Kiberdrošība tīmeklī 3: sevis aizsardzība (un sava pērtiķa JPEG)

Kaut Web3 evaņģēlisti jau sen ir reklamējuši blokķēdes vietējos drošības elementus, jo naudas straume, kas ieplūst nozarē, padara to par kārdinošu hakeru iespēju, scammers un zagļiem.

Ja sliktiem dalībniekiem izdodas pārkāpt Web3 kiberdrošību, tas bieži vien ir saistīts ar to, ka lietotāji neievēro visbiežāk sastopamos cilvēku alkatības, FOMO un nezināšanas draudus, nevis tehnoloģiju trūkumu dēļ.

Daudzas krāpniecības sola lielus ienākumus, ieguldījumus vai ekskluzīvas priekšrocības; FTC sauc šīs naudas pelnīšanas iespējas un investīcijas izkrāpšanu.

Liela nauda krāpniecībā

Saskaņā ar 2022. jūnija ziņot Federālā tirdzniecības komisija kopš 1. gada ir nozagta kriptovalūtas vairāk nekā 2021 miljarda dolāru vērtībā. Un hakeru medību laukos cilvēki pulcējas tiešsaistē.

"Gandrīz puse cilvēku, kuri kopš 2021. gada ziņoja par kriptovalūtu zaudēšanu krāpniecības rezultātā, teica, ka tas sākās ar reklāmu, ziņu vai ziņojumu sociālo mediju platformā," paziņoja FTC.

Lai gan krāpnieciskas parādības izklausās pārāk labi, lai būtu patiesība, potenciālie upuri var apturēt neticību, ņemot vērā kriptovalūtu tirgus intensīvo nepastāvību; cilvēki nevēlas palaist garām nākamo lielo lietu.

Uzbrucēji, kuru mērķauditorija ir NFT

Līdzās kriptovalūtām, NFT, vai neaizvietojami marķieri, ir kļuvuši par arvien populārāks mērķis krāpniekiem; saskaņā ar Web3 kiberdrošības firmas datiem TRM laboratorijas, divu mēnešu laikā pēc 2022. gada maija NFT kopiena krāpniecības un pikšķerēšanas uzbrukumu dēļ zaudēja aptuveni 22 miljonus dolāru.

“Blue-chip” kolekcijas, piemēram, Garlaicīgi Apes jahtklubs (BAYC) ir īpaši vērtīgs mērķis. 2022. gada aprīlī BAYC Instagram konts bija hacked krāpnieki, kuri novirzīja upurus uz vietni, kas iztukšoja viņu Ethereum maciņus no kriptovalūtām un NFT. Tika nozagts aptuveni 91 NFT, kuru kopējā vērtība pārsniedza 2.8 miljonus ASV dolāru. Mēnešus vēlāk, a Nesaskaņu izmantošana ieraudzīja lietotājiem nozagtus NFT 200 ETH vērtībā.

Arī augsta profila BAYC turētāji ir kļuvuši par krāpniecības upuriem. 17. maijā aktieris un producents Sets Grīns tviterī ierakstīja, ka kļuvis par pikšķerēšanas krāpniecības upuri, kuras rezultātā tika nozagti četri NFT, tostarp Bored Ape #8398. Tas ne tikai uzsvēra pikšķerēšanas uzbrukumu radītos draudus, bet arī varēja izjaukt no sliedēm NFT tēmu televīzijas/straumēšanas šovu, kuru plānoja Grīns, “White Horse Tavern”. BAYC NFT ietver licencēšanas tiesības izmantot NFT komerciālos nolūkos, kā tas ir gadījumā Garlaicīgi un izsalkuši ātrās ēdināšanas restorāns Longbīčā, Kalifornijā.

9. jūnija Twitter Spaces sesijas laikā zaļš teica, ka viņš ir atguvis nozagto JPEG pēc tam, kad samaksājis 165 ETH (vairāk nekā USD 295,000 XNUMX tajā laikā) personai, kura bija iegādājusies NFT pēc tā nozagšanas.

"Pikšķerēšana joprojām ir pirmais uzbrukuma vektors," sacīja Web3 kiberdrošības uzņēmuma drošības inženieris Luiss Lubeks. Halborns, teica Atšifrēt.

Lubeck saka, ka lietotājiem ir jāzina par viltotām vietnēm, kurās tiek pieprasīti maka akreditācijas dati, klonētas saites un viltoti projekti.

Saskaņā ar Lubeck teikto, pikšķerēšanas krāpniecība var sākties ar sociālo inženieriju, informējot lietotāju par agrīnu marķiera palaišanu vai to, ka viņš 100 reizēs vairāk par savu naudu, zemu API vai ka viņa konts ir uzlauzts un ir jāmaina parole. Šie ziņojumi parasti tiek nosūtīti ar ierobežotu darbības laiku, kas vēl vairāk palielina lietotāja bailes palaist garām, ko sauc arī par FOMO.

Grīna gadījumā pikšķerēšanas uzbrukums notika, izmantojot klonētu saiti.

Pikšķerēšanas klonēšana ir uzbrukums, kurā krāpnieks paņem vietni, e-pastu vai pat vienkāršu saiti un izveido gandrīz ideālu kopiju, kas izskatās likumīga. Grīns domāja, ka viņš kaļ “GutterCat” klonus, izmantojot pikšķerēšanas vietni.

Kad Grīns savienoja savu maku ar pikšķerēšanas vietni un parakstīja darījumu, lai izveidotu NFT, viņš sniedza hakeriem piekļuvi savām privātajām atslēgām un, savukārt, garlaicīgiem pērtiķiem.

