Στον γρήγορο και συνεχώς εξελισσόμενο κόσμο των κρυπτονομισμάτων, όπου ανταλλάσσονται ψηφιακά περιουσιακά στοιχεία και μπορούν να γίνουν περιουσίες, ένας υποβόσκιμος κίνδυνος απειλεί την ασφάλεια τόσο των έμπειρων επενδυτών όσο και των νεοφερμένων: απάτες κρυπτογράφησης phishing.
Αυτά τα συστήματα έχουν σχεδιαστεί για να εκμεταλλεύονται την εμπιστοσύνη και την ευπάθεια των ατόμων, με στόχο να τα εξαπατήσουν ώστε να αποκαλύψουν τις ευαίσθητες πληροφορίες τους ή ακόμα και να αποχωριστούν τα κρυπτονομίσματα που κερδίζουν με κόπο.
Καθώς η δημοτικότητα των κρυπτονομισμάτων συνεχίζει να αυξάνεται, αυξάνεται και η πολυπλοκότητα των τεχνικών phishing που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου. Από την πλαστοπροσωπία νόμιμων ανταλλαγών και πορτοφολιών μέχρι τη δημιουργία συναρπαστικών τακτικών κοινωνικής μηχανικής, αυτοί οι απατεώνες δεν σταματούν τίποτα για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στα ψηφιακά σας στοιχεία.
Οι κακόβουλοι παράγοντες χρησιμοποιούν διαφορετικές μεθόδους κοινωνικής μηχανικής για να στοχοποιήσουν τα θύματά τους. Με τις τακτικές κοινωνικής μηχανικής, οι απατεώνες χειραγωγούν τα συναισθήματα των χρηστών και δημιουργούν μια αίσθηση εμπιστοσύνης και επείγουσας ανάγκης.
Ο Eric Parker, Διευθύνων Σύμβουλος και συνιδρυτής του Giddy - ενός έξυπνου πορτοφολιού πορτοφολιού χωρίς κράτηση - είπε στην Cointelegraph: «Σας επικοινώνησε κάποιος χωρίς να το ρωτήσετε; Αυτός είναι ένας από τους μεγαλύτερους εμπειρικούς κανόνες που μπορείτε να χρησιμοποιήσετε. Η εξυπηρέτηση πελατών σπάνια, έως ποτέ, επικοινωνεί προληπτικά μαζί σας, επομένως θα πρέπει πάντα να είστε καχύποπτοι για τα μηνύματα που λένε ότι πρέπει να προβείτε σε ενέργειες στον λογαριασμό σας."
«Η ίδια ιδέα με τα δωρεάν χρήματα: Αν κάποιος σας στέλνει μηνύματα επειδή θέλει να σας δώσει δωρεάν χρήματα, είναι πιθανό, όχι αληθινό. Να είστε επιφυλακτικοί με οποιοδήποτε μήνυμα που αισθάνεται πολύ καλό για να είναι αληθινό ή σας δίνει μια άμεση αίσθηση επείγοντος ή φόβου για να σας κάνει να ενεργήσετε γρήγορα».
Απάτες μέσω email και μηνυμάτων
Μια κοινή τεχνική που χρησιμοποιείται σε απάτες phishing κρυπτογράφησης είναι η πλαστοπροσωπία αξιόπιστων οντοτήτων, όπως τα ανταλλακτήρια κρυπτονομισμάτων ή οι πάροχοι πορτοφολιών. Οι απατεώνες στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου ή μηνύματα που φαίνεται να προέρχονται από αυτούς τους νόμιμους οργανισμούς, χρησιμοποιώντας παρόμοια επωνυμία, λογότυπα και διευθύνσεις ηλεκτρονικού ταχυδρομείου. Στόχος τους είναι να εξαπατήσουν τους παραλήπτες ώστε να πιστέψουν ότι η επικοινωνία προέρχεται από αξιόπιστη πηγή.
