V rychle se rozvíjejícím a neustále se vyvíjejícím světě kryptoměn, kde se vyměňují digitální aktiva a lze vydělat jmění, ohrožuje bezpečnost ostřílených investorů i nováčků číhající nebezpečí: kryptophishingové podvody.
Tato schémata jsou navržena tak, aby využívala důvěry a zranitelnosti jednotlivců a jejich cílem je přimět je k odhalení jejich citlivých informací nebo dokonce k rozchodu s jejich těžce vydělanými kryptografickými držbami.
Jak popularita kryptoměn neustále roste, roste i sofistikovanost phishingových technik používaných kyberzločinci. Od vydávání se za legitimní burzy a peněženky až po vytváření přesvědčivých taktik sociálního inženýrství se tito podvodníci nezastaví před ničím, aby získali neoprávněný přístup k vašim digitálním aktivům.
Zlomyslní aktéři používají různé metody sociálního inženýrství, aby se zaměřili na své oběti. Pomocí taktiky sociálního inženýrství podvodníci manipulují emocemi uživatelů a vytvářejí pocit důvěry a naléhavosti.
Eric Parker, generální ředitel a spoluzakladatel Giddy – inteligentní peněženky s nevěrnou peněženkou – řekl Cointelegraphu: „Oslovil vás někdo, aniž byste se zeptali? To je jedno z největších pravidel, která můžete použít. Zákaznický servis se na vás proaktivně obrací jen zřídka, pokud vůbec někdy, takže byste měli být vždy podezřívaví ke zprávám, které říkají, že musíte na svém účtu zasáhnout.“
„Stejný nápad s penězi zdarma: Pokud vám někdo posílá zprávy, protože vám chce dát peníze zdarma, je to pravděpodobné, nikoli skutečné. Dávejte si pozor na jakoukoli zprávu, která je příliš dobrá na to, aby byla pravdivá, nebo ve vás vyvolává okamžitý pocit naléhavosti nebo strachu, abyste mohli rychle jednat.“
E-mailové podvody a zprávy
Jednou z běžných technik používaných v krypto phishingových podvodech je vydávání se za důvěryhodné entity, jako jsou burzy kryptoměn nebo poskytovatelé peněženek. Podvodníci rozesílají e-maily nebo zprávy, které vypadají, že pocházejí od těchto legitimních organizací, a používají podobné značky, loga a e-mailové adresy. Jejich cílem je oklamat příjemce, aby uvěřili, že komunikace pochází z důvěryhodného zdroje.
Aby toho dosáhli, mohou podvodníci použít techniky, jako je e-mail spoofing, kdy padělají e-mailovou adresu odesílatele, aby vypadala, jako by pocházela od legitimní organizace. Mohou také použít taktiku sociálního inženýrství k personalizaci zpráv a učinit je autentičtějšími. Vydáváním se za důvěryhodné entity podvodníci využívají důvěry a důvěryhodnosti spojené s těmito organizacemi, aby přiměli uživatele k akcím, které ohrožují jejich bezpečnost.
Falešné žádosti o podporu
Krypto phishingoví podvodníci se často vydávají za zástupce zákaznické podpory legitimních kryptoměnových burz nebo poskytovatelů peněženek. Posílají e-maily nebo zprávy nic netušícím uživatelům a upozorňují na problém s jejich účtem nebo čekající transakci, která vyžaduje okamžitou pozornost.
Podvodníci poskytují způsob kontaktu nebo odkaz na falešnou webovou stránku podpory, kde jsou uživatelé vyzváni k zadání přihlašovacích údajů nebo jiných citlivých informací.
Omri Lahav, generální ředitel a spoluzakladatel Blockfence – rozšíření pro kryptobezpečnostní prohlížeč – řekl Cointelegraphu: „Je důležité si uvědomit, že pokud vám někdo pošle nevyžádanou zprávu nebo e-mail, pravděpodobně po vás něco chce. Tyto odkazy a přílohy mohou obsahovat malware navržený ke krádeži vašich klíčů nebo získání přístupu k vašim systémům,“ pokračuje:
„Navíc vás mohou přesměrovat na phishingové weby. Pro zajištění bezpečnosti vždy ověřte identitu odesílatele a legitimitu e-mailu. Neklikejte přímo na odkazy; zkopírujte a vložte adresu URL do svého prohlížeče a pečlivě zkontrolujte, zda v názvu domény nejsou pravopisné nesrovnalosti.“
Tím, že se podvodníci vydávají za pracovníky podpory, zneužívají důvěru uživatelů v legitimní kanály zákaznické podpory. Kromě toho se živí touhou rychle vyřešit problémy, což vede uživatele k tomu, aby ochotně zveřejnili své soukromé informace, které mohou podvodníci později použít ke škodlivým účelům.
