Στον κόσμο των κρυπτονομισμάτων, της αποκεντρωμένης χρηματοδότησης (defi) και του Web3, τα airdrops έχουν γίνει συνηθισμένα στον κλάδο. Ωστόσο, ενώ τα airdrops ακούγονται σαν δωρεάν χρήματα, υπάρχει μια αυξανόμενη τάση για απάτες phishing airdrop που κλέβουν τα χρήματα των ανθρώπων όταν προσπαθούν να αποκτήσουν τα λεγόμενα «δωρεάν» περιουσιακά στοιχεία κρυπτογράφησης. Ακολουθεί μια ματιά σε δύο διαφορετικούς τρόπους με τους οποίους οι εισβολείς χρησιμοποιούν απάτες airdrop phishing για να κλέψουν χρήματα και πώς μπορείτε να προστατευθείτε.
Τα Airdrops δεν σημαίνουν πάντα «δωρεάν κρυπτογράφηση» — Πολλές προσφορές δώρων Airdrop θέλουν να σας ληστέψουν
Τα Airdrops είναι συνώνυμα με τα δωρεάν κεφάλαια κρυπτογράφησης, τόσο πολύ που έχει γίνει διαδεδομένη μια αυξανόμενη απάτη κρυπτογράφησης που ονομάζεται airdrop phishing. Εάν συμμετέχετε στην κοινότητα κρυπτογράφησης και χρησιμοποιείτε πλατφόρμες μέσων κοινωνικής δικτύωσης όπως το Twitter ή το Facebook, πιθανότατα έχετε δει μια σειρά από ανεπιθύμητες αναρτήσεις που διαφημίζουν airdrops κάθε είδους.
Συνήθως, ένας δημοφιλής λογαριασμός κρυπτογράφησης Twitter κάνει ένα tweet και ακολουθείται από ένα πλήθος απατεώνων που διαφημίζουν απόπειρες phishing με airdrop και πολλούς λογαριασμούς που λένε ότι έχουν λάβει δωρεάν χρήματα. Οι περισσότεροι άνθρωποι δεν θα υποκύψουν σε αυτές τις απάτες airdrop, αλλά επειδή τα airdrops θεωρούνται δωρεάν κρυπτογράφηση, υπάρχουν πολλοί άνθρωποι που έχασαν χρήματα πέφτοντας θύματα αυτού του τύπου επιθέσεων.
Η πρώτη επίθεση χρησιμοποιεί την ίδια μέθοδο διαφήμισης στα μέσα κοινωνικής δικτύωσης, καθώς ένας αριθμός ατόμων ή ρομπότ δημιουργεί έναν σύνδεσμο που οδηγεί στην ιστοσελίδα απάτης ηλεκτρονικού ψαρέματος airdrop. Ο ύποπτος ιστότοπος μπορεί να φαίνεται πολύ νόμιμος και ακόμη και να αντιγράφει ορισμένα από τα στοιχεία από δημοφιλή έργα Web3, αλλά τελικά, οι απατεώνες προσπαθούν να κλέψουν χρήματα. Η δωρεάν απάτη airdrop θα μπορούσε να είναι ένα άγνωστο διακριτικό κρυπτογράφησης ή θα μπορούσε επίσης να είναι ένα δημοφιλές υπάρχον ψηφιακό περιουσιακό στοιχείο όπως BTC, ETH, SHIB, DOGE και πολλά άλλα.
Η πρώτη επίθεση συνήθως δείχνει ότι το airdrop είναι εισπρακτέο, αλλά το άτομο πρέπει να χρησιμοποιήσει ένα συμβατό πορτοφόλι Web3 για να ανακτήσει τα λεγόμενα «δωρεάν» χρήματα. Ο ιστότοπος θα οδηγήσει σε μια σελίδα που εμφανίζει όλα τα δημοφιλή πορτοφόλια Web3, όπως το Metamask και άλλα, αλλά αυτή τη φορά, όταν κάνετε κλικ στον σύνδεσμο του πορτοφολιού, θα εμφανιστεί ένα σφάλμα και ο ιστότοπος θα ζητήσει από τον χρήστη τη φράση του πορτοφολιού.
