Ακόμα κι αν Web3 Οι ευαγγελιστές έχουν από καιρό διαφημίσει τα εγγενή χαρακτηριστικά ασφαλείας του blockchain, ο χείμαρρος των χρημάτων που ρέει στη βιομηχανία το καθιστά δελεαστική προοπτική για τους χάκερ, απατεώνες και κλέφτες.
Όταν οι κακοί ηθοποιοί καταφέρνουν να παραβιάσουν την κυβερνοασφάλεια του Web3, συχνά οφείλεται στο ότι οι χρήστες παραβλέπουν τις πιο συνηθισμένες απειλές της ανθρώπινης απληστίας, του FOMO και της άγνοιας, παρά λόγω ελαττωμάτων στην τεχνολογία.
Πολλές απάτες υπόσχονται μεγάλες αποδόσεις, επενδύσεις ή αποκλειστικά προνόμια. η FTC ονομάζει αυτές τις ευκαιρίες δημιουργίας χρημάτων και επενδύσεις απάτες.
Μεγάλα χρήματα σε απάτες
Σύμφωνα με την 2022η Ιουνίου αναφέρουν από την Ομοσπονδιακή Επιτροπή Εμπορίου, έχουν κλαπεί πάνω από 1 δισεκατομμύριο δολάρια σε κρυπτονομίσματα από το 2021. Και οι χώροι κυνηγιού των χάκερ είναι όπου συγκεντρώνονται οι άνθρωποι στο διαδίκτυο.
«Σχεδόν οι μισοί άνθρωποι που ανέφεραν ότι έχασαν κρυπτογράφηση σε απάτη από το 2021 είπαν ότι ξεκίνησε με μια διαφήμιση, μια ανάρτηση ή ένα μήνυμα σε μια πλατφόρμα κοινωνικής δικτύωσης», ανέφερε η FTC.
Αν και οι δόλιες εμφανίσεις ακούγονται πολύ καλές για να είναι αληθινές, τα πιθανά θύματα μπορεί να αναστείλουν τη δυσπιστία δεδομένης της έντονης αστάθειας της αγοράς κρυπτονομισμάτων. οι άνθρωποι δεν θέλουν να χάσουν το επόμενο μεγάλο πράγμα.
Επιτιθέμενοι που στοχεύουν NFT
Μαζί με τα κρυπτονομίσματα, NFT, ή μη ανταλλάξιμα διακριτικά, έχουν γίνει ένα όλο και πιο δημοφιλές στόχος για απατεώνες? σύμφωνα με την εταιρεία κυβερνοασφάλειας Web3 Εργαστήρια TRM, τους δύο μήνες μετά τον Μάιο του 2022, η κοινότητα NFT έχασε περίπου 22 εκατομμύρια δολάρια από απάτες και επιθέσεις phishing.
Συλλογές “Blue-chip” όπως π.χ Bored Ape Yacht Club (BAYC) είναι ένας ιδιαίτερα σημαντικός στόχος. Τον Απρίλιο του 2022, ο λογαριασμός BAYC στο Instagram ήταν hacked από απατεώνες που παρέσυραν τα θύματα σε έναν ιστότοπο που αποστράγγιζε τα πορτοφόλια τους Ethereum από κρυπτονομίσματα και NFT. Περίπου 91 NFT, συνολικής αξίας άνω των 2.8 εκατομμυρίων δολαρίων, κλάπηκαν. Μήνες αργότερα, α Εκμετάλλευση της διχόνοιας είδαν NFT αξίας 200 ETH να κλέβονται από χρήστες.
