Sicurezza informatica
La sicurezza delle criptovalute richiede un rilevamento di phishing sensibile al mercato
Nell’era moderna, in cui la maggior parte dei beni e delle informazioni preziose è digitalizzata, le truffe di phishing rappresentano un modo importante con cui i criminali rubano denaro, molto più di rapine e estorsioni “normali”, con fino a 25 miliardi di dollari di perdite globali direttamente attribuite al phishing ogni anno.
In senso più ampio, le frodi e gli schemi di frode bancaria si stima abbiano causato perdite per 485,6 miliardi di dollari a livello mondiale.
Peggio ancora, il recupero dei fondi è molto basso, appena il 5 % per il phishing digitale e le frodi informatiche (rispetto al 20 % per i beni fisici rubati), poiché i fondi sottratti vengono immediatamente riciclati tramite criptovalute o reti internazionali di trasferimenti bancari.
Questo metodo vede i truffatori mascherarsi da entità affidabili per ingannare le persone a rivelare informazioni sensibili, scaricare malware o trasferire fondi. È quindi, nella sua essenza, una forma di ingegneria sociale che manipola la psicologia e la fiducia umana piuttosto che basarsi esclusivamente su metodi tecnici di hacking.
I mercati delle criptovalute sono particolarmente vulnerabili a tali attacchi, poiché le transazioni sono irreversibili e le chiavi di crittografia rubate possono concedere ai criminali l’accesso a vere e proprie fortune.
Due recenti articoli di ricerca hanno analizzato la diffusione e le caratteristiche del phishing nelle criptovalute, più precisamente nella rete Ethereum.
Il primo, pubblicato da ricercatori dell’Università di Manchester (UK), dell’American University of Sharjah (UAE) e della Renmin University of China, indaga le condizioni di mercato in cui il phishing è più diffuso. È stato pubblicato su International Review of Economics & Finance1, con il titolo “The interplay between crypto market conditions and phishing crimes: Ethereum under the microscope”.
Il secondo articolo, scritto da un ricercatore del Interdisciplinary Research Center for Finance and Digital Economy della King Fahd University of Petroleum and Minerals, dimostra che i modelli di apprendimento automatico possono identificare le transazioni di phishing con alta precisione utilizzando caratteristiche compatte a livello di transazione. È stato pubblicato su Blockchain: Research and Applications2, con il titolo “Enhanced Phishing Transactions Detection on Ethereum Network with Tree-based Ensembles: An Empirical Study”.
Come funziona il phishing?
Il phishing può utilizzare una varietà di metodi di targeting: può consistere in messaggi di massa filtrati per le persone che cadono nella truffa, oppure può essere costituito da messaggi altamente personalizzati, adattati per apparire legittimi a un individuo specifico, solitamente un profilo di alto livello in un’organizzazione specifica o una persona ad alto patrimonio netto.
In ogni caso, il metodo si basa sull’imitazione di un messaggio legittimo, che sia un’email bancaria, una fattura da un fornitore noto, ecc. Spesso, la vittima viene reindirizzata a un sito web che sembra quello legittimo ma è in realtà progettato solo per catturare login, password e altre informazioni riservate.
I recenti progressi nell’IA hanno solo aggravato le minacce, poiché messaggi più adattivi o persino l’imitazione della voce di una persona reale possono essere usati per creare fiducia.
Ecco perché, tra le raccomandazioni per proteggersi dal phishing, è consigliabile ispezionare sempre l’URL completo degli indirizzi web prima di inserire password o dati finanziari, verificare direttamente la fonte e abilitare l’autenticazione a più fattori (MFA).
Condizioni di mercato di Ethereum & Phishing
Creare un dataset rilevante
Lo studio ha utilizzato dati mensili sulle criptovalute da gennaio 2016 a dicembre 2022 per analizzare i rendimenti dei numeri globali di crimini di phishing. Il punto di riferimento del 2016 è stato scelto poiché è quando Ethereum ha attirato maggiore attenzione pubblica e ha registrato livelli più alti di attività di mercato, e quando la capitalizzazione di mercato di Ethereum ha iniziato a sperimentare una crescita e volatilità considerevoli.
