Cyberbezpieczeństwo w sieci3: ochrona siebie (i swojego małpiego JPEG)

Nawet jeśli Web3 ewangeliści od dawna zachwalają rodzime funkcje bezpieczeństwa blockchain, potok pieniędzy napływający do branży sprawia, że ​​jest to kusząca perspektywa dla hakerów, oszuści i złodzieje.

Kiedy złym aktorom udaje się naruszyć cyberbezpieczeństwo Web3, często jest to spowodowane przeoczeniem przez użytkowników najczęstszych zagrożeń, takich jak ludzka chciwość, FOMO i ignorancja, a nie z powodu wad technologii.

Wiele oszustw obiecuje duże wypłaty, inwestycje lub ekskluzywne korzyści; FTC nazywa te możliwości zarabiania pieniędzy i inwestycji oszustwa.

Duże pieniądze w oszustwach

Według 2022 czerwca raport przez Federalną Komisję Handlu od 1 r. skradziono ponad miliard dolarów w kryptowalutach. A na terenach łowieckich hakerów ludzie gromadzą się online.

„Prawie połowa osób, które zgłosiły utratę kryptowalut w wyniku oszustwa od 2021 roku, powiedziała, że ​​zaczęło się to od reklamy, posta lub wiadomości na platformie mediów społecznościowych” – powiedział FTC.

Chociaż oszukańcze oszustwa brzmią zbyt pięknie, aby mogły być prawdziwe, potencjalne ofiary mogą zawiesić niedowierzanie, biorąc pod uwagę intensywną niestabilność rynku kryptowalut; ludzie nie chcą przegapić kolejnej wielkiej rzeczy.

Atakujący atakujący NFT

Wraz z kryptowalutami NFT, lub niewymienne tokeny, stały się coraz bardziej popularne cel dla oszustów; według firmy zajmującej się cyberbezpieczeństwem Web3 Laboratoria TRM, w ciągu dwóch miesięcy po maju 2022 r. społeczność NFT straciła około 22 miliony dolarów na oszustwa i ataki typu phishing.

Kolekcje „blue-chip”, takie jak Klub jachtowy znudzonej małpy (BAYC) są szczególnie cenionym celem. W kwietniu 2022 r. konto BAYC na Instagramie było hacked przez oszustów, którzy przekierowywali ofiary na stronę, która opróżniła ich portfele Ethereum z kryptowalut i NFT. Skradziono około 91 NFT o łącznej wartości ponad 2.8 miliona dolarów. Miesiące później, a Wykorzystanie Discorda widziałem NFT o wartości 200 ETH skradzione użytkownikom.

Znani posiadacze BAYC również padli ofiarą oszustw. 17 maja aktor i producent Seth Green napisał na Twitterze, że padł ofiarą oszustwa phishingowego, w wyniku którego skradziono cztery NFT, w tym Bored Ape #8398. Oprócz podkreślenia zagrożenia, jakie stanowią ataki phishingowe, mogło to wykoleić program telewizyjny/strumieniowy o tematyce NFT, zaplanowany przez Greena, „White Horse Tavern”. BAYC NFT obejmuje prawa licencyjne do korzystania z NFT w celach komercyjnych, jak w przypadku Znudzony i głodny restauracja typu fast food w Long Beach w Kalifornii.

Podczas sesji Twitter Spaces 9 czerwca, Zielony powiedział, że odzyskał skradziony JPEG po zapłaceniu 165 ETH (ponad 295,000 XNUMX w tym czasie) osobie, która kupiła NFT po jego kradzieży.

„Wyłudzanie informacji jest nadal pierwszym wektorem ataku”, Luis Lubeck, inżynier ds. bezpieczeństwa w firmie zajmującej się cyberbezpieczeństwem Web3, Halborna, powiedziała Odszyfruj.

Lubeck twierdzi, że użytkownicy powinni zdawać sobie sprawę z fałszywych stron internetowych, które proszą o dane uwierzytelniające portfel, sklonowane linki i fałszywe projekty.

Według Lubeck, oszustwo phishingowe może zacząć się od socjotechniki, informującej użytkownika o wczesnym uruchomieniu tokena lub o tym, że 100-krotność jego pieniędzy, niski poziom API lub że jego konto zostało naruszone i wymaga zmiany hasła. Te wiadomości zwykle mają ograniczony czas na działanie, co dodatkowo zwiększa strach użytkownika przed utratą, znany również jako FOMO.

W przypadku Greena atak phishingowy odbył się za pośrednictwem sklonowanego łącza.

Wyłudzanie informacji metodą klonowania to atak polegający na tym, że oszust pobiera witrynę internetową, adres e-mail, a nawet proste łącze i tworzy niemal idealną kopię, która wygląda na wiarygodną. Green myślał, że kopiuje klony „GutterCat” za pomocą strony, która okazała się być witryną phishingową.

Kiedy Green połączył swój portfel ze stroną phishingową i podpisał transakcję, aby uzyskać NFT, dał hakerom dostęp do swoich kluczy prywatnych, a tym samym do swoich Bored Apes.