Kiberuzbrukumu veidi

Drošības pārkāpumi var skart gan uzņēmumus, gan privātpersonas. Lai gan tas nav pilnīgs saraksts, kiberuzbrukumi, kuru mērķauditorija ir Web3, parasti tiek iedalīti šādās kategorijās:

• ? Pikšķerēšana: Viens no vecākajiem, taču visizplatītākajiem kiberuzbrukumu veidiem, pikšķerēšanas uzbrukumi parasti notiek e-pasta veidā un ietver krāpniecisku saziņu, piemēram, īsziņu un ziņojumu sūtīšanu sociālajos saziņas līdzekļos, kas, šķiet, nāk no cienījama avota. Šis kibernoziegumi var izpausties arī kā uzlauzta vai ļaunprātīgi kodēta vietne, kas var iztukšot kriptovalūtu vai NFT no pievienotā pārlūkprogrammas maka, tiklīdz ir pievienots šifrēšanas maciņš.
• ?‍☠️ malware: Saīsinājums no ļaunprātīgas programmatūras, šis vispārīgais termins aptver jebkuru programmu vai kodu, kas kaitē sistēmām. Ļaunprātīga programmatūra var iekļūt sistēmā, izmantojot pikšķerēšanas e-pastus, īsziņas un ziņojumus.
• ? Kompromitētas vietnes: Šīs likumīgās vietnes ir nolaupījuši noziedznieki, un tās izmanto, lai saglabātu ļaunprātīgu programmatūru, ko nenojauši lietotāji lejupielādē, noklikšķinot uz saites, attēla vai faila.
• ? URL viltošana: Atsaistīt apdraudētas vietnes; viltotas vietnes ir ļaunprātīgas vietnes, kas ir likumīgu vietņu kloni. Šīs vietnes, kas pazīstamas arī kā URL pikšķerēšana, var iegūt lietotājvārdus, paroles, kredītkartes, kriptovalūtu un citu personisko informāciju.
• ? Viltus pārlūkprogrammas paplašinājumi: Kā norāda nosaukums, šajās ekspluatācijās tiek izmantoti viltoti pārlūkprogrammas paplašinājumi, lai krāptu kriptovalūtu lietotājus ievadīt savus akreditācijas datus vai atslēgas paplašinājumā, kas nodrošina kibernoziedzniekiem piekļuvi datiem.

Šo uzbrukumu mērķis parasti ir piekļūt, nozagt un iznīcināt sensitīvu informāciju vai, Grīna gadījumā, Bored Ape NFT.

Ko jūs varat darīt, lai sevi aizsargātu?

Lubeck saka, ka labākais veids, kā pasargāt sevi no pikšķerēšanas, ir nekad neatbildēt uz e-pastu, SMS, Telegram, Discord vai WhatsApp ziņojumu no nezināmas personas, uzņēmuma vai konta. "Es iešu tālāk," piebilda Lībeka. "Nekad neievadiet akreditācijas datus vai personisko informāciju, ja lietotājs nav sācis saziņu."

Lubeck iesaka neievadīt savus akreditācijas datus vai personisko informāciju, kad izmantojat publisku vai koplietotu WiFi vai tīklus. Turklāt Lubeck stāsta Atšifrēt ka cilvēkiem nevajadzētu radīt maldīgu drošības sajūtu, jo viņi izmanto noteiktu operētājsistēmu vai tālruņa veidu.

"Kad mēs runājam par šāda veida krāpniecību: pikšķerēšanu, uzdošanos par tīmekļa vietni, nav nozīmes tam, vai izmantojat iPhone, Linux, Mac, iOS, Windows vai Chromebook datoru," viņš saka. “Nosauciet ierīci; problēma ir vietnē, nevis jūsu ierīcē.

Saglabājiet savus kriptovalūtus un NFT drošībā

Apskatīsim vairāk “Web3” rīcības plānu.

Ja iespējams, izmantojiet aparatūru vai gaisa spraugu makus lai uzglabātu digitālos līdzekļus. Šīs ierīces, kas dažkārt tiek sauktas par “auksto krātuvi”, izņem jūsu kriptovalūtu no interneta, līdz esat gatavs to izmantot. Lai gan ir ierasts un ērti izmantot pārlūkprogrammas makus, piemēram MetaMask, atcerieties, viss, kas ir savienots ar internetu, var tikt uzlauzts.

Ja izmantojat mobilo, pārlūkprogrammu vai darbvirsmas maku, kas pazīstams arī kā karstais maks, lejupielādējiet tos no oficiālām platformām, piemēram, Google Play veikala, Apple App Store vai verificētām vietnēm. Nekad nelejupielādējiet no saitēm, kas nosūtītas pa īsziņu vai e-pastu. Lai gan ļaunprātīgas lietotnes var nonākt oficiālajos veikalos, tas ir drošāk nekā saišu izmantošana.

Pēc darījuma pabeigšanas atvienojiet maku no vietnes.

Noteikti saglabājiet savas privātās atslēgas, sākuma frāzes un paroles privātas. Ja jums tiek lūgts dalīties ar šo informāciju, lai piedalītos investīcijās vai kalšanā, tā ir krāpniecība.

Investējiet tikai tajos projektos, kurus jūs saprotat. Ja nav skaidrs, kā shēma darbojas, apstājieties un veiciet vairāk izpētes.

Ignorējiet augsta spiediena taktiku un stingrus termiņus. Bieži vien krāpnieki to izmantos, lai mēģinātu izsaukt FOMO un liktu potenciālajiem upuriem nedomāt un nepētīt to, kas viņiem tiek teikts.

Visbeidzot, ja tas izklausās pārāk labi, lai būtu patiesība, iespējams, tā ir krāpniecība.