Για να λάβετε υποστήριξη, ανοίξτε το MetaMask και μεταβείτε στην ενότητα "Υποστήριξη" ή "Λήψη βοήθειας" στο αναπτυσσόμενο μενού. Μην εμπιστεύεστε κανέναν που σας έχει στείλει άμεσο μήνυμα. ΣΕ ΚΑΜΙΑ ΠΕΡΙΠΤΩΣΗ δεν πρέπει ποτέ να δώσετε τη φράση μυστικής ανάκτησης σε κανέναν ή να την εισάγετε σε οποιονδήποτε ιστότοπο!
— Υποστήριξη MetaMask (@MetaMaskSupport) Απρίλιος 29, 2022
Εδώ είναι που τα πράγματα γίνονται σκοτεινά, επειδή ένα πορτοφόλι Web3 δεν θα ζητήσει ποτέ τη μνημονική φράση 12-24, εκτός εάν ο χρήστης επαναφέρει ενεργά ένα πορτοφόλι. Ωστόσο, οι ανυποψίαστοι χρήστες απάτης ηλεκτρονικού ψαρέματος του airdrop μπορεί να πιστέψουν ότι το σφάλμα είναι νόμιμο και να εισαγάγουν τη βάση τους στην ιστοσελίδα, κάτι που τελικά οδηγεί στην απώλεια όλων των χρημάτων που είναι αποθηκευμένα στο πορτοφόλι.
Βασικά, ο χρήστης απλώς έδωσε τα ιδιωτικά κλειδιά στους εισβολείς πέφτοντας στη σελίδα σφάλματος του πορτοφολιού Web3 ζητώντας μια μνημονική φράση. Ένα άτομο δεν πρέπει ποτέ να εισαγάγει τη φράση σποράς ή μνημονικής φράσης 12-24, εάν ζητηθεί από μια άγνωστη πηγή, και εκτός και αν χρειαστεί να επαναφέρετε ένα πορτοφόλι, δεν υπάρχει πραγματικά ποτέ ανάγκη να εισαγάγετε μια αρχική φράση στο διαδίκτυο.
Το να δώσουμε δικαιώματα σε Shady Dapp δεν είναι η καλύτερη ιδέα
Η δεύτερη επίθεση είναι λίγο πιο δύσκολη και ο εισβολέας χρησιμοποιεί τις τεχνικές λεπτομέρειες του κώδικα για να ληστέψει τον χρήστη του πορτοφολιού Web3. Ομοίως, η απάτη ηλεκτρονικού "ψαρέματος" του airdrop θα διαφημιστεί στα μέσα κοινωνικής δικτύωσης, αλλά αυτή τη φορά όταν το άτομο επισκέπτεται την διαδικτυακή πύλη, μπορεί να χρησιμοποιήσει το πορτοφόλι του Web3 για να «συνδεθεί» στον ιστότοπο.
Ωστόσο, ο εισβολέας έχει γράψει τον κώδικα με τρόπο που τον κάνει έτσι ώστε αντί να δίνει στον ιστότοπο πρόσβαση ανάγνωσης στα υπόλοιπα, ο χρήστης δίνει τελικά την πλήρη άδεια στον ιστότοπο να κλέψει τα χρήματα στο πορτοφόλι Web3. Αυτό μπορεί να συμβεί απλά συνδέοντας ένα πορτοφόλι Web3 σε έναν ιστότοπο απάτης και δίνοντάς του δικαιώματα. Η επίθεση μπορεί να αποφευχθεί απλώς με το να μην συνδεθείτε στον ιστότοπο και να απομακρυνθείτε, αλλά υπάρχουν πολλοί άνθρωποι που έχουν πέσει σε αυτήν την επίθεση phishing.
