Come gli attacchi evil twin su wi‑fi truffano gli utenti di criptovalute e prosciugano i loro fondi

Immaginate di essere appena scesi da un volo di sedici ore: siete stanchi, con gli occhi arrossati e avete bisogno di spostare rapidamente fondi in criptovalute. I negozi per le SIM sono chiusi, così vi collegate alla cosiddetta “Wi‑Fi gratuita” dell’aeroporto. Ore dopo, i vostri fondi sono spariti verso un wallet sconosciuto. Probabilmente siete stati vittima di un attacco di tipo Evil Twin.

Come funzionano gli Evil Twin

Un Evil Twin consiste nella clonazione di una rete Wi‑Fi legittima: un attaccante crea un punto d’accesso con nome identico o molto simile a quello reale per indurre i dispositivi a connettersi. Una volta stabilita la connessione, il criminale può intercettare il traffico, reindirizzare richieste verso pagine fasulle o sfruttare altre tecniche di ingegneria sociale per carpire informazioni sensibili.

Queste trappole sono particolarmente efficaci in luoghi affollati dove si ricerca connessione gratuita, come aeroporti, bar, alberghi, snodi dei trasporti, sale conferenze e zone turistiche ad alto flusso.

Steven Walbroehl said:

“Gli Evil Twin sono più frequenti in aeroporti, caffè, hotel, hub di trasporto, sedi di conferenze e aree turistiche molto affollate, dove molte persone cercano connessioni Wi‑Fi gratuite.”

In alcuni casi le autorità hanno indagato e perseguito criminali che hanno creato punti d’accesso fasulli per catturare dati personali dei malcapitati.

Rischi specifici per le criptovalute

Connettersi a un Evil Twin non determina automaticamente la perdita di criptovalute: il danno avviene se l’utente compie azioni che espongono chiavi private, frasi di recupero o credenziali di accesso. Tuttavia, anche se la chiave privata non viene visualizzata, la sottrazione di credenziali di exchange, account e-mail o codici 2FA può permettere a un attaccante di svuotare conti centralizzati in breve tempo.

Steven Walbroehl said:

“Anche se qualcuno non vede la tua chiave privata, catturare le credenziali dell’exchange, l’e‑mail o i codici 2FA può permettere agli attaccanti di svuotare rapidamente account centralizzati.”

Segnali di allarme e tecniche di inganno

Gli aggressori spesso completano l’attacco con pagine di login falsificate, richieste di aggiornamento software, prompt per installare strumenti di supporto o, nel caso peggiore, inducendo l’utente a digitare la propria seed phrase. Queste tecniche sono combinazioni di phishing e ingegneria sociale, sfruttate al momento giusto per far commettere un errore alla vittima.

23pds said:

“Gli Evil Twin sono più comuni di quanto si pensi e ci sono ancora molte persone che ci cascano completamente. Se dovete ricordare una cosa: gli attacchi di tipo Evil Twin vincono perché inducono a un errore umano, non perché violino magicamente la crittografia.”

I segnali che una rete potrebbe essere fasulla includono: connessioni aperte senza autenticazione, nomi di rete duplicati con lievi differenze ortografiche, richieste preziose di informazioni personali subito dopo la connessione e pagine di login che non corrispondono al dominio ufficiale del servizio.

Misure pratiche di prevenzione

Per ridurre il rischio quando si è in pubblico, è buona norma evitare operazioni a rischio elevato come trasferimenti, cambi di impostazioni di sicurezza o connessioni a nuove dApp mentre si è su Wi‑Fi pubblico. Non inserire mai la seed phrase, usare segnalibri per gli exchange o digitare manualmente il dominio ufficiale per accedervi; evitare di cliccare su annunci di ricerca e verificare sempre gli indirizzi in modo manuale invece di copiare e incollare.

Usare il proprio hotspot mobile, reti private e disabilitare la funzione di auto‑connessione sui dispositivi aiuta a non connettersi automaticamente a punti d’accesso potenzialmente pericolosi. Se non ci sono alternative al Wi‑Fi pubblico, utilizzare un VPN affidabile per cifrare il traffico e connettersi solo a reti verbalmente confermate dal personale del luogo come legittime.

È utile anche adottare pratiche di autenticazione più sicure, come l’uso di token hardware per il 2FA invece di sole app sullo smartphone, e mantenere aggiornati sistemi e applicazioni per ridurre la superficie di attacco.

Cosa fare se si è compromessi

Se sospettate di essere stati esposti tramite una rete pubblica, cambiate immediatamente le password e revocate le sessioni attive sugli exchange e sugli account e‑mail. Attivate metodi di 2FA robustness e, se necessario, contattate il servizio clienti dell’exchange per bloccare prelievi mentre indagate l’accaduto.

Tenete presente che la tempestività può limitare il danno: in caso di conto centralizzato compromesso, bloccare accessi e segnalare l’accaduto può impedire prelievi automatici ulteriore.

Strategia a tre livelli per chi viaggia con crypto

Una strategia pratica consigliata da esperti è quella a tre livelli: mantenere le partecipazioni principali offline o in cold storage, creare un wallet di viaggio con fondi limitati e utilizzare un piccolo hot wallet separato e non connesso per pagamenti giornalieri, scambi minori o interazioni con dApp.

23pds said:

“Se il tuo telefono viene rubato, clicchi un link malevolo o qualcosa va storto, la perdita potenziale è limitata.”

Questa divisione dei fondi riduce il rischio complessivo: anche in caso di compromissione del dispositivo usato per gli spostamenti, non si espongono le riserve principali.

Nick Percoco from Kraken ha inoltre evidenziato la scarsa consapevolezza sulla sicurezza che si osserva spesso in eventi e conferenze del settore, invitando a maggiore attenzione nelle pratiche quotidiane.

Riepilogo e raccomandazioni finali

Gli attacchi tramite Evil Twin sfruttano soprattutto errori umani e distrazione. La difesa più efficace combina attenzione comportamentale, strumenti tecnici (come VPN e token hardware per il 2FA) e procedure operative prudenti quando si viaggia o si utilizza Wi‑Fi pubblico.

In sintesi: non inserite mai la seed phrase su reti pubbliche, limitate le operazioni sensibili durante la connessione a Wi‑Fi condivisi, usate hotspot personali o VPN, disabilitate l’auto‑connessione e adottate una gestione multi‑wallet per i viaggi. Queste misure riducono significativamente la probabilità di subire perdite per attacchi basati su reti fasulle.