Falešné webové stránky a klonované platformy
Zlomyslní herci mohou také vytvářet falešné webové stránky a platformy, aby nalákali nic netušící uživatele.
Spoofing doménových jmen je technika, kdy podvodníci registrují názvy domén, které se velmi podobají názvům legitimních kryptoměnových burz nebo poskytovatelů peněženek. Mohou si například zaregistrovat doménu jako „exchnage.com“ namísto „exchange.com“ nebo „myethwallet“ namísto „myetherwallet“. Bohužel tyto drobné odchylky mohou nic netušící uživatelé snadno přehlédnout.
Lahav řekl, že uživatelé by si měli „ověřit, zda je dotyčná webová stránka seriózní a dobře známá“.
Nedávné: Bitcoin je na kolizním kurzu se sliby „Net Zero“.
„Kontrola správného pravopisu adresy URL je také zásadní, protože útočníci často vytvářejí adresy URL, které se velmi podobají adresám legitimních stránek. Uživatelé by také měli být opatrní s webovými stránkami, které objeví prostřednictvím reklam Google, protože se nemusí organicky umisťovat vysoko ve výsledcích vyhledávání,“ řekl.
Podvodníci používají tyto falešné názvy domén k vytváření webových stránek, které napodobují legitimní platformy. Často posílají phishingové e-maily nebo zprávy obsahující odkazy na tyto falešné webové stránky a klamou uživatele, aby uvěřili, že mají přístup ke skutečné platformě. Jakmile uživatelé zadají své přihlašovací údaje nebo provedou transakce na těchto webových stránkách, podvodníci zachytí citlivé informace a zneužijí je pro svůj zisk.
Škodlivý software a mobilní aplikace
Hackeři se také mohou uchýlit k použití škodlivého softwaru k cílení na uživatele. Keyloggery a únosy schránky jsou techniky, které podvodníci využívající krypto-phishing používají k odcizení citlivých informací ze zařízení uživatelů.
Keyloggery jsou škodlivé softwarové programy, které zaznamenávají každý stisk klávesy uživatele na svém zařízení. Když uživatelé zadají své přihlašovací údaje nebo soukromé klíče, keylogger tyto informace zachytí a odešle je zpět podvodníkům. Únos schránky zahrnuje zachycení obsahu zkopírovaného do schránky zařízení.
Transakce s kryptoměnami často zahrnují kopírování a vkládání adres peněženky nebo jiných citlivých informací. Podvodníci používají škodlivý software ke sledování schránky a nahrazují legitimní adresy peněženky vlastními. Když uživatelé vloží informace do zamýšleného pole, nevědomky pošlou své prostředky do peněženky podvodníka.
Jak mohou uživatelé zůstat chráněni proti crypto phishingovým podvodům
Existují kroky, které mohou uživatelé podniknout, aby se ochránili při procházení kryptoprostorem.
Povolení dvoufaktorové autentizace (2FA) je jedním z nástrojů, který může pomoci zabezpečit účty související s kryptoměnami před phishingovými podvody.
2FA přidává další vrstvu ochrany tím, že vyžaduje, aby uživatelé kromě hesla poskytli druhou formu ověření, obvykle jedinečný kód vygenerovaný na jejich mobilním zařízení. Tím je zajištěno, že i když útočníci získají přihlašovací údaje uživatele prostřednictvím pokusů o phishing, stále potřebují druhý faktor (například časově založené jednorázové heslo), aby získali přístup.
Využití hardwarových nebo softwarových autentizátorů
Při nastavování 2FA by uživatelé měli zvážit použití hardwarových nebo softwarových autentizátorů, než se spoléhat pouze na autentizaci založenou na SMS. 2FA založená na SMS může být zranitelná vůči útokům s výměnou SIM karet, kdy útočníci podvodně převezmou kontrolu nad telefonním číslem uživatele.
Hardwarové autentizátory, jako je YubiKey nebo bezpečnostní klíče, jsou fyzická zařízení, která generují jednorázová hesla a poskytují další vrstvu zabezpečení. Softwarové autentizátory, jako je Google Authenticator nebo Authy, generují časové kódy na chytrých telefonech uživatelů. Tyto metody jsou bezpečnější než autentizace na základě SMS, protože nejsou náchylné k útokům s výměnou SIM karty.
Ověřte pravost webu
Aby se uživatelé chránili před phishingovými podvody, neměli by klikat na odkazy uvedené v e-mailech, zprávách nebo jiných neověřených zdrojích. Místo toho by měli ručně zadat adresy URL svých kryptoměnových burz, peněženek nebo jiných platforem, ke kterým chtějí mít přístup.