Οι υψηλού προφίλ κάτοχοι BAYC έχουν πέσει θύματα απάτης, επίσης. Στις 17 Μαΐου, ηθοποιός και παραγωγός Seth Πράσινη έγραψε στο Twitter ότι έπεσε θύμα απάτης phishing με αποτέλεσμα την κλοπή τεσσάρων NFT, συμπεριλαμβανομένου του Bored Ape #8398. Εκτός από την επισήμανση της απειλής από επιθέσεις phishing, θα μπορούσε να έχει εκτροχιάσει μια τηλεοπτική εκπομπή με θέμα το NFT που σχεδίαζε ο Green, "White Horse Tavern". Οι NFT της BAYC περιλαμβάνουν δικαιώματα άδειας χρήσης του NFT για εμπορικούς σκοπούς, όπως στην περίπτωση του Βαριέμαι & Πεινασμένοι εστιατόριο γρήγορου φαγητού στο Λονγκ Μπιτς, Καλιφόρνια.
Νόμιζα ότι έκοβα κλωνοποίηση GutterCat- ο σύνδεσμος ψαρέματος φαινόταν καθαρός
— Seth Green (@SethGreen) 17 Μαΐου 2022
Κατά τη διάρκεια μιας συνεδρίας του Twitter Spaces στις 9 Ιουνίου, Πράσινο είπε ότι είχε ανακτήσει το κλεμμένο JPEG αφού πλήρωσε 165 ETH (περισσότερα από 295,000 $ εκείνη τη στιγμή) σε ένα άτομο που είχε αγοράσει το NFT μετά την κλοπή του.
«Το phishing εξακολουθεί να είναι ο πρώτος φορέας επίθεσης», λέει ο Luis Lubeck, μηχανικός ασφαλείας στην εταιρεία κυβερνοασφάλειας Web3, Χάλμπορν, είπε στους Αποκρυπτογράφηση.
Ο Lubeck λέει ότι οι χρήστες πρέπει να γνωρίζουν ψεύτικους ιστότοπους που ζητούν διαπιστευτήρια πορτοφολιού, κλωνοποιημένους συνδέσμους και πλαστά έργα.
Σύμφωνα με τον Lubeck, μια απάτη ηλεκτρονικού "ψαρέματος" μπορεί να ξεκινήσει με την κοινωνική μηχανική, ενημερώνοντας τον χρήστη για μια πρώιμη κυκλοφορία διακριτικού ή ότι θα 100 φορές τα χρήματά του, ένα χαμηλό API ή ότι ο λογαριασμός του έχει παραβιαστεί και απαιτεί αλλαγή κωδικού πρόσβασης. Αυτά τα μηνύματα έρχονται συνήθως με περιορισμένο χρόνο δράσης, αυξάνοντας περαιτέρω τον φόβο του χρήστη να χάσει, γνωστό και ως FOMO.
Στην περίπτωση του Green, η επίθεση phishing ήρθε μέσω κλωνοποιημένου συνδέσμου.
Νόμιζα ότι έκοβα κλωνοποίηση GutterCat- ο σύνδεσμος ψαρέματος φαινόταν καθαρός
— Seth Green (@SethGreen) 17 Μαΐου 2022
Το "ψάρεμα κλώνων" είναι μια επίθεση όπου ένας απατεώνας παίρνει έναν ιστότοπο, ένα email ή ακόμα και έναν απλό σύνδεσμο και δημιουργεί ένα σχεδόν τέλειο αντίγραφο που φαίνεται νόμιμο. Ο Γκριν σκέφτηκε ότι έφτιαχνε κλώνους "GutterCat" χρησιμοποιώντας αυτό που αποδείχθηκε ότι ήταν ένας ιστότοπος phishing.
Όταν ο Green συνέδεσε το πορτοφόλι του με τον ιστότοπο phishing και υπέγραψε τη συναλλαγή για την κοπή του NFT, έδωσε στους χάκερ πρόσβαση στα ιδιωτικά του κλειδιά και, με τη σειρά τους, στους Bored Apes του.