Για να επιτευχθεί αυτό, οι απατεώνες μπορούν να χρησιμοποιήσουν τεχνικές όπως η πλαστογράφηση email, όπου παραποιούν τη διεύθυνση email του αποστολέα για να φαίνεται σαν να προέρχεται από νόμιμο οργανισμό. Μπορούν επίσης να χρησιμοποιήσουν τακτικές κοινωνικής μηχανικής για να εξατομικεύσουν τα μηνύματα και να τα κάνουν να φαίνονται πιο αυθεντικά. Μιμούμενοι αξιόπιστες οντότητες, οι απατεώνες εκμεταλλεύονται την εμπιστοσύνη και την αξιοπιστία που σχετίζονται με αυτούς τους οργανισμούς για να εξαπατήσουν τους χρήστες να προβούν σε ενέργειες που θέτουν σε κίνδυνο την ασφάλειά τους.
Ψεύτικα αιτήματα υποστήριξης
Οι απατεώνες Crypto phishing συχνά παρουσιάζονται ως εκπρόσωποι υποστήριξης πελατών νόμιμων ανταλλακτηρίων κρυπτονομισμάτων ή παρόχων πορτοφολιών. Στέλνουν email ή μηνύματα σε ανυποψίαστους χρήστες, διεκδικώντας ένα πρόβλημα με τον λογαριασμό τους ή μια εκκρεμή συναλλαγή που απαιτεί άμεση προσοχή.
Οι απατεώνες παρέχουν μια μέθοδο επικοινωνίας ή έναν σύνδεσμο προς έναν ψεύτικο ιστότοπο υποστήριξης όπου ζητείται από τους χρήστες να εισαγάγουν τα διαπιστευτήρια σύνδεσής τους ή άλλες ευαίσθητες πληροφορίες.
Ο Omri Lahav, Διευθύνων Σύμβουλος και συνιδρυτής του Blockfence - μια επέκταση προγράμματος περιήγησης κρυπτογράφησης - είπε στην Cointelegraph, «Είναι σημαντικό να θυμάστε ότι εάν κάποιος σας στείλει ένα μήνυμα ή ένα email αυτόκλητα, πιθανότατα θέλει κάτι από εσάς. Αυτοί οι σύνδεσμοι και τα συνημμένα μπορεί να περιέχουν κακόβουλο λογισμικό που έχει σχεδιαστεί για να κλέψει τα κλειδιά σας ή να αποκτήσει πρόσβαση στα συστήματά σας», συνεχίζοντας:
«Επιπλέον, μπορούν να σας ανακατευθύνουν σε ιστότοπους phishing. Επαληθεύετε πάντα την ταυτότητα του αποστολέα και τη νομιμότητα του email για να διασφαλίσετε την ασφάλεια. Αποφύγετε να κάνετε απευθείας κλικ σε συνδέσμους. αντιγράψτε και επικολλήστε τη διεύθυνση URL στο πρόγραμμα περιήγησής σας, ελέγχοντας προσεκτικά για τυχόν ορθογραφικές αποκλίσεις στο όνομα τομέα."
Μιμούμενοι το προσωπικό υποστήριξης, οι απατεώνες εκμεταλλεύονται την εμπιστοσύνη των χρηστών στα νόμιμα κανάλια υποστήριξης πελατών. Επιπλέον, κυνηγούν την επιθυμία γρήγορης επίλυσης προβλημάτων, οδηγώντας τους χρήστες να αποκαλύπτουν πρόθυμα τις προσωπικές τους πληροφορίες, τις οποίες οι απατεώνες μπορούν να χρησιμοποιήσουν αργότερα για κακόβουλους σκοπούς.
Ψεύτικοι ιστότοποι και κλωνοποιημένες πλατφόρμες
Οι κακόβουλοι παράγοντες μπορούν επίσης να δημιουργήσουν ψεύτικους ιστότοπους και πλατφόρμες για να δελεάσουν ανυποψίαστους χρήστες.
