I truffatori si spacciano per dipendenti di CoinMarketCap per ottenere chiavi private

Secondo un avviso emesso dal fornitore di dati sulle risorse digitali, i truffatori che si spacciano per membri del supporto di CoinMarketCap prendono di mira gli investitori in criptovalute nel tentativo di rubare informazioni sensibili.

CoinMarketCap, acquisita da Binance nel 2021 ma operativa in modo indipendentedentha dichiarato che alcuni truffatori stanno contattando gli utenti fingendosi membri del suo team di assistenza clienti. Gli impostori cercano di indurre le vittime a rivelare le proprie chiavi private o frasi di recupero "per ricevere assistenza", il che potrebbe consentire loro di accedere completamente ai portafogli di criptovalute.

"ATTENZIONE ai truffatori che cercano di impersonare i membri di CoinMarketCap. CMC NON ha un numero di telefono e NON vi chiameremo MAI", ha scritto in un avviso martedì. Ha inoltre chiesto agli utenti di verificare qualsiasi comunicazione sospetta tramite il portale di supporto ufficiale all'indirizzo coinmarketcap.com/request prima di intraprendere qualsiasi azione.

Le truffe di ingegneria sociale si diffondono al CMC

L'ultimo avviso di CoinMarketCap si aggiunge al numero di casi segnalati di truffe di ingegneria sociale, una tattica utilizzata dagli aggressori per manipolare le persone inducendole a rivelare informazionidentattraverso la manipolazione psicologica, l'inganno e la creazione di fiducia.

I criminali si spacciano per rappresentanti di cambio o agenti delle forze dell'ordine per fare pressione sulle vittime o convincerle a condividere le loro frasi di recupero o a firmare transazioni fraudolente.

Come riportato da Cryptopolitan, ad agosto la polizia del Galles del Nord ha avviato un'indagine sul furto di circa 2,8 milioni di dollari in Bitcoin dopo che una vittima è stata ingannata da un impostore che si spacciava per un alto funzionario di polizia britannico. Il sospetto ha convinto la vittima che i suoidenterano stati trovati sul telefono di una persona arrestata e le ha chiesto di "mettere al sicuro" i suoi fondi tramite un link di phishing.

La vittima ha inserito la frase seed del suo portafoglio di 12 parole su un sofisticato sito web fasullo, dando inconsapevolmente al truffatore pieno accesso ai suoi asset digitali. Il presunto criminale avrebbe rubato e riciclato i fondi.

Nello stesso mese, un'altra vittima ha perso 783 Bitcoindopo che alcuni criminali si sono rivolti a loro spacciandosi per team di supporto per exchange e portafogli hardware. I dati blockchain esaminati dagli investigatori hanno mostrato che i fondi rubati erano stati riciclati tramite il crypto-tumbler Wasabi Wallet.

Le fughe di dati hanno avviato tattiche di impersonificazione, ZachXBT

Secondo ZachXBT, esperto di sicurezza blockchain, questo tipo di truffe è diventato sofisticato a causa dell'abbondanza di informazioni personali trapelate online da "grandi aziende". ZachXBT ha affermato che gli aggressori ora possono imitare in modo convincente il personale del servizio clienti poiché dispongono di nomi reali, modelli di email e numeri di caso degli account legittimi delle vittime.

"Le violazioni su larga scala hanno esposto enormi quantità di dati personali, rendendo più facile per gli autori delle minacce impersonare istituzioni affidabili", ha scritto. "Sfruttano semplicemente queste fughe di notizie per creare fiducia prima di mettere in atto la truffa"

Un rapporto di TRM Labs ha rilevato che la cifra record di 2,1 miliardi di dollari è stata rubata tramite attacchi informatici e exploit, e che oltre l'80% di queste perdite è dovuto a chiavi private o seed phrase compromesse. 

L'organizzazione ha ribadito che la maggior parte di queste violazioni è stata originata da tattiche di ingegneria sociale o minacce interne, grazie alle quali gli aggressori sono riusciti a eludere senza problemi anche le difese tecniche piùtron, una volta ottenuta la cooperazione umana.

TRM ha inoltre segnalato che la dimensione media degli attacchi informatici è raddoppiata dal 2024, raggiungendo i 30 milioni di dollari. L' di Bybitdent di febbraio, attribuito dall'azienda ad attori sponsorizzati dallo Stato nordcoreano, ha causato quasi il 70% delle perdite totali. 

La truffa di ingegneria sociale di Coinbase ha causato perdite per 400 milioni di dollari

All'inizio di quest'anno, le truffe di impersonificazione hanno raggiunto anche il più grande exchange degli Stati Uniti, Coinbase. Il 15 maggio, Coinbase ha confermato che i criminali avevano rubato dati personali a decine di migliaia di clienti, pur insistendo sul fatto che gli hacker non avevano avuto accesso ai caveau di criptovalute dell'exchange. 

Le informazioni trapelate sui clienti hanno permesso ai truffatori di impersonare il personale di supporto di Coinbase e di contattare direttamente gli utenti. Molte vittime sono state convinte a trasferire i propri fondi su quelli che ritenevano portafogli "sicuri" controllati dagli aggressori.

ZachXBT ha stimato che gli utenti di Coinbase abbiano perso complessivamente oltre 65 milioni di dollari tra dicembre 2024 e gennaio 2025 a causa di attacchi di social engineering. Ha inoltre insistito sul fatto che la cifra è prudente, poiché moltidentnon sono stati segnalati a Coinbase o alle forze dell'ordine.

perché ci sono così tante violazioni che rendono le tue informazioni personali ampiamente disponibili online, così che gli autori delle minacce possano sfruttarle

— ZachXBT (@zachxbt) 21 agosto 2025

In un esempio, di cui ha parlato sul suo canale di inchieste, un truffatore ha utilizzato informazioni riservate dei clienti per affermare che l'account di una vittima aveva subito tentativi di accesso non autorizzati. Il truffatore ha poi inviato una falsa email, camuffata da messaggio ufficiale di Coinbase, completa di un numero di pratica fasullo. 

L'e-mail "istruiva" la vittima a trasferire i propri fondi su un indirizzo "Coinbase Wallet", che in realtà era controllato dai ladri.