V rýchlom a neustále sa meniacom svete kryptomien, kde sa vymieňajú digitálne aktíva a dajú sa zarobiť majetky, ohrozuje bezpečnosť skúsených investorov aj nováčikov číhajúce nebezpečenstvo: kryptophishingové podvody.
Tieto schémy sú navrhnuté tak, aby využívali dôveru a zraniteľnosť jednotlivcov, ktorých cieľom je oklamať ich, aby odhalili svoje citlivé informácie alebo sa dokonca rozlúčili s ich ťažko zarobenými kryptomenami.
Keďže popularita kryptomien neustále rastie, rastie aj sofistikovanosť techník phishingu, ktoré využívajú počítačoví zločinci. Od vydávania sa za legitímne burzy a peňaženky až po vytváranie presvedčivých taktík sociálneho inžinierstva sa títo podvodníci nezastavia pred ničím, aby získali neoprávnený prístup k vašim digitálnym aktívam.
Zlovolní aktéri používajú rôzne metódy sociálneho inžinierstva, aby sa zamerali na svoje obete. Pomocou taktiky sociálneho inžinierstva podvodníci manipulujú s emóciami používateľov a vytvárajú pocit dôvery a naliehavosti.
Eric Parker, generálny riaditeľ a spoluzakladateľ Giddy – inteligentnej peňaženky, ktorá nie je úschovou – povedal Cointelegraphu: „Oslovil vás niekto bez toho, aby ste sa ho pýtali? To je jedno z najväčších pravidiel, ktoré môžete použiť. Zákaznícky servis vás len zriedka, ak vôbec, proaktívne osloví, takže by ste mali byť vždy podozrievaví voči správam, že musíte vo svojom účte podniknúť kroky.“
„Rovnaký nápad s peniazmi zadarmo: Ak vám niekto posiela správy, pretože vám chce dať peniaze zadarmo, je to pravdepodobné, nie skutočné. Dávajte si pozor na akúkoľvek správu, ktorá je príliš dobrá na to, aby bola pravdivá, alebo vám dáva okamžitý pocit naliehavosti či strachu, aby ste mohli konať rýchlo.“
E-mailové podvody a správy
Jednou bežnou technikou používanou pri phishingových podvodoch je vydávanie sa za dôveryhodné entity, ako sú burzy kryptomien alebo poskytovatelia peňaženiek. Podvodníci posielajú e-maily alebo správy, ktoré sa zdajú byť od týchto legitímnych organizácií, pričom používajú podobné značky, logá a e-mailové adresy. Ich cieľom je oklamať príjemcov, aby uverili, že komunikácia pochádza z dôveryhodného zdroja.
Na dosiahnutie tohto cieľa môžu podvodníci použiť techniky, ako je spoofing e-mailov, kde sfalšujú e-mailovú adresu odosielateľa, aby vyzerala, akoby pochádzala od legitímnej organizácie. Môžu tiež použiť taktiku sociálneho inžinierstva na prispôsobenie správ, aby vyzerali autentickejšie. Odcudzením identity dôveryhodných subjektov podvodníci využívajú dôveru a dôveryhodnosť spojenú s týmito organizáciami, aby oklamali používateľov, aby podnikli kroky, ktoré ohrozujú ich bezpečnosť.
Falošné žiadosti o podporu
Krypto-phishingoví podvodníci sa často vydávajú za zástupcov zákazníckej podpory legitímnych búrz kryptomien alebo poskytovateľov peňaženiek. Posielajú e-maily alebo správy nič netušiacim používateľom, pričom poukazujú na problém s ich účtom alebo čakajúcu transakciu, ktorá si vyžaduje okamžitú pozornosť.
Podvodníci poskytujú spôsob kontaktovania alebo odkaz na falošnú webovú stránku podpory, kde sú používatelia vyzvaní, aby zadali svoje prihlasovacie údaje alebo iné citlivé informácie.
Omri Lahav, generálny riaditeľ a spoluzakladateľ Blockfence – rozšírenia pre kryptobezpečnostný prehliadač – pre Cointelegraph povedal: „Je dôležité si uvedomiť, že ak vám niekto pošle nevyžiadanú správu alebo e-mail, pravdepodobne od vás niečo chce. Tieto odkazy a prílohy môžu obsahovať malvér navrhnutý na ukradnutie vašich kľúčov alebo získanie prístupu k vašim systémom,“ pokračuje:
„Okrem toho vás môžu presmerovať na phishingové stránky. Vždy si overte totožnosť odosielateľa a legitimitu e-mailu, aby ste zaistili bezpečnosť. Neklikajte priamo na odkazy; skopírujte a prilepte adresu URL do svojho prehliadača a pozorne skontrolujte, či v názve domény nie sú pravopisné nezrovnalosti.“
Odcudzením identity personálu podpory podvodníci využívajú dôveru používateľov v legitímne kanály zákazníckej podpory. Okrem toho sa živia túžbou rýchlo vyriešiť problémy, čo vedie používateľov k tomu, aby ochotne zverejnili svoje súkromné informácie, ktoré môžu podvodníci neskôr použiť na škodlivé účely.
