Kiberbiztonság a Web3-ban: Védje meg magát (és a majmát JPEG)

Annak ellenére Web3 Az evangélisták régóta hirdetik a blokklánc natív biztonsági funkcióit, az iparágba áramló pénzáradat csábító kilátásba helyezi a hackerek számára, csalók és tolvajok.

Amikor a rossz szereplőknek sikerül feltörniük a Web3 kiberbiztonságát, az gyakran annak köszönhető, hogy a felhasználók figyelmen kívül hagyják az emberi kapzsiság, a FOMO és a tudatlanság leggyakoribb fenyegetéseit, nem pedig a technológia hibái miatt.

Sok átverés ígér nagy kifizetéseket, befektetéseket vagy exkluzív juttatásokat; az FTC ezeket pénzkereseti lehetőségeknek és befektetéseknek nevezi csalások.

Nagy pénzek csalásokban

Egy június 2022-i közlemény szerint jelentést a Szövetségi Kereskedelmi Bizottság szerint 1 óta több mint 2021 milliárd dollárnyi kriptovalutát loptak el. És a hackerek vadászterületein gyűlnek össze az emberek az interneten.

„A 2021 óta tartó átverés miatti kriptográfiai veszteségről számolt emberek csaknem fele azt mondta, hogy az egy közösségi médiában megjelent hirdetéssel, bejegyzéssel vagy üzenettel kezdődött” – közölte az FTC.

Noha a csaló beszólások túl jól hangzanak ahhoz, hogy igazak legyenek, a potenciális áldozatok felfüggeszthetik a hitetlenséget, tekintettel a kriptopiac intenzív ingadozására