Η πλαστογράφηση ονομάτων τομέα είναι μια τεχνική όπου οι απατεώνες καταχωρούν ονόματα τομέα που μοιάζουν πολύ με τα ονόματα νόμιμων ανταλλακτηρίων κρυπτονομισμάτων ή παρόχων πορτοφολιών. Για παράδειγμα, μπορεί να καταχωρίσουν έναν τομέα όπως "exchnage.com" αντί για "exchange.com" ή "myethwallet" αντί για "myetherwallet". Δυστυχώς, αυτές οι μικρές παραλλαγές μπορούν εύκολα να παραβλεφθούν από ανυποψίαστους χρήστες.
Ο Lahav είπε ότι οι χρήστες θα πρέπει να «επαληθεύσουν εάν ο εν λόγω ιστότοπος είναι αξιόπιστος και γνωστός».
Πρόσφατα: Το Bitcoin βρίσκεται σε τροχιά σύγκρουσης με υποσχέσεις «Net Zero».
«Ο έλεγχος της σωστής ορθογραφίας της διεύθυνσης URL είναι επίσης ζωτικής σημασίας, καθώς οι κακόβουλοι παράγοντες δημιουργούν συχνά διευθύνσεις URL που μοιάζουν πολύ με εκείνες των νόμιμων ιστότοπων. Οι χρήστες θα πρέπει επίσης να είναι προσεκτικοί με τους ιστότοπους που ανακαλύπτουν μέσω των διαφημίσεων Google, καθώς ενδέχεται να μην κατατάσσονται οργανικά ψηλά στα αποτελέσματα αναζήτησης», είπε.
Οι απατεώνες χρησιμοποιούν αυτά τα πλαστά ονόματα τομέα για να δημιουργήσουν ιστότοπους που μιμούνται νόμιμες πλατφόρμες. Συχνά στέλνουν μηνύματα ηλεκτρονικού ψαρέματος ή μηνύματα που περιέχουν συνδέσμους σε αυτούς τους ψεύτικους ιστότοπους, εξαπατώντας τους χρήστες να πιστέψουν ότι έχουν πρόσβαση στην αυθεντική πλατφόρμα. Μόλις οι χρήστες εισαγάγουν τα διαπιστευτήρια σύνδεσής τους ή πραγματοποιήσουν συναλλαγές σε αυτούς τους ιστότοπους, οι απατεώνες συλλαμβάνουν τις ευαίσθητες πληροφορίες και τις εκμεταλλεύονται προς όφελός τους.
Κακόβουλο λογισμικό και εφαρμογές για κινητά
Οι χάκερ μπορούν επίσης να καταφύγουν στη χρήση κακόβουλου λογισμικού για να στοχεύσουν χρήστες. Τα keyloggers και η πειρατεία προχείρου είναι τεχνικές που χρησιμοποιούν οι απατεώνες crypto phishing για να κλέψουν ευαίσθητες πληροφορίες από τις συσκευές των χρηστών.
Τα Keyloggers είναι κακόβουλα προγράμματα λογισμικού που καταγράφουν κάθε πάτημα πλήκτρων που κάνει ένας χρήστης στη συσκευή του. Όταν οι χρήστες εισάγουν τα διαπιστευτήρια σύνδεσής τους ή τα ιδιωτικά κλειδιά τους, το keylogger καταγράφει αυτές τις πληροφορίες και τις στέλνει πίσω στους απατεώνες. Η πειρατεία του προχείρου περιλαμβάνει την υποκλοπή του περιεχομένου που έχει αντιγραφεί στο πρόχειρο της συσκευής.
Οι συναλλαγές σε κρυπτονομίσματα συχνά περιλαμβάνουν αντιγραφή και επικόλληση διευθύνσεων πορτοφολιού ή άλλων ευαίσθητων πληροφοριών. Οι απατεώνες χρησιμοποιούν κακόβουλο λογισμικό για να παρακολουθούν το πρόχειρο και να αντικαθιστούν τις νόμιμες διευθύνσεις πορτοφολιού με τις δικές τους. Όταν οι χρήστες επικολλούν τις πληροφορίες στο πεδίο που προορίζονται, στέλνουν εν αγνοία τους τα χρήματά τους στο πορτοφόλι του απατεώνα.