Τύποι κυβερνοεπιθέσεων
Οι παραβιάσεις ασφαλείας μπορούν να επηρεάσουν τόσο εταιρείες όσο και ιδιώτες. Αν και δεν είναι πλήρης λίστα, οι κυβερνοεπιθέσεις που στοχεύουν το Web3 συνήθως εμπίπτουν στις ακόλουθες κατηγορίες:
- ? Phishing: Μία από τις παλαιότερες αλλά και πιο κοινές μορφές κυβερνοεπιθέσεων, οι επιθέσεις phishing έρχονται συνήθως με τη μορφή email και περιλαμβάνουν την αποστολή δόλιας επικοινωνίας, όπως κείμενα και μηνύματα στα μέσα κοινωνικής δικτύωσης που φαίνεται να προέρχονται από αξιόπιστη πηγή. Αυτό εγκλήματος στον κυβερνοχώρο μπορεί επίσης να λάβει τη μορφή ενός παραβιασμένου ή κακόβουλα κωδικοποιημένου ιστότοπου που μπορεί να αποστραγγίσει το crypto ή το NFT από ένα συνδεδεμένο πορτοφόλι που βασίζεται σε πρόγραμμα περιήγησης μόλις συνδεθεί ένα κρυπτογραφικό πορτοφόλι.
- ?☠️ malware: Συντομογραφία του κακόβουλου λογισμικού, αυτός ο γενικός όρος καλύπτει οποιοδήποτε πρόγραμμα ή κώδικα επιβλαβές για τα συστήματα. Το κακόβουλο λογισμικό μπορεί να εισέλθει σε ένα σύστημα μέσω email, μηνυμάτων και μηνυμάτων ηλεκτρονικού ψαρέματος.
- ? Παραβιασμένοι ιστότοποι: Αυτοί οι νόμιμοι ιστότοποι παραβιάζονται από εγκληματίες και χρησιμοποιούνται για την αποθήκευση κακόβουλου λογισμικού που κατεβάζουν ανυποψίαστοι χρήστες μόλις κάνουν κλικ σε έναν σύνδεσμο, μια εικόνα ή ένα αρχείο.
- ? Παραπλάνηση URL: Αποσυνδέστε παραβιασμένους ιστότοπους. Οι πλαστογραφημένοι ιστότοποι είναι κακόβουλοι ιστότοποι που είναι κλώνοι νόμιμων ιστότοπων. Γνωστό και ως URL Phishing, αυτοί οι ιστότοποι μπορούν να συλλέξουν ονόματα χρήστη, κωδικούς πρόσβασης, πιστωτικές κάρτες, κρυπτονομίσματα και άλλες προσωπικές πληροφορίες.
- ? Ψεύτικες επεκτάσεις προγράμματος περιήγησης: Όπως υποδηλώνει το όνομα, αυτά τα exploits χρησιμοποιούν ψεύτικες επεκτάσεις προγράμματος περιήγησης για να εξαπατήσουν τους χρήστες κρυπτογράφησης να εισαγάγουν τα διαπιστευτήρια ή τα κλειδιά τους σε μια επέκταση που δίνει στον κυβερνοεγκληματία πρόσβαση στα δεδομένα.
Αυτές οι επιθέσεις συνήθως στοχεύουν στην πρόσβαση, την κλοπή και την καταστροφή ευαίσθητων πληροφοριών ή, στην περίπτωση του Green, ενός Bored Ape NFT.
Τι μπορείτε να κάνετε για να προστατεύσετε τον εαυτό σας;
Ο Lubeck λέει ότι ο καλύτερος τρόπος για να προστατευτείτε από το phishing είναι να μην απαντάτε ποτέ σε μήνυμα ηλεκτρονικού ταχυδρομείου, SMS, Telegram, Discord ή WhatsApp από άγνωστο άτομο, εταιρεία ή λογαριασμό. «Θα προχωρήσω περισσότερο από αυτό», πρόσθεσε ο Λούμπεκ. "Μην εισάγετε ποτέ διαπιστευτήρια ή προσωπικά στοιχεία εάν ο χρήστης δεν ξεκίνησε την επικοινωνία."