Εδώ είναι η πιο πρόσφατη απάτη ηλεκτρονικού ψαρέματος
1️⃣ Ρίξτε ένα κουπόνι
2️⃣ Φτιάξτε έναν ιστότοπο με το ίδιο όνομα ώστε να τον βρίσκετε εύκολα
3️⃣ Όταν βρείτε τι φαίνεται να ποντάρει για αυτό το διακριτικό, το Έγκριση txn δίνει απεριόριστη δαπάνη άλλων διακριτικών (π.χ. SNX)Στη συνέχεια, αδειάζουν το πορτοφόλι σας από το κουπόνι. pic.twitter.com/viCIeC5rGk
- DeFi Dad ⟠ defidad.eth (@DeFi_Dad) Δεκέμβριος 20, 2021
Ένας άλλος τρόπος για να ασφαλίσετε ένα πορτοφόλι είναι να βεβαιωθείτε ότι τα δικαιώματα Web3 του πορτοφολιού είναι συνδεδεμένα με τοποθεσίες που εμπιστεύεται ο χρήστης. Εάν υπάρχουν αποκεντρωμένες εφαρμογές (dapps) που φαίνονται σκιερές, οι χρήστες θα πρέπει να αφαιρέσουν τις άδειες εάν συνδέθηκαν κατά λάθος στο dapp πέφτοντας στην «δωρεάν» απάτη κρυπτογράφησης. Ωστόσο, συνήθως, είναι πολύ αργά και μόλις το dapp έχει άδεια πρόσβασης στα κεφάλαια του πορτοφολιού, το κρυπτογράφημα κλέβεται από τον χρήστη μέσω της κακόβουλης κωδικοποίησης που εφαρμόζεται στο dapp.
Ο καλύτερος τρόπος για να προστατευτείτε από τις δύο επιθέσεις που αναφέρθηκαν παραπάνω είναι να μην εισάγετε ποτέ τη φράση σας στο διαδίκτυο, εκτός εάν επαναφέρετε σκόπιμα ένα πορτοφόλι. Εκτός από αυτό, είναι επίσης καλή μορφή να μην συνδέεστε ποτέ ή να δίνετε δικαιώματα πορτοφολιού Web3 σε σκιερούς ιστότοπους και εφαρμογές Web3 που δεν είστε εξοικειωμένοι με τη χρήση. Αυτές οι δύο επιθέσεις μπορεί να προκαλέσουν μεγάλες απώλειες σε ανυποψίαστους επενδυτές, εάν δεν προσέξουν την τρέχουσα τάση phishing του airdrop.
Γνωρίζετε κάποιον που έχει πέσει θύμα αυτού του είδους απάτης phishing; Πώς εντοπίζετε τις απόπειρες phishing κρυπτογράφησης; Πείτε μας τις σκέψεις σας στα σχόλια.
Εικόνες Credits: Shutterstock, Pixabay, Wiki Commons
Αποποίηση ευθυνών: Αυτό το άρθρο προορίζεται μόνο για ενημερωτικούς σκοπούς. Δεν είναι μια άμεση προσφορά ή πρόσκληση μιας προσφοράς για αγορά ή πώληση, ή μια σύσταση ή έγκριση οποιωνδήποτε προϊόντων, υπηρεσιών ή εταιρειών. Bitcoin.com δεν παρέχει επενδυτικές, φορολογικές, νομικές ή λογιστικές συμβουλές. Ούτε η εταιρεία ούτε ο δημιουργός ευθύνονται, άμεσα ή έμμεσα, για οποιαδήποτε ζημία ή απώλεια που προκλήθηκε ή φέρεται ότι προκλήθηκε από ή σε σχέση με τη χρήση ή την εξάρτηση από οποιοδήποτε περιεχόμενο, αγαθά ή υπηρεσίες που αναφέρονται στο παρόν άρθρο.
Πηγή: https://news.bitcoin.com/the-2-most-common-airdrop-phishing-attacks-and-how-web3-wallet-owners-can-stay-protected/