Kybernetická bezpečnosť na webe 3: Chráňte sa (a svojho ľudoopa JPEG)

Hoci Web3 evanjelisti už dlho propagujú natívne bezpečnostné prvky blockchainu, príval peňazí prúdiacich do tohto odvetvia z neho robí lákavú vyhliadku pre hackerov, podvodníci a zlodejov.

Keď sa zlým aktérom podarí prelomiť kybernetickú bezpečnosť Web3, je to často na používateľoch, ktorí prehliadajú najčastejšie hrozby ľudskej chamtivosti, FOMO a nevedomosti, a nie kvôli chybám v technológii.

Mnohé podvody sľubujú veľké výnosy, investície alebo exkluzívne výhody; FTC nazýva tieto príležitosti na zarábanie peňazí a investície podvody.

Veľké peniaze v podvodoch

Podľa údajov z 2022. júna správy Federálnou obchodnou komisiou bolo od roku 1 ukradnuté viac ako 2021 miliardu dolárov v kryptomene. A loviská hackerov sú miesta, kde sa ľudia zhromažďujú online.

„Takmer polovica ľudí, ktorí od roku 2021 nahlásili stratu kryptomien kvôli podvodu, uviedla, že to začalo reklamou, príspevkom alebo správou na platforme sociálnych médií,“ uviedla FTC.

Hoci podvodné pokusy znejú príliš dobre na to, aby to bola pravda, potenciálne obete môžu pozastaviť neveru vzhľadom na intenzívnu volatilitu kryptotrhu; ľudia nechcú prísť o ďalšiu veľkú vec.

Útočníci zameriavajúci sa na NFT

Spolu s kryptomenami, NFT, alebo nezastupiteľné tokeny, sa stali an čoraz populárnejšie cieľ pre podvodníkov; podľa spoločnosti Web3 pre kybernetickú bezpečnosť TRM Labs, za dva mesiace po máji 2022 stratila komunita NFT odhadom 22 miliónov dolárov v dôsledku podvodov a phishingových útokov.

“Blue-chip” kolekcie ako napr Yacht Club Bored Ape (BAYC) sú obzvlášť ceneným cieľom. V apríli 2022 bol účet BAYC Instagram Nabúral podvodníkmi, ktorí presmerovali obete na stránku, ktorá vyčerpala ich Ethereum peňaženky kryptomien a NFT. Bolo ukradnutých približne 91 NFT v celkovej hodnote viac ako 2.8 milióna dolárov. O mesiace neskôr, a Zneužitie nezhôd používateľom ukradli NFT v hodnote 200 ETH.

Vysokoprofiloví držitelia BAYC sa tiež stali obeťami podvodov. 17. mája herec a producent Seth Green tweetoval, že sa stal obeťou phishingového podvodu, ktorý viedol ku krádeži štyroch NFT, vrátane Bored Ape #8398. Okrem zdôraznenia hrozby, ktorú predstavujú phishingové útoky, mohlo dôjsť k vykoľajeniu televíznej/streamovacej relácie s tematikou NFT, ktorú plánoval Green, „White Horse Tavern“. BAYC NFT zahŕňajú licenčné práva na používanie NFT na komerčné účely, ako v prípade Nuda a hlad reštaurácia rýchleho občerstvenia v Long Beach, CA.

Počas relácie Twitter Spaces 9. júna zelená povedal, že získal ukradnutý JPEG po zaplatení 165 ETH (v tom čase viac ako 295,000 XNUMX dolárov) osobe, ktorá si kúpila NFT po jeho krádeži.

„Phishing je stále prvým vektorom útoku,“ povedal Luis Lubeck, bezpečnostný inžinier vo firme Web3 pre kybernetickú bezpečnosť, Halborn, Povedal dešifrovať.

Lubeck hovorí, že používatelia by si mali byť vedomí falošných webových stránok, ktoré vyžadujú prihlasovacie údaje do peňaženky, klonované odkazy a falošné projekty.

Podľa Lubecka môže phishingový podvod začať sociálnym inžinierstvom, ktoré používateľovi povie o predčasnom spustení tokenu alebo o tom, že stonásobne zvýši svoje peniaze, má nízke API alebo že jeho účet bol narušený a vyžaduje si zmenu hesla. Tieto správy zvyčajne prichádzajú s obmedzeným časom na konanie, čo ešte viac podporuje strach používateľa z premeškania, známy aj ako FOMO.

V prípade Greena prišiel phishingový útok cez klonovaný odkaz.

Clone phishing je útok, pri ktorom podvodník vezme webovú stránku, e-mail alebo dokonca jednoduchý odkaz a vytvorí takmer dokonalú kópiu, ktorá vyzerá legitímne. Green si myslel, že razí klony „GutterCat“ pomocou toho, čo sa ukázalo ako phishingová webová stránka.

Keď Green pripojil svoju peňaženku k phishingovej webovej stránke a podpísal transakciu s cieľom vyraziť NFT, poskytol hackerom prístup k svojim súkromným kľúčom a následne k svojim Bored Apes.

Typy kybernetických útokov

Narušenie bezpečnosti môže ovplyvniť spoločnosti aj jednotlivcov. Hoci to nie je úplný zoznam, kybernetické útoky zamerané na Web3 zvyčajne spadajú do nasledujúcich kategórií:

• ? phishing: Jedna z najstarších a zároveň najbežnejších foriem kybernetického útoku, phishingové útoky, bežne prichádzajú vo forme e-mailu a zahŕňajú odosielanie podvodných správ, ako sú texty a správy na sociálnych médiách, ktoré sa zdajú pochádzajúce z renomovaného zdroja. Toto počítačovou kriminalitou môže mať aj podobu napadnutej alebo so škodlivým kódom webovej stránky, ktorá môže po pripojení krypto peňaženky vyčerpať krypto alebo NFT z pripojenej peňaženky založenej na prehliadači.
• ?‍☠️ malware: Skratka pre škodlivý softvér, tento zastrešujúci termín zahŕňa akýkoľvek program alebo kód škodlivý pre systémy. Škodlivý softvér sa môže dostať do systému prostredníctvom phishingových e-mailov, textových správ a správ.
• ? Kompromitované webové stránky: Tieto legitímne webové stránky sú napadnuté zločincami a používajú sa na ukladanie škodlivého softvéru, ktorý si nič netušiaci používatelia stiahnu po kliknutí na odkaz, obrázok alebo súbor.
• ? Spoofing URL: Odpojte napadnuté webové stránky; sfalšované webové stránky sú škodlivé stránky, ktoré sú klonmi legitímnych webových stránok. Tiež známy ako URL phishing, tieto stránky môžu zbierať používateľské mená, heslá, kreditné karty, kryptomeny a ďalšie osobné informácie.
• ? Falošné rozšírenia prehliadača: Ako už názov napovedá, tieto exploity používajú falošné rozšírenia prehliadača na oklamanie používateľov kryptomien, aby zadali svoje poverenia alebo kľúče do rozšírenia, ktoré poskytuje kyberzločincom prístup k údajom.

Tieto útoky sa zvyčajne zameriavajú na prístup, krádež a zničenie citlivých informácií alebo, v Greenovom prípade, na Bored Ape NFT.

Čo môžete urobiť, aby ste sa ochránili?

Lubeck hovorí, že najlepším spôsobom, ako sa chrániť pred phishingom, je nikdy neodpovedať na e-mail, textovú SMS, telegram, správu Discord alebo WhatsApp od neznámej osoby, spoločnosti alebo účtu. "Pôjdem ešte ďalej," dodal Lubeck. "Nikdy nezadávajte poverenia ani osobné informácie, ak používateľ nezačal komunikáciu."

Lubeck odporúča, aby ste pri používaní verejných alebo zdieľaných WiFi alebo sietí nezadávali svoje poverenia ani osobné informácie. Okrem toho hovorí Lubeck dešifrovať že ľudia by nemali mať falošný pocit bezpečia, pretože používajú konkrétny operačný systém alebo typ telefónu.

„Keď hovoríme o týchto druhoch podvodov: phishing, odcudzenie identity webovej stránky, nezáleží na tom, či používate iPhone, Linux, Mac, iOS, Windows alebo Chromebook,“ hovorí. „Pomenujte zariadenie; problémom je stránka, nie vaše zariadenie.“

Udržujte svoje kryptomeny a NFT v bezpečí

Pozrime sa na akčný plán „Web3“.

Ak je to možné, použite hardvér alebo vzduchovú medzeru peňaženky na ukladanie digitálnych aktív. Tieto zariadenia, niekedy označované ako „cold storage“, odstránia vaše kryptomeny z internetu, kým nebudete pripravení ich použiť. Aj keď je bežné a pohodlné používať peňaženky založené na prehliadači, napr MetaMaskpamätajte, že čokoľvek pripojené k internetu má potenciál byť napadnuté.

Ak používate mobilnú peňaženku, prehliadač alebo počítačovú peňaženku, tiež známu ako hot wallet, stiahnite si ich z oficiálnych platforiem, ako sú Google Play Store, Apple App Store alebo overené webové stránky. Nikdy nesťahujte z odkazov odoslaných prostredníctvom SMS alebo e-mailu. Aj keď si škodlivé aplikácie môžu nájsť cestu do oficiálnych obchodov, je to bezpečnejšie ako používanie odkazov.

Po dokončení transakcie odpojte peňaženku od webovej stránky.

Uistite sa, že vaše súkromné ​​kľúče, počiatočné frázy a heslá sú súkromné. Ak vás požiadajú o zdieľanie týchto informácií, aby ste sa mohli zúčastniť investície alebo razby, ide o podvod.

Investujte len do projektov, ktorým rozumiete. Ak nie je jasné, ako schéma funguje, zastavte sa a urobte ďalší prieskum.

Ignorujte taktiku vysokého tlaku a prísne termíny. Podvodníci to často využijú, aby sa pokúsili vyvolať FOMO a prinútiť potenciálne obete, aby nepremýšľali o tom, čo im bolo povedané, alebo aby neskúmali to.

V neposlednom rade, ak to znie príliš dobre, aby to bola pravda, pravdepodobne ide o podvod.