Ο Lubeck συνιστά να μην εισάγετε τα διαπιστευτήριά σας ή τα προσωπικά σας στοιχεία όταν χρησιμοποιείτε δημόσιο ή κοινόχρηστο WiFi ή δίκτυα. Επιπλέον, λέει ο Λούμπεκ Αποκρυπτογράφηση ότι οι άνθρωποι δεν πρέπει να έχουν ψευδή αίσθηση ασφάλειας επειδή χρησιμοποιούν συγκεκριμένο λειτουργικό σύστημα ή τύπο τηλεφώνου.
«Όταν μιλάμε για τέτοιου είδους απάτες: phishing, πλαστοπροσωπία ιστοσελίδων, δεν έχει σημασία αν χρησιμοποιείτε iPhone, Linux, Mac, iOS, Windows ή Chromebook», λέει. «Ονομάστε τη συσκευή. το πρόβλημα είναι ο ιστότοπος, όχι η συσκευή σας."
Διατηρήστε τα κρυπτονομίσματα και τα NFT σας ασφαλή
Ας δούμε ένα πιο «Web3» σχέδιο δράσης.
Όταν είναι δυνατόν, χρησιμοποιήστε υλικό ή διάκενο αέρα πορτοφόλια για την αποθήκευση ψηφιακών στοιχείων. Αυτές οι συσκευές, που μερικές φορές περιγράφονται ως «ψυχρή αποθήκευση», αφαιρούν την κρυπτογράφηση σας από το διαδίκτυο μέχρι να είστε έτοιμοι να το χρησιμοποιήσετε. Ενώ είναι συνηθισμένο και βολικό να χρησιμοποιείτε πορτοφόλια που βασίζονται σε πρόγραμμα περιήγησης όπως π.χ MetaMask, θυμηθείτε, οτιδήποτε είναι συνδεδεμένο στο διαδίκτυο έχει τη δυνατότητα να παραβιαστεί.
Εάν χρησιμοποιείτε πορτοφόλι κινητού, προγράμματος περιήγησης ή επιτραπέζιου υπολογιστή, γνωστό και ως hot wallet, πραγματοποιήστε λήψη τους από επίσημες πλατφόρμες όπως το Google Play Store, το App Store της Apple ή επαληθευμένους ιστότοπους. Ποτέ μην κάνετε λήψη από συνδέσμους που αποστέλλονται μέσω κειμένου ή email. Παρόλο που οι κακόβουλες εφαρμογές μπορούν να βρουν το δρόμο τους στα επίσημα καταστήματα, είναι πιο ασφαλές από τη χρήση συνδέσμων.
Αφού ολοκληρώσετε τη συναλλαγή σας, αποσυνδέστε το πορτοφόλι από τον ιστότοπο.
Φροντίστε να διατηρήσετε ιδιωτικά τα ιδιωτικά κλειδιά, τις βασικές φράσεις και τους κωδικούς πρόσβασης. Εάν σας ζητηθεί να μοιραστείτε αυτές τις πληροφορίες για να συμμετάσχετε σε μια επένδυση ή μια κοπή, είναι απάτη.
Επενδύστε μόνο σε έργα που καταλαβαίνετε. Εάν δεν είναι σαφές πώς λειτουργεί το σχήμα, σταματήστε και κάντε περισσότερη έρευνα.
Αγνοήστε τις τακτικές υψηλής πίεσης και τις στενές προθεσμίες. Συχνά, οι απατεώνες θα το χρησιμοποιήσουν για να προσπαθήσουν να επικαλεστούν το FOMO και να κάνουν τα πιθανά θύματα να μην σκέφτονται ή να κάνουν έρευνα για αυτό που τους λένε.
Τελευταίο αλλά εξίσου σημαντικό, αν ακούγεται πολύ καλό για να είναι αληθινό, μάλλον πρόκειται για απάτη.
Μείνετε ενημερωμένοι για τα νέα κρυπτογράφησης, λάβετε καθημερινές ενημερώσεις στα εισερχόμενά σας.
Πηγή: https://decrypt.co/resources/cybersecurity-in-web3-protecting-yourself-and-your-ape-jpeg