Il phishing è di gran lunga il tipo di truffa più diffuso nello spazio crypto, rappresentando più della metà del totale. Le catene di app decentralizzate di Ethereum sono dove si è verificata la stragrande maggioranza di queste truffe.
I ricercatori hanno confrontato queste statistiche sul phishing con sei metriche finanziarie di Ethereum raccolte dalle transazioni eseguite sullo scambio di criptovalute Kraken:
- Numero totale di transazioni.
- Prezzo medio per transazione.
- Quantità media per transazione.
- Quantità aggregata di token scambiati.
- Lambda di Kyle: il rapporto tra variazione di prezzo e volume degli ordini, ovvero quanto un grande scambio sposta il prezzo di un asset.
- Costo implicito della transazione.
Più scambi significano più phishing
Analizzando la correlazione tra queste statistiche di mercato di Ethereum e il phishing, è emersa una chiara correlazione: i grandi aumenti nei numeri dei crimini di phishing sono fortemente associati a grandi aumenti nell’attività delle transazioni di Ethereum, nel prezzo medio delle transazioni e nella quantità delle transazioni.
Non sorprende che i costi di transazione siano negativamente associati all’attività di phishing, poiché i truffatori cercano di evitare perdite su ogni transazione rubata.
Tuttavia, una liquidità più bassa è stata collegata a più phishing, poiché spinge gli utenti a cercare metodi alternativi, potenzialmente non sicuri, per risparmiare sui costi o accelerare le transazioni.
Una ragione chiave per questa correlazione, sospettata dai ricercatori, è che una maggiore attività di trading riflette un interesse e un coinvolgimento più elevati. Questo, a sua volta, crea un più ampio bacino di potenziali obiettivi di phishing che sono più propensi ad abbassare la guardia.
Allo stesso modo, la paura di perdere (FOMO) potenziali guadagni finanziari può anche far diventare gli individui più vulnerabili, portando a decisioni affrettate.
Nel complesso, ciò crea due canali attraverso i quali le condizioni del mercato di Ethereum influenzano il phishing. Il primo è che costi più bassi generano semplicemente maggiori profitti, incentivando i criminali ad aumentare i loro tentativi di phishing.
“Quando la liquidità è profonda e i costi impliciti sono bassi, i trasgressori possono spostare o convertire gli asset rubati con costi di esecuzione inferiori, aumentando il guadagno netto dal phishing.”
L’altro è la consapevolezza che rapidi aumenti di prezzo, volatilità e volume di scambio possono attrarre investitori inesperti o meno informati nel mercato, più esposti a narrazioni speculative, urgenza e paura di perdere.
“In questo senso, il sentiment di mercato e l’attenzione operano come mediatori comportamentali, poiché non causano direttamente il phishing, ma possono aumentare la probabilità di successo dei tentativi di phishing incrementando il numero e la suscettibilità delle potenziali vittime.”
Implicazioni politiche
Poiché le operazioni di phishing non operano in un vuoto, ma reagiscono alle condizioni di mercato, così dovrebbero fare le politiche riguardanti i crimini finanziari. Un primo passo sarebbe riconoscere queste relazioni e reagire di conseguenza.
“Le autorità di regolamentazione e gli exchange di criptovalute potrebbero potenziare i loro meccanismi di sorveglianza durante periodi di significativa attività o volatilità di mercato, adottando strategie proattive per identificare e interrompere potenziali campagne di phishing prima che colpiscano le vittime.”
Un altro elemento è che i costi di transazione potrebbero non essere solo costi, ma anche un deterrente contro le attività criminali. Pertanto, sebbene costi di transazione elevati in modo generalizzato non siano desiderabili, imposte mirate su transazioni ad alta frequenza sospette potrebbero aiutare molto.
“I costi di transazione elevati sembrano scoraggiare l’attività di phishing, indicando che i regolatori potrebbero esplorare politiche o meccanismi che influenzano strategicamente i costi di transazione per mitigare le attività illecite senza impattare negativamente le operazioni di mercato legittime.”