Rodzaje cyberataków

Naruszenia bezpieczeństwa mogą dotyczyć zarówno firm, jak i osób fizycznych. Chociaż nie jest to pełna lista, cyberataki wymierzone w Web3 zazwyczaj dzielą się na następujące kategorie:

• ? phishing: Jedna z najstarszych, ale najczęstszych form cyberataków, ataki phishingowe często przybierają formę wiadomości e-mail i obejmują wysyłanie fałszywych komunikatów, takich jak SMS-y i wiadomości w mediach społecznościowych, które wydają się pochodzić z renomowanego źródła. Ten cyberprzestępczość może również przybrać formę zhakowanej lub złośliwie zakodowanej strony internetowej, która może wyssać krypto lub NFT z dołączonego portfela opartego na przeglądarce po podłączeniu portfela kryptograficznego.
• ?☠️ malware: Skrót od złośliwego oprogramowania, ten ogólny termin obejmuje dowolny program lub kod szkodliwy dla systemów. Złośliwe oprogramowanie może dostać się do systemu za pośrednictwem wiadomości e-mail, SMS-ów i wiadomości phishingowych.
• ? Zaatakowane strony internetowe: Te legalne witryny są przejmowane przez przestępców i wykorzystywane do przechowywania złośliwego oprogramowania, które niczego niepodejrzewający użytkownicy pobierają po kliknięciu łącza, obrazu lub pliku.
• ? Podszywanie adresów URL: Odłącz zainfekowane strony internetowe; sfałszowane witryny to złośliwe witryny, które są klonami legalnych witryn. Witryny te, znane również jako wyłudzanie adresów URL, mogą przechwytywać nazwy użytkowników, hasła, karty kredytowe, kryptowaluty i inne dane osobowe.
• ? Fałszywe rozszerzenia przeglądarki: Jak sama nazwa wskazuje, exploity te wykorzystują fałszywe rozszerzenia przeglądarki, aby nakłonić krypto-użytkowników do wprowadzenia swoich danych uwierzytelniających lub kluczy do rozszerzenia, które daje cyberprzestępcy dostęp do danych.

Ataki te zwykle mają na celu uzyskanie dostępu, kradzież i zniszczenie poufnych informacji lub, w przypadku Greena, Bored Ape NFT.

Co możesz zrobić, aby się chronić?

Lubeck twierdzi, że najlepszym sposobem ochrony przed phishingiem jest nigdy nie odpowiadać na wiadomości e-mail, SMS-y, Telegram, Discord lub WhatsApp od nieznanej osoby, firmy lub konta. „Pójdę dalej” – dodał Lubeck. „Nigdy nie wprowadzaj danych uwierzytelniających ani danych osobowych, jeśli użytkownik nie rozpoczął komunikacji”.

Lubeck zaleca, aby nie wprowadzać swoich danych uwierzytelniających ani danych osobowych podczas korzystania z publicznych lub współdzielonych sieci Wi-Fi lub sieci. Ponadto mówi Lubeck Odszyfruj że ludzie nie powinni mieć fałszywego poczucia bezpieczeństwa, ponieważ używają określonego systemu operacyjnego lub typu telefonu.

„Kiedy mówimy o tego rodzaju oszustwach: phishingu, podszywaniu się pod stronę internetową, nie ma znaczenia, czy używasz iPhone'a, Linuxa, Maca, iOS, Windowsa czy Chromebooka” – mówi. „Nazwij urządzenie; problemem jest witryna, a nie urządzenie”.

Dbaj o bezpieczeństwo swoich kryptowalut i NFT

Przyjrzyjmy się bardziej planowi działania „Web3”.

Jeśli to możliwe, użyj sprzętu lub szczeliny powietrznej portfele do przechowywania zasobów cyfrowych. Te urządzenia, czasami określane jako „chłodnia”, usuwają twoje krypto z Internetu, dopóki nie będziesz gotowy do jego użycia. Chociaż korzystanie z portfeli opartych na przeglądarce jest powszechne i wygodne, takie jak MetaMask, pamiętaj, że wszystko, co jest połączone z internetem, może zostać zhakowane.

Jeśli korzystasz z portfela mobilnego, przeglądarki lub portfela na komputer, znanego również jako hot wallet, pobierz je z oficjalnych platform, takich jak Google Play Store, Apple App Store lub zweryfikowane witryny. Nigdy nie pobieraj z linków wysyłanych SMS-em lub e-mailem. Mimo że złośliwe aplikacje mogą trafić do oficjalnych sklepów, jest to bezpieczniejsze niż korzystanie z linków.

Po zakończeniu transakcji odłącz portfel od strony internetowej.

Pamiętaj, aby zachować prywatność swoich kluczy prywatnych, fraz początkowych i haseł. Jeśli zostaniesz poproszony o udostępnienie tych informacji w celu udziału w inwestycji lub wybiciu, jest to oszustwo.

Inwestuj tylko w projekty, które rozumiesz. Jeśli nie jest jasne, jak działa program, zatrzymaj się i przeprowadź więcej badań.

Zignoruj ​​taktykę wysokiego ciśnienia i napięte terminy. Często oszuści wykorzystują to, aby spróbować wywołać FOMO i sprawić, by potencjalne ofiary nie myślały ani nie badały tego, co im się mówi.

Wreszcie, jeśli brzmi to zbyt dobrze, aby mogło być prawdziwe, prawdopodobnie jest to oszustwo.