come:

0xADC12346...67890DFE

In questo modo, solo una o due cifre sono diverse, ma a occhio nudo la somiglianza può trarre in inganno. Un'altra tecnica prevede l'utilizzo di vanity address che contiene una specifica sequenza di caratteri all'inizio o alla fine. Esistono strumenti che permettono di generare vanity address, come il tool "Vanitygen" per Bitcoin o "Vanity-ETH" per Ethereum. Gli scammers possono usare questi strumenti per creare un indirizzo che abbia le stesse prime o ultime cifre dell’indirizzo legittimo, rendendolo difficile da distinguere. Gli scammer si concentrano su far coincidere le prime (o ultime) cifre, perché sono quelle che di solito un utente tende a controllare. Un'altra tecnica è quella di creare indirizzi con variazioni minime, ma difficili da notare velocemente, come la sostituzione di caratteri che sembrano simili visivamente. 

Ad esempio:

"1" e "l" (il numero uno e la lettera minuscola "L") possono confondersi in alcuni font.

"0" (zero) e "O" (la lettera maiuscola O) sono spesso indistinguibili a occhio nudo.

Ad esempio:

Indirizzo legittimo: 0x12341BCDEF...

Indirizzo truffa: 0x1234lBCDEF... (dove "l" sostituisce "1")

CLIPBOARD HIJACKING

Questa truffa utilizza malware che si insediano nel computer e monitora la clipboard (gli appunti), ossia la memoria temporanea in cui si copia e incolla testo o dati. Quando l’utente copia un indirizzo di criptovaluta per inviare fondi, il malware sostituisce automaticamente l’indirizzo copiato con quello dello scammer. Così, quando l’utente incolla l’indirizzo per effettuare la transazione, non si rende conto che l’indirizzo è stato modificato, finendo per inviare i fondi al truffatore.

FAKE QR CODE

Spesso si utilizzano codici QR per semplificare l’invio e la ricezione di fondi, soprattutto per evitare errori nel copiare e incollare indirizzi lunghi e complessi. Gli scammer sfruttano questo comportamento creando QR code falsi che contengono l’indirizzo del truffatore al posto dell'indirizzo corretto. L’utente scansiona un codice QR fornito su un sito per inviare criptovalute a un presunto indirizzo fidato. Il QR code, però, contiene un indirizzo malevolo e i fondi vengono inviati all’indirizzo del truffatore.

MAN IN THE MIDDLE ATTACK

E' un classico attacco informatico dove uno scammer intercetta la comunicazione tra l’utente e il destinatario della transazione (spesso su piattaforme o reti non sicure) e modifica l'indirizzo del portafoglio a cui inviare le criptovalute. Questo attacco può verificarsi su siti compromessi o piattaforme di scambio che non implementano adeguati protocolli di sicurezza (vecchio HTTP e non l'aggiornato HTTPS).

DUSTING ATTACK

Un dusting attack non è una truffa nel senso tradizionale, ma viene spesso utilizzato come preludio a truffe più avanzate. Si tratta di un'operazione in cui un attaccante invia una piccola quantità di criptovaluta (spesso frazioni infinitesimali, note come "dust") a molti indirizzi di portafogli. L'obiettivo è tracciare le transazioni future di questi indirizzi per cercare di identificare i proprietari. Se l'attaccante riesce a identificare un utente, può utilizzarlo come parte di altre truffe mirate, come phishing o attacchi di ingegneria sociale.