Ručním zadáním adresy URL webové stránky uživatelé zajistí, že vstoupí na legitimní web přímo, místo aby byli přesměrováni na falešný nebo klonovaný web kliknutím na phishingový odkaz.
Buďte opatrní s odkazy a přílohami
Před kliknutím na jakýkoli odkaz by na něj uživatelé měli umístit kurzor myši, aby se ve stavovém řádku prohlížeče nebo v popisku zobrazila cílová adresa URL. To umožňuje uživatelům ověřit skutečný cíl odkazu a zajistit, aby odpovídal očekávané webové stránce.
Phishingoví podvodníci často maskují odkazy zobrazením jiného textu adresy URL, než je cíl. Umístěním kurzoru na odkaz mohou uživatelé odhalit nekonzistence a podezřelé adresy URL, které mohou naznačovat pokus o phishing.
Parker vysvětlil Cointelegraphu: „Je velmi snadné zfalšovat základní odkaz v e-mailu. Podvodník vám může ukázat jeden odkaz v textu e-mailu, ale ze základního hypertextového odkazu udělat něco jiného.“
„Oblíbeným podvodem mezi crypto phishery je zkopírování uživatelského rozhraní renomovaných webových stránek, ale umístění jejich škodlivého kódu do části přihlášení nebo Wallet Connect, což má za následek odcizení hesel, nebo v horším případě odcizené počáteční fráze. Vždy si tedy zkontrolujte adresu URL webu, na který se přihlašujete nebo ke kterému připojujete svou kryptopeněženku.“
Skenování příloh pomocí antivirového softwaru
Uživatelé by měli být opatrní při stahování a otevírání příloh, zejména z nedůvěryhodných nebo podezřelých zdrojů. Přílohy mohou obsahovat malware, včetně keyloggerů nebo trojských koní, které mohou ohrozit bezpečnost zařízení uživatele a kryptoměnových účtů.
Aby se toto riziko zmírnilo, měli by uživatelé před otevřením všechny přílohy zkontrolovat pomocí renomovaného antivirového softwaru. To pomáhá detekovat a odstraňovat všechny potenciální hrozby malwaru, čímž se snižuje pravděpodobnost, že se stanete obětí phishingového útoku.
Udržujte software a aplikace aktualizované
Udržování aktuálních operačních systémů, webových prohlížečů, zařízení a dalšího softwaru je nezbytné pro zachování bezpečnosti zařízení uživatele. Aktualizace mohou zahrnovat bezpečnostní záplaty, které řeší známá slabá místa a chrání před vznikajícími hrozbami.
Použití renomovaného bezpečnostního softwaru
Chcete-li přidat další vrstvu ochrany proti phishingovým podvodům a malwaru, měli by uživatelé zvážit instalaci renomovaného bezpečnostního softwaru do svých zařízení.
Antivirový, antimalwarový a anti-phishingový software může pomoci detekovat a blokovat škodlivé hrozby, včetně phishingových e-mailů, falešných webových stránek a souborů infikovaných malwarem.
Pravidelnou aktualizací a spouštěním bezpečnostních kontrol pomocí renomovaného softwaru mohou uživatelé minimalizovat riziko, že se stanou obětí phishingových podvodů, a zajistit celkovou bezpečnost svých zařízení a aktivit souvisejících s kryptoměnami.
Vzdělávejte se a zůstaňte informováni
Krypto phishingové podvody se neustále vyvíjejí a pravidelně se objevují nové taktiky. Uživatelé by se měli iniciativně vzdělávat o nejnovějších phishingových technikách a podvodech zaměřených na kryptoměnovou komunitu. Kromě toho zůstaňte informováni průzkumem a čtením o nedávných phishingových incidentech a osvědčených bezpečnostních postupech.
Nedávné: Co je to fair use? Nejvyšší soud USA zvažuje dilema týkající se autorských práv AI
Aby byli uživatelé informováni o novinkách souvisejících se zabezpečením a dostávali včasná varování o phishingových podvodech, měli by sledovat důvěryhodné zdroje v komunitě kryptoměn. To může zahrnovat oficiální oznámení a účty na sociálních sítích kryptoměnových burz, poskytovatelů peněženek a renomovaných organizací pro kybernetickou bezpečnost.
Sledováním spolehlivých zdrojů mohou uživatelé dostávat přesné informace a upozornění týkající se nově vznikajících phishingových podvodů, slabých míst zabezpečení a osvědčených postupů pro ochranu jejich kryptografických aktiv.
Zdroj: https://cointelegraph.com/news/crypto-phishing-scams-how-users-can-stay-protected