Infine, le campagne di sensibilizzazione pubblica dovrebbero essere strettamente sincronizzate con le dinamiche di mercato, soprattutto durante periodi di intensa attività del mercato Ethereum o movimenti di prezzo significativi.
“Gli sforzi educativi, combinati con avvisi pubblici tempestivi sulle potenziali minacce di phishing, possono ridurre sostanzialmente i tassi di vittimizzazione aumentando la consapevolezza tra investitori e trader.”
Rilevare il crypto‑phishing con l’IA
Selezionare i modelli di apprendimento automatico
In questo studio, i ricercatori hanno utilizzato algoritmi di apprendimento automatico per testare la loro capacità di rilevare le truffe crypto. O più precisamente, per valutare l’efficacia dei modelli di ensemble basati su alberi (algoritmi che aggregano le previsioni da molteplici alberi decisionali individuali) nel rilevare attacchi di phishing sulla rete Ethereum.
Questo includeva sette modelli di ensemble basati su alberi: Random Forest, Extra Trees, AdaBoost, CatBoost, Gradient Boosting, XGBoost e Hist Gradient Boosting.
Hanno utilizzato un dataset di 71.250 transazioni reali di Ethereum dal 2017 al 2019, fornito da un altro ricercatore, il 22 % delle quali sono anomale. Le transazioni anomale (frodi) sono state raccolte dallo strumento open‑source EtherscanDB.
Quali dati sono utili per il rilevamento delle frodi?
Da questa analisi emergono alcuni fatti.
Il primo è che alcune caratteristiche dei dati erano molto utili per il rilevamento del phishing, come il timestamp e il numero di un blocco, nonché gas e gas price, mentre altre erano sostanzialmente irrilevanti, come l’indice della transazione o l’hash del blocco.
L’altro è che alcuni modelli sono notevolmente più efficienti e rapidi nel rilevare le frodi. Al punto che alcuni impiegano fino a 5 volte più tempo.
Tuttavia, questa velocità e efficienza computazionale possono andare in parallelo con una precisione inferiore, poiché Gradient Boosting era il più lento, ma anche il modello che ha raggiunto la migliore performance complessiva di rilevamento.
In pratica, è possibile trovare un compromesso tra intensità computazionale e efficienza del rilevamento delle frodi.
“L’uso di una rappresentazione compatta delle caratteristiche dimostra che è possibile ottenere un rilevamento efficace del phishing con un ridotto overhead computazionale, migliorando la scalabilità.”
Verso mercati di criptovalute più sicuri
Le criptovalute sono state sia l’obiettivo di truffe sia un mezzo per i criminali per riciclare i loro guadagni illeciti, un fatto che da tempo macchia la reputazione del settore.
Grazie a ulteriori ricerche accademiche come questi studi, è possibile ottenere una comprensione più profonda delle dinamiche di mercato e la capacità di rilevare e bloccare gli attacchi di phishing.
Insieme, i risultati indicano un futuro in cui exchange, wallet, regolatori e società di analisi blockchain trattano la prevenzione del phishing come un problema dinamico di gestione del rischio legato alle condizioni di mercato.
Questo dovrebbe anche essere importante ricordare a tutti gli utenti di criptovalute, che il percorso facile o una richiesta improvvisa di identificazione o password dovrebbe essere trattato con la massima sospetto, soprattutto durante i boom di mercato e i periodi di alta volatilità.
Studi Referenziati
1. Yuanyuan Zhang, et al. The interplay between crypto market conditions and phishing crimes: Ethereum under the microscope. International Review of Economics & Finance. Settembre 2026. Articolo: 105497. Volume 110. 10.1016/j.iref.2026.105497
2. Shikah J. Alsunaidi and Hamoud Aljamaan. Enhanced Phishing Transactions Detection on Ethereum Network with Tree-based Ensembles: An Empirical Study. Blockchain: Research and Applications. 12 Giugno 2026, 100506. https://doi.org/10.1016/j.bcra.2026.100506
