Vo svete kryptomien, decentralizovaných financií (defi) a Web3 sa airdrops stali v tomto odvetví samozrejmosťou. Avšak, zatiaľ čo airdrops znejú ako peniaze zadarmo, existuje rastúci trend airdrop phishingových podvodov, ktoré kradnú ľuďom peniaze, keď sa pokúšajú získať takzvané „bezplatné“ krypto aktíva. Nasleduje pohľad na dva rôzne spôsoby, akými útočníci používajú airdrop phishingové podvody na ukradnutie finančných prostriedkov a ako sa môžete chrániť.
Airdrops neznamená vždy „bezplatnú kryptomenu“ – veľa propagačných akcií Airdrop vás chce okradnúť
Airdrops boli synonymom bezplatných kryptofondov, a to natoľko, že prevládal rastúci kryptografický podvod nazývaný airdrop phishing. Ak ste účastníkom krypto komunity a používate platformy sociálnych médií ako Twitter alebo Facebook, pravdepodobne ste už videli množstvo spamových príspevkov, ktoré inzerujú airdrops všetkého druhu.
Obľúbený kryptoúčet na Twitteri zvyčajne odošle tweet a po ňom nasleduje množstvo podvodníkov inzerujúcich pokusy o phishing airdrop a množstvo účtov, ktoré hovoria, že dostali peniaze zadarmo. Väčšina ľudí týmto podvodom s airdropom nenaletí, ale keďže airdrops sa považuje za bezplatné kryptomeny, existuje veľa ľudí, ktorí prišli o finančné prostriedky tým, že sa stali obeťami týchto typov útokov.
Prvý útok využíva rovnakú reklamnú metódu na sociálnych médiách, pretože množstvo ľudí alebo robotov vytvorí odkaz, ktorý vedie na webovú stránku o phishingových podvodoch. Podozrivá webová stránka môže vyzerať veľmi legitímne a dokonca skopírovať niektoré prvky z populárnych projektov Web3, ale nakoniec sa podvodníci snažia ukradnúť finančné prostriedky. Bezplatným airdropovým podvodom môže byť neznámy kryptotoken, alebo môže ísť aj o populárne existujúce digitálne aktívum, napr. BTC, ETH, SHIB, DOGE a ďalšie.
Prvý útok zvyčajne ukazuje, že výsadok je prijatý, ale osoba musí použiť kompatibilnú peňaženku Web3 na získanie takzvaných „bezplatných“ prostriedkov. Webová stránka prejde na stránku, ktorá zobrazuje všetky populárne Web3 peňaženky, ako je Metamask a iné, ale tentoraz sa po kliknutí na odkaz peňaženky objaví chyba a stránka požiada používateľa o počiatočnú frázu.
Ak chcete získať podporu, otvorte MetaMask a v rozbaľovacej ponuke prejdite na „Podpora“ alebo „Získať pomoc“. Neverte nikomu, kto vám poslal priamu správu. ZA ŽIADNYCH OKOLNOSTÍ by ste nikdy nikomu nedali svoju tajnú frázu obnovenia ani ju nevkladali na žiadnu stránku!
— Podpora MetaMask (@MetaMaskSupport) Apríla 29, 2022
To je miesto, kde sa veci stávajú nejasnými, pretože peňaženka Web3 nikdy nebude žiadať o počiatočnú alebo mnemotechnickú frázu 12-24, pokiaľ používateľ peňaženku aktívne neobnovuje. Nič netušiaci používatelia airdrop phishingového podvodu si však môžu myslieť, že chyba je legitímna a zadajú svoj základ na webovú stránku, čo nakoniec vedie k strate všetkých prostriedkov uložených v peňaženke.
V podstate používateľ len dal privátne kľúče útočníkom tak, že prepadol na chybovú stránku peňaženky Web3 a požiadal o mnemotechnickú frázu. Osoba by nikdy nemala zadávať svoju počiatočnú alebo 12-24 mnemotechnickú frázu, ak ju k tomu vyzve neznámy zdroj, a pokiaľ nie je potrebné obnoviť peňaženku, skutočne nikdy nie je potrebné zadávať počiatočnú frázu online.