Πώς οι χρήστες μπορούν να παραμείνουν προστατευμένοι από απάτες κρυπτογράφησης phishing
Υπάρχουν βήματα που μπορούν να κάνουν οι χρήστες για να προστατευτούν κατά την πλοήγηση στον χώρο κρυπτογράφησης.
Η ενεργοποίηση του ελέγχου ταυτότητας δύο παραγόντων (2FA) είναι ένα εργαλείο που μπορεί να βοηθήσει στην προστασία λογαριασμών που σχετίζονται με κρυπτογράφηση από απάτες ηλεκτρονικού ψαρέματος.
Το 2FA προσθέτει ένα επιπλέον επίπεδο προστασίας απαιτώντας από τους χρήστες να παρέχουν μια δεύτερη μορφή επαλήθευσης, συνήθως έναν μοναδικό κωδικό που δημιουργείται στην κινητή συσκευή τους, εκτός από τον κωδικό πρόσβασής τους. Αυτό διασφαλίζει ότι ακόμη και αν οι εισβολείς αποκτήσουν τα διαπιστευτήρια σύνδεσης του χρήστη μέσω προσπαθειών phishing, εξακολουθούν να χρειάζονται τον δεύτερο παράγοντα (όπως έναν κωδικό πρόσβασης μιας χρήσης βάσει χρόνου) για να αποκτήσουν πρόσβαση.
Χρησιμοποιώντας συσκευές ελέγχου ταυτότητας που βασίζονται σε υλικό ή λογισμικό
Κατά τη ρύθμιση του 2FA, οι χρήστες θα πρέπει να εξετάσουν το ενδεχόμενο χρήσης συσκευών ελέγχου ταυτότητας που βασίζονται σε υλικό ή λογισμικό αντί να βασίζονται αποκλειστικά στον έλεγχο ταυτότητας που βασίζεται σε SMS. Το 2FA που βασίζεται σε SMS μπορεί να είναι ευάλωτο σε επιθέσεις ανταλλαγής SIM, όπου οι εισβολείς αναλαμβάνουν με δόλο τον έλεγχο του αριθμού τηλεφώνου του χρήστη.
Οι έλεγχοι ταυτότητας υλικού, όπως το YubiKey ή τα κλειδιά ασφαλείας, είναι φυσικές συσκευές που δημιουργούν κωδικούς πρόσβασης μίας χρήσης και παρέχουν ένα επιπλέον επίπεδο ασφάλειας. Οι συσκευές ελέγχου ταυτότητας που βασίζονται σε λογισμικό, όπως το Google Authenticator ή το Authy, δημιουργούν κωδικούς βάσει χρόνου στα smartphone των χρηστών. Αυτές οι μέθοδοι είναι πιο ασφαλείς από τον έλεγχο ταυτότητας που βασίζεται σε SMS, επειδή δεν είναι επιρρεπείς σε επιθέσεις ανταλλαγής SIM.
Επαληθεύστε την αυθεντικότητα του ιστότοπου
Για την προστασία από απάτες ηλεκτρονικού ψαρέματος, οι χρήστες θα πρέπει να αποφεύγουν να κάνουν κλικ σε συνδέσμους που παρέχονται σε μηνύματα ηλεκτρονικού ταχυδρομείου, μηνύματα ή άλλες μη επαληθευμένες πηγές. Αντίθετα, θα πρέπει να εισάγουν με μη αυτόματο τρόπο τις διευθύνσεις URL ιστότοπων των ανταλλακτηρίων κρυπτονομισμάτων τους, των πορτοφολιών ή οποιασδήποτε άλλης πλατφόρμας επιθυμούν να έχουν πρόσβαση.