Falošné webové stránky a klonované platformy
Škodliví herci môžu tiež vytvárať falošné webové stránky a platformy, aby nalákali nič netušiacich používateľov.
Spoofing doménových mien je technika, pri ktorej podvodníci registrujú názvy domén, ktoré sa veľmi podobajú menám legitímnych búrz kryptomien alebo poskytovateľov peňaženiek. Môžu si napríklad zaregistrovať doménu ako „exchnage.com“ namiesto „exchange.com“ alebo „myethwallet“ namiesto „myetherwallet“. Bohužiaľ, tieto mierne odchýlky môžu nič netušiaci používatelia ľahko prehliadnuť.
Lahav povedal, že používatelia by si mali „overiť, či je daná webová stránka seriózna a dobre známa“.
Nedávne: Bitcoin je na kolíznom kurze so sľubmi „Net Zero“.
„Kontrola správneho pravopisu adresy URL je tiež kľúčová, pretože útočníci často vytvárajú adresy URL, ktoré sa veľmi podobajú adresám legitímnych stránok. Používatelia by tiež mali byť opatrní pri webových stránkach, ktoré objavia prostredníctvom reklám Google, pretože sa nemusia organicky umiestňovať na popredných miestach vo výsledkoch vyhľadávania,“ povedal.
Podvodníci používajú tieto falošné názvy domén na vytváranie webových stránok, ktoré napodobňujú legitímne platformy. Často posielajú phishingové e-maily alebo správy obsahujúce odkazy na tieto falošné webové stránky, čím podvádzajú používateľov, aby uverili, že pristupujú na pravú platformu. Keď používatelia zadajú svoje prihlasovacie údaje alebo vykonajú transakcie na týchto webových stránkach, podvodníci zachytia citlivé informácie a zneužijú ich na svoj zisk.
Škodlivý softvér a mobilné aplikácie
Hackeri sa môžu tiež uchýliť k používaniu škodlivého softvéru na zacielenie na používateľov. Keyloggery a únosy schránky sú techniky, ktoré podvodníci využívajúci krypto-phishing používajú na odcudzenie citlivých informácií zo zariadení používateľov.
Keyloggery sú škodlivé softvérové programy, ktoré zaznamenávajú každé stlačenie klávesu používateľa na svojom zariadení. Keď používatelia zadajú svoje prihlasovacie údaje alebo súkromné kľúče, keylogger zachytí tieto informácie a pošle ich späť podvodníkom. Únos schránky zahŕňa zachytenie obsahu skopírovaného do schránky zariadenia.
Transakcie s kryptomenami často zahŕňajú kopírovanie a vkladanie adries peňaženky alebo iných citlivých informácií. Podvodníci používajú škodlivý softvér na monitorovanie schránky a nahradenie legitímnych adries peňaženky svojimi vlastnými. Keď používatelia vložia informácie do zamýšľaného poľa, nevedomky namiesto toho pošlú svoje prostriedky do peňaženky podvodníka.
Ako môžu používatelia zostať chránení pred krypto phishingovými podvodmi
Používatelia môžu podniknúť kroky, aby sa chránili pri navigácii v kryptomene.
Povolenie dvojfaktorovej autentifikácie (2FA) je jedným z nástrojov, ktorý môže pomôcť zabezpečiť účty súvisiace s kryptomenami pred phishingovými podvodmi.
2FA pridáva ďalšiu vrstvu ochrany tým, že od používateľov vyžaduje, aby okrem hesla poskytli aj druhú formu overenia, zvyčajne jedinečný kód vygenerovaný na ich mobilnom zariadení. To zaisťuje, že aj keď útočníci získajú prihlasovacie údaje používateľa prostredníctvom pokusov o neoprávnené získavanie údajov, stále potrebujú na získanie prístupu druhý faktor (napríklad časovo založené jednorazové heslo).
Používanie hardvérových alebo softvérových autentifikátorov
Pri nastavovaní 2FA by používatelia mali zvážiť použitie hardvérových alebo softvérových autentifikátorov namiesto spoliehania sa výlučne na autentifikáciu založenú na SMS. 2FA založené na SMS môže byť zraniteľné voči útokom na výmenu SIM kariet, pri ktorých útočníci podvodne prevezmú kontrolu nad telefónnym číslom používateľa.
Hardvérové autentifikátory, ako napríklad YubiKey alebo bezpečnostné kľúče, sú fyzické zariadenia, ktoré generujú jednorazové heslá a poskytujú ďalšiu vrstvu zabezpečenia. Softvérové autentifikátory, ako napríklad Google Authenticator alebo Authy, generujú časové kódy na smartfónoch používateľov. Tieto metódy sú bezpečnejšie ako autentifikácia založená na SMS, pretože nie sú náchylné na útoky na výmenu SIM kariet.
Overte pravosť webových stránok
Na ochranu pred phishingovými podvodmi by sa používatelia mali vyhýbať klikaniu na odkazy uvedené v e-mailoch, správach alebo iných neoverených zdrojoch. Namiesto toho by mali manuálne zadať webové adresy svojich búrz kryptomien, peňaženiek alebo iných platforiem, ku ktorým chcú pristupovať.