Poskytovanie povolení Shady Dapp nie je najlepší nápad
Druhý útok je o niečo zložitejší a útočník využíva technické aspekty kódu na okradnutie používateľa Web3 peňaženky. Podobne, airdrop phishingový podvod bude inzerovaný na sociálnych médiách, ale tentoraz, keď osoba navštívi webový portál, môže použiť svoju Web3 peňaženku na „pripojenie“ k stránke.
Útočník však kód napísal tak, že namiesto toho, aby dal stránke prístup k zostatkom na čítanie, používateľ v konečnom dôsledku dáva stránke plné povolenie ukradnúť prostriedky v peňaženke Web3. To sa môže stať jednoduchým pripojením peňaženky Web3 k podvodnej stránke a udelením povolenia. Útoku sa dá vyhnúť tak, že sa jednoducho nepripojíte na stránku a odídete, ale existuje veľa ľudí, ktorí tomuto phishingovému útoku prepadli.
Tu je najnovší phishingový podvod
1️⃣ Vypustite token
2️⃣ Vytvorte si webovú stránku s rovnakým názvom, aby sa dala ľahko nájsť
3️⃣ Keď zistíte, čo sa zdá byť pre tento token vsádzané, Schválenie txn poskytuje neobmedzené míňanie iných tokenov (napr. SNX)Potom vyčerpajú vašu peňaženku tokenu. pic.twitter.com/vICIeC5rGk
— DeFi Dad ⟠ defidad.eth (@DeFi_Dad) Decembra 20, 2021
Ďalším spôsobom, ako zabezpečiť peňaženku, je zabezpečiť, aby boli oprávnenia peňaženky Web3 pripojené k stránkam, ktorým používateľ dôveruje. Ak existujú nejaké decentralizované aplikácie (dapps), ktoré sa zdajú pochybné, používatelia by mali odstrániť povolenia, ak sa náhodne pripojili k dapp tým, že prepadli „bezplatnému“ kryptografickému podvodu. Zvyčajne je však príliš neskoro a akonáhle má dapp povolenie na prístup k finančným prostriedkom peňaženky, kryptomena je používateľovi ukradnutá prostredníctvom škodlivého kódovania aplikovaného na dapp.
Najlepší spôsob, ako sa chrániť pred dvoma vyššie uvedenými útokmi, je nikdy nezadávať svoju počiatočnú frázu online, pokiaľ zámerne neobnovujete peňaženku. Okrem toho je tiež dobrou formou nikdy sa nepripájať alebo dávať povolenia peňaženke Web3 na tienisté webové stránky a aplikácie Web3, ktoré nepoznáte. Tieto dva útoky môžu spôsobiť nič netušiacim investorom veľké straty, ak si nedajú pozor na súčasný trend phishingu.
Poznáte niekoho, kto sa stal obeťou tohto typu phishingového podvodu? Ako zistíte pokusy o krypto phishing? Dajte nám vedieť svoje myšlienky v komentároch.
Kredity obrázka: Shutterstock, Pixabay, Wiki Commons
Vylúčenie zodpovednosti: Tento článok slúži iba na informačné účely. Nie je to priama ponuka alebo výzva na ponuku na kúpu alebo predaj, ani odporúčanie alebo potvrdenie akýchkoľvek produktov, služieb alebo spoločností. Bitcoin.com neposkytuje investičné, daňové, právne alebo účtovné poradenstvo. Spoločnosť ani autor nezodpovedajú, priamo ani nepriamo, za akékoľvek škody alebo straty spôsobené alebo údajne spôsobené alebo súvisiace s použitím alebo spoliehaním sa na akýkoľvek obsah, tovar alebo služby uvedené v tomto článku.
Zdroj: https://news.bitcoin.com/the-2-most-common-airdrop-phishing-attacks-and-how-web3-wallet-owners-can-stay-protected/