Εισάγοντας με μη αυτόματο τρόπο τη διεύθυνση URL του ιστότοπου, οι χρήστες διασφαλίζουν ότι έχουν απευθείας πρόσβαση στον νόμιμο ιστότοπο αντί να ανακατευθύνονται σε έναν ψεύτικο ή κλωνοποιημένο ιστότοπο κάνοντας κλικ σε έναν σύνδεσμο ηλεκτρονικού ψαρέματος (phishing).
Να είστε προσεκτικοί με συνδέσμους και συνημμένα
Πριν κάνουν κλικ σε οποιονδήποτε σύνδεσμο, οι χρήστες θα πρέπει να τοποθετήσουν τον κέρσορα του ποντικιού πάνω τους για να προβάλουν τη διεύθυνση URL προορισμού στη γραμμή κατάστασης ή στην επεξήγηση εργαλείου του προγράμματος περιήγησης. Αυτό επιτρέπει στους χρήστες να επαληθεύουν τον πραγματικό προορισμό του συνδέσμου και να διασφαλίζουν ότι ταιριάζει με τον αναμενόμενο ιστότοπο.
Οι απατεώνες phishing συχνά συγκαλύπτουν συνδέσμους εμφανίζοντας διαφορετικό κείμενο διεύθυνσης URL από τον προορισμό. Τοποθετώντας το δείκτη του ποντικιού πάνω από τον σύνδεσμο, οι χρήστες μπορούν να εντοπίσουν ασυνέπειες και ύποπτες διευθύνσεις URL που μπορεί να υποδηλώνουν απόπειρα ηλεκτρονικού ψαρέματος.
Ο Parker εξήγησε στην Cointelegraph, «Είναι πολύ εύκολο να παραποιήσεις τον υποκείμενο σύνδεσμο σε ένα email. Ένας απατεώνας μπορεί να σας δείξει έναν σύνδεσμο στο κείμενο του email, αλλά να κάνει τον υποκείμενο υπερσύνδεσμο κάτι άλλο."
«Μια αγαπημένη απάτη μεταξύ των phishers κρυπτογράφησης είναι να αντιγράφουν τη διεπαφή χρήστη ενός αξιόπιστου ιστότοπου, αλλά να τοποθετούν τον κακόβουλο κώδικα για το τμήμα σύνδεσης ή το Wallet Connect, κάτι που έχει ως αποτέλεσμα κλεμμένους κωδικούς πρόσβασης ή, χειρότερα, κλεμμένες φράσεις αρχικής σελίδας. Επομένως, ελέγχετε πάντα τη διεύθυνση URL του ιστότοπου στον οποίο συνδέεστε ή με το οποίο συνδέετε το κρυπτοπορτοφόλι σας."
Σάρωση συνημμένων με λογισμικό προστασίας από ιούς
Οι χρήστες θα πρέπει να είναι προσεκτικοί κατά τη λήψη και το άνοιγμα συνημμένων, ειδικά από μη αξιόπιστες ή ύποπτες πηγές. Τα συνημμένα μπορεί να περιέχουν κακόβουλο λογισμικό, συμπεριλαμβανομένων keyloggers ή trojans, που μπορεί να θέσουν σε κίνδυνο την ασφάλεια της συσκευής ενός χρήστη και των λογαριασμών κρυπτονομισμάτων.
Για να μετριαστεί αυτός ο κίνδυνος, οι χρήστες θα πρέπει να σαρώσουν όλα τα συνημμένα με αξιόπιστο λογισμικό προστασίας από ιούς πριν τα ανοίξουν. Αυτό βοηθά στον εντοπισμό και την αφαίρεση τυχόν απειλών κακόβουλου λογισμικού, μειώνοντας τις πιθανότητες να πέσετε θύματα μιας επίθεσης phishing.
