Kybernetická bezpečnost na webu 3: Chraňte se (a své opice JPEG)

Třebaže Web3 evangelisté již dlouho propagují nativní bezpečnostní prvky blockchainu, příval peněz proudících do tohoto odvětví z něj činí lákavou vyhlídku pro hackery, podvodníci a zloději.

Když se špatným aktérům podaří prolomit kybernetickou bezpečnost Web3, je to často na uživatelích, kteří přehlížejí nejběžnější hrozby lidské chamtivosti, FOMO a neznalosti, spíše než kvůli chybám v technologii.

Mnoho podvodů slibuje velké výnosy, investice nebo exkluzivní výhody; FTC nazývá tyto příležitosti vydělávání peněz a investice podvody.

Velké peníze v podvodech

Podle 2022. června zprávy Federální obchodní komisí bylo od roku 1 ukradeno přes 2021 miliardu dolarů v kryptoměně. A loviště hackerů jsou místa, kde se lidé shromažďují online.

„Téměř polovina lidí, kteří od roku 2021 nahlásili ztrátu kryptoměn kvůli podvodu, uvedla, že to začalo reklamou, příspěvkem nebo zprávou na platformě sociálních médií,“ uvedla FTC.

I když podvodné pokusy zní příliš dobře, než aby to byla pravda, potenciální oběti mohou pozastavit nedůvěru vzhledem k intenzivní volatilitě kryptotrhu; lidé nechtějí přijít o další velkou věc.

Útočníci zaměřující se na NFT

Spolu s kryptoměnami, NFT, nebo nezaměnitelné tokeny, se staly an stále oblíbenější cíl pro podvodníky; podle společnosti Web3 pro kybernetickou bezpečnost TRM Labs, za dva měsíce po květnu 2022 ztratila komunita NFT odhadem 22 milionů dolarů kvůli podvodům a phishingovým útokům.

„Blue-chip“ kolekce jako např Znuděný Ape Yacht Club (BAYC) jsou zvláště ceněným cílem. V dubnu 2022 byl účet BAYC Instagram Naboural podvodníky, kteří odklonili oběti na stránku, která odčerpala jejich ethereum peněženky kryptoměn a NFT. Bylo ukradeno asi 91 NFT v celkové hodnotě přes 2.8 milionu dolarů. O měsíce později, a Zneužití neshody viděl NFT v hodnotě 200 ETH ukradených uživatelům.

Vysoce postavení držitelé BAYC se také stali obětí podvodů. 17. května herec a producent Seth Green tweetoval, že se stal obětí phishingového podvodu, který měl za následek krádež čtyř NFT, včetně Bored Ape #8398. Kromě zdůraznění hrozby, kterou představují phishingové útoky, to mohlo vykolejit televizní/streamingovou show s tématem NFT, kterou Green, „White Horse Tavern“ plánoval. BAYC NFT zahrnují licenční práva k použití NFT pro komerční účely, jako v případě Nuda a hlad restaurace rychlého občerstvení v Long Beach, CA.

Během zasedání Twitter Spaces 9. června Zelená řekl, že získal zpět ukradený JPEG poté, co zaplatil 165 ETH (více než 295,000 XNUMX $ v té době) osobě, která koupila NFT poté, co byl ukraden.

„Phishing je stále prvním vektorem útoku,“ řekl Luis Lubeck, bezpečnostní inženýr společnosti Web3 pro kybernetickou bezpečnost, Halborn, Řekl Dešifrovat.

Lubeck říká, že uživatelé by si měli být vědomi falešných webů, které požadují přihlašovací údaje k peněžence, klonované odkazy a falešné projekty.

Podle Lubecka může phishingový podvod začít sociálním inženýrstvím, které uživateli říká o předčasném spuštění tokenu nebo o tom, že stonásobně znásobí své peníze, má nízké API nebo že jeho účet byl narušen a vyžaduje změnu hesla. Tyto zprávy obvykle přicházejí s omezeným časem na akci, což dále zvyšuje strach uživatele z promeškání, známé také jako FOMO.

V Greenově případě přišel phishingový útok prostřednictvím klonovaného odkazu.

Clone phishing je útok, kdy podvodník vezme web, e-mail nebo dokonce jednoduchý odkaz a vytvoří téměř dokonalou kopii, která vypadá legitimně. Green si myslel, že razí klony „GutterCat“ pomocí toho, co se ukázalo jako phishingový web.

Když Green připojil svou peněženku k phishingové webové stránce a podepsal transakci za účelem ražení NFT, dal hackerům přístup ke svým soukromým klíčům a následně ke svým Bored Apes.