Manuálnym zadaním adresy URL webovej stránky používatelia zaistia, že majú priamy prístup na legitímnu webovú stránku, namiesto toho, aby boli presmerovaní na falošnú alebo klonovanú webovú stránku kliknutím na phishingový odkaz.
Buďte opatrní s odkazmi a prílohami
Pred kliknutím na akékoľvek odkazy by používatelia mali umiestniť kurzor myši na ne, aby sa im zobrazila cieľová adresa URL v stavovom riadku prehliadača alebo v popise. To umožňuje používateľom overiť skutočný cieľ odkazu a zabezpečiť, aby sa zhodoval s očakávanou webovou stránkou.
Podvodníci s neoprávneným získavaním údajov často maskujú odkazy zobrazením iného textu adresy URL, ako je cieľová adresa. Umiestnením kurzora myši na odkaz môžu používatelia zistiť nezrovnalosti a podozrivé adresy URL, ktoré môžu naznačovať pokus o phishing.
Parker pre Cointelegraph vysvetlil: „Je veľmi ľahké sfalšovať základný odkaz v e-maile. Podvodník vám môže ukázať jeden odkaz v texte e-mailu, ale urobiť zo základného hypertextového odkazu niečo iné.“
„Obľúbeným podvodom medzi crypto phishermi je skopírovanie používateľského rozhrania renomovanej webovej stránky, ale umiestnenie ich škodlivého kódu do časti prihlásenia alebo služby Wallet Connect, čo má za následok ukradnuté heslá alebo v horšom prípade ukradnuté počiatočné frázy. Preto si vždy dvakrát skontrolujte webovú adresu, na ktorú sa prihlasujete alebo ku ktorej pripájate svoju kryptopeňaženku.“
Skenovanie príloh pomocou antivírusového softvéru
Používatelia by mali byť opatrní pri sťahovaní a otváraní príloh, najmä z nedôveryhodných alebo podozrivých zdrojov. Prílohy môžu obsahovať malvér vrátane keyloggerov alebo trójskych koní, ktoré môžu ohroziť bezpečnosť zariadenia používateľa a kryptomenových účtov.
Aby sa toto riziko znížilo, používatelia by mali pred otvorením všetky prílohy skontrolovať pomocou renomovaného antivírusového softvéru. Pomáha to odhaliť a odstrániť všetky potenciálne hrozby škodlivého softvéru, čím sa zníži šanca stať sa obeťou phishingového útoku.
Udržujte softvér a aplikácie aktualizované
Udržiavanie aktuálnych operačných systémov, webových prehliadačov, zariadení a iného softvéru je nevyhnutné pre zachovanie bezpečnosti zariadení používateľa. Aktualizácie môžu zahŕňať bezpečnostné záplaty, ktoré riešia známe zraniteľnosti a chránia pred vznikajúcimi hrozbami.
Používanie renomovaného bezpečnostného softvéru
Ak chcete pridať ďalšiu vrstvu ochrany proti phishingovým podvodom a malvéru, používatelia by mali zvážiť inštaláciu renomovaného bezpečnostného softvéru do svojich zariadení.
Antivírusový, antimalvérový a anti-phishingový softvér môže pomôcť odhaliť a blokovať škodlivé hrozby vrátane phishingových e-mailov, falošných webových stránok a súborov infikovaných škodlivým softvérom.
Pravidelnou aktualizáciou a spustením bezpečnostných skenov pomocou renomovaného softvéru môžu používatelia minimalizovať riziko, že sa stanú obeťou phishingových podvodov, a zabezpečiť celkovú bezpečnosť svojich zariadení a aktivít súvisiacich s kryptomenami.
Vzdelávajte sa a buďte informovaní
Krypto phishingové podvody sa neustále vyvíjajú a pravidelne sa objavujú nové taktiky. Používatelia by sa mali chopiť iniciatívy a vzdelávať sa o najnovších phishingových technikách a podvodoch zameraných na kryptomenovú komunitu. Okrem toho buďte informovaní prieskumom a čítaním o nedávnych phishingových incidentoch a osvedčených postupoch zabezpečenia.
Nedávne: Čo je to fair use? Najvyšší súd USA zvažuje dilemu týkajúcu sa autorských práv AI
Ak chcete byť informovaní o novinkách týkajúcich sa bezpečnosti a dostávať včasné upozornenia na phishingové podvody, používatelia by mali sledovať dôveryhodné zdroje v komunite kryptomien. To môže zahŕňať oficiálne oznámenia a účty sociálnych médií kryptomenových búrz, poskytovateľov peňaženiek a renomovaných organizácií zaoberajúcich sa kybernetickou bezpečnosťou.
Sledovaním spoľahlivých zdrojov môžu používatelia dostávať presné informácie a upozornenia týkajúce sa vznikajúcich phishingových podvodov, bezpečnostných slabín a osvedčených postupov na ochranu ich kryptografických aktív.
Zdroj: https://cointelegraph.com/news/crypto-phishing-scams-how-users-can-stay-protected