Διατηρήστε ενημερωμένα το λογισμικό και τις εφαρμογές
Η ενημέρωση των λειτουργικών συστημάτων, των προγραμμάτων περιήγησης ιστού, των συσκευών και άλλου λογισμικού είναι απαραίτητη για τη διατήρηση της ασφάλειας των συσκευών του χρήστη. Οι ενημερώσεις μπορεί να περιλαμβάνουν ενημερώσεις κώδικα ασφαλείας που αντιμετωπίζουν γνωστά τρωτά σημεία και προστατεύουν από αναδυόμενες απειλές.
Χρησιμοποιώντας αξιόπιστο λογισμικό ασφαλείας
Για να προσθέσετε ένα επιπλέον επίπεδο προστασίας από απάτες phishing και κακόβουλο λογισμικό, οι χρήστες θα πρέπει να εξετάσουν το ενδεχόμενο εγκατάστασης αξιόπιστου λογισμικού ασφαλείας στις συσκευές τους.
Το λογισμικό προστασίας από ιούς, κακόβουλο λογισμικό και λογισμικό προστασίας από το ηλεκτρονικό ψάρεμα μπορεί να βοηθήσει στον εντοπισμό και τον αποκλεισμό κακόβουλων απειλών, συμπεριλαμβανομένων των μηνυμάτων ηλεκτρονικού ψαρέματος, των ψεύτικων ιστοτόπων και των αρχείων που έχουν μολυνθεί από κακόβουλο λογισμικό.
Ενημερώνοντας τακτικά και εκτελώντας σαρώσεις ασφαλείας χρησιμοποιώντας αξιόπιστο λογισμικό, οι χρήστες μπορούν να ελαχιστοποιήσουν τον κίνδυνο να πέσουν θύματα απάτης ηλεκτρονικού ψαρέματος και να εξασφαλίσουν τη συνολική ασφάλεια των συσκευών τους και τις δραστηριότητες που σχετίζονται με κρυπτονομίσματα.
Εκπαιδευτείτε και μείνετε ενημερωμένοι
Οι απάτες Crypto phishing εξελίσσονται συνεχώς και νέες τακτικές εμφανίζονται τακτικά. Οι χρήστες θα πρέπει να αναλάβουν την πρωτοβουλία να ενημερωθούν σχετικά με τις πιο πρόσφατες τεχνικές phishing και τις απάτες που στοχεύουν την κοινότητα των κρυπτονομισμάτων. Επιπλέον, μείνετε ενημερωμένοι ερευνώντας και διαβάζοντας για πρόσφατα περιστατικά phishing και βέλτιστες πρακτικές ασφάλειας.
Πρόσφατα: Τι είναι η ορθή χρήση; Το Ανώτατο Δικαστήριο των ΗΠΑ εξετάζει το δίλημμα πνευματικών δικαιωμάτων της τεχνητής νοημοσύνης
Για να παραμένουν ενημερωμένοι σχετικά με ειδήσεις που σχετίζονται με την ασφάλεια και να λαμβάνουν έγκαιρες προειδοποιήσεις σχετικά με απάτες ηλεκτρονικού ψαρέματος, οι χρήστες θα πρέπει να ακολουθούν αξιόπιστες πηγές στην κοινότητα κρυπτονομισμάτων. Αυτό μπορεί να περιλαμβάνει επίσημες ανακοινώσεις και λογαριασμούς μέσων κοινωνικής δικτύωσης ανταλλαγών κρυπτονομισμάτων, παρόχων πορτοφολιών και αξιόπιστων οργανισμών ασφάλειας στον κυβερνοχώρο.
Ακολουθώντας αξιόπιστες πηγές, οι χρήστες μπορούν να λαμβάνουν ακριβείς πληροφορίες και ειδοποιήσεις σχετικά με αναδυόμενες απάτες ηλεκτρονικού ψαρέματος, ευπάθειες ασφαλείας και βέλτιστες πρακτικές για την προστασία των περιουσιακών τους στοιχείων κρυπτογράφησης.
Πηγή: https://cointelegraph.com/news/crypto-phishing-scams-how-users-can-stay-protected