Typy kybernetických útoků

Narušení bezpečnosti může ovlivnit jak společnosti, tak jednotlivce. Ačkoli to není úplný seznam, kybernetické útoky zaměřené na Web3 obvykle spadají do následujících kategorií:

• ? Phishing: Phishingové útoky, jedna z nejstarších a zároveň nejběžnějších forem kybernetického útoku, se běžně vyskytují ve formě e-mailu a zahrnují zasílání podvodných sdělení, jako jsou texty a zprávy na sociálních sítích, které vypadají, že pocházejí z důvěryhodného zdroje. Tento počítačovou kriminalitou může mít také podobu kompromitované nebo škodlivě zakódované webové stránky, která může vyčerpat krypto nebo NFT z připojené peněženky založené na prohlížeči, jakmile je kryptopeněženka připojena.
• ?‍☠️ Malware: Zkratka pro škodlivý software, tento zastřešující termín zahrnuje jakýkoli program nebo kód škodlivý pro systémy. Malware se může dostat do systému prostřednictvím phishingových e-mailů, textových zpráv a zpráv.
• ? Prolomené webové stránky: Tyto legitimní webové stránky jsou uneseny zločinci a používány k ukládání malwaru, který si nic netušící uživatelé stáhnou po kliknutí na odkaz, obrázek nebo soubor.
• ? Spoofing URL: Odpojte napadené webové stránky; falešné weby jsou škodlivé weby, které jsou klony legitimních webů. Tyto stránky, známé také jako URL phishing, mohou získávat uživatelská jména, hesla, kreditní karty, kryptoměny a další osobní údaje.
• ? Falešná rozšíření prohlížeče: Jak název napovídá, tyto exploity používají falešná rozšíření prohlížeče k nalákání uživatelů kryptoměn, aby zadali své přihlašovací údaje nebo klíče do rozšíření, které dává kyberzločincům přístup k datům.

Tyto útoky se obvykle zaměřují na přístup, krádež a zničení citlivých informací nebo, v Greenově případě, na Bored Ape NFT.

Co můžete udělat, abyste se ochránili?

Lubeck říká, že nejlepším způsobem, jak se chránit před phishingem, je nikdy neodpovídat na e-mail, textovou zprávu SMS, telegram, zprávu Discord nebo zprávu WhatsApp od neznámé osoby, společnosti nebo účtu. "Půjdu ještě dál," dodal Lubeck. "Nikdy nezadávejte přihlašovací údaje nebo osobní údaje, pokud uživatel nezahájil komunikaci."

Lubeck doporučuje nezadávat své přihlašovací údaje nebo osobní údaje při používání veřejných nebo sdílených WiFi nebo sítí. Navíc Lubeck vypráví Dešifrovat že lidé by neměli mít falešný pocit bezpečí, protože používají konkrétní operační systém nebo typ telefonu.

„Když mluvíme o těchto druzích podvodů: phishing, předstírání identity webových stránek, nezáleží na tom, zda používáte iPhone, Linux, Mac, iOS, Windows nebo Chromebook,“ říká. „Pojmenujte zařízení; problém je na webu, ne ve vašem zařízení.“

Udržujte své kryptoměny a NFT v bezpečí

Podívejme se na akční plán „Web3“.

Pokud je to možné, použijte hardwarové nebo vzduchové mezery peněženky k ukládání digitálních aktiv. Tato zařízení, někdy označovaná jako „cold storage“, odstraňují vaše krypto z internetu, dokud nebudete připraveni jej používat. I když je běžné a pohodlné používat peněženky založené na prohlížeči jako MetaMaskpamatujte, že cokoli připojené k internetu má potenciál být napadeno.

Pokud používáte mobilní peněženku, prohlížeč nebo stolní peněženku, známou také jako hot wallet, stáhněte si je z oficiálních platforem, jako je Google Play Store, App Store společnosti Apple nebo ověřené webové stránky. Nikdy nestahujte z odkazů zaslaných prostřednictvím SMS nebo e-mailu. I když si škodlivé aplikace mohou najít cestu do oficiálních obchodů, je to bezpečnější než používání odkazů.

Po dokončení transakce odpojte peněženku od webu.

Ujistěte se, že vaše soukromé klíče, počáteční fráze a hesla jsou soukromé. Pokud jste požádáni o sdílení těchto informací za účelem účasti na investici nebo ražbě, jedná se o podvod.

Investujte pouze do projektů, kterým rozumíte. Pokud není jasné, jak schéma funguje, zastavte se a proveďte další průzkum.

Ignorujte taktiku vysokého tlaku a těsné termíny. Podvodníci toho často využijí, aby se pokusili vyvolat FOMO a přimět potenciální oběti, aby nepřemýšlely o tom, co jim bylo řečeno, nebo aby nezkoumaly.

V neposlední řadě, pokud to zní příliš dobře, aby to byla pravda, pravděpodobně jde o podvod.