Chainalysis identifikovala schvalovací phishing jako techniku, konkrétně ve formě romantických podvodů, která se v kryptografických podvodech rychle rozšiřuje. Eric Jardine, vedoucí výzkumu počítačové kriminality v Chainalysis, komentoval tento jev.
Crypto Scams a komentáře Erica Jardineho z Chainalysis o schvalovací phishingové technice
Eric Jardine, vedoucí výzkumu počítačové kriminality v Chainalysis, vydal několik komentářů týkajících se Schválení phishinguse technika kryptografických podvodů explozivně roste poslední dobou.
Ve skutečnosti se to odhaduje teprve v roce 2023, provedli hackeři krádeže kryptoměn v hodnotě nejméně 374 milionů dolarů. I když se toto číslo může zdát značné, představuje 27% pokles oproti odhadované hodnotě v roce 2022, což bylo 516.8 milionů $.
V praxi se to podvodníkům daří prostřednictvím schvalovacího phishingu získat úplný přístup k peněžence obětí podepsáním podvodné blockchainové transakce.
Tato technika se používala hlavně pro „romantické podvody“, protože přesvědčuje oběť, aby podepsala falešné schvalovací transakce.
Úspěch schvalovacího phishingu lze přičíst skutečnosti, že mnoho decentralizovaných aplikací (dApps) povolených pro chytré smlouvy, jako je Ethereum, vyžaduje, aby uživatelé podepsali schvalovací transakce, aby mohli přesunout finanční prostředky, které mají v držení.
V tomto ohledu, Jardine komentoval takto:
„Ačkoli jsou schválení udělená dApps obecně bezpečná, podvodníci využívají skutečnosti, že mnoho uživatelů je zvyklých přijímat tento typ požadavků. To, co odlišuje bezpečný provoz od rizikovějšího, je úroveň uděleného oprávnění a spolehlivost příjemce takového oprávnění.“
Kryptopodvod a vysvětlení od Chainalysis's Cybercrime Research Lead ohledně schválení phishingu
Mezi další klíčové aspekty schvalovacího phishingu se zdá, že existuje konkrétní výběr oběti podvodníkem, stejně jako u romantických podvodů.
Ve skutečnosti se může stát, že se to podvodníkům podaří budovat osobní vztahy s oběťmi, aby si získal jejich důvěru a pak je přimět podepsat podvodnou transakci.
Toto přizpůsobení vztahu podvodník-oběť by mohlo přinést potíže se sledováním a ověřováním takových transakcí na blockchainu.
Chainalysis to také vysvětluje, aby to bylo možné bojovat proti tomuto typu kryptopodvodu, by měl kryptoměnový průmysl více vzdělávat své uživatele.
V tomto ohledu, Jardine komentoval takto:
„Protože tito podvodníci obvykle vydělávají peníze pomocí centralizovaných burz, je možné monitorovat blockchain a identifikovat podezřelé peněženky. Týmy pro dodržování předpisů odpovědné za ochranu uživatelů by pak mohly v reálném čase vidět pohyby na těchto peněženkách a provádět akce, jako je automatické zmrazení prostředků nebo jejich nahlášení orgánům činným v trestním řízení.“
A pak dodal:
„V širším smyslu může toto odvětví pracovat na tom, aby uživatele poučilo o úrovni přístupu, kterou udělují pokaždé, když schválí transakci, a zopakuje, jak je důležité takové požadavky nepřijímat, pokud neexistuje absolutní důvěra v osobu nebo společnost, se kterou jednají. “
Phishingový útok na X účet Vitalika Buterina
Techniky phishingu jsou různé a kromě schvalovacího phishingu, který se podle Chainalysis v posledních letech prosazuje v krypto sektoru, zůstává ten nejběžnější phishingový útok prostřednictvím e-mailu.
Mezi nejsenzačnější e-mailové phishingové útoky v poslední době patří ten, ke kterému došlo loni v září 2023, na X účet Vitalika Buterina, spoluzakladatel Etherea. Podvodníkům se to podařilo ukrást 700,000 XNUMX $ od uživatelů.
V praxi byl Buterinův kompromitovaný účet X použit k propagaci falešné pamětní mince NFT. Uživatelé byli vyzváni k ražení těchto NFT s časově omezenou nabídkou.
Prostřednictvím nástroje „Pink drainer software“ se podvodníkům podařilo okrást oběti, které klikly na odkaz na phishingový web, aniž by si byly vědomy, že jde o kryptografický podvod.
Zdroj: https://en.cryptonomist.ch/2024/01/12/crypto-scam-eric-jardine-of-chainalysis-explains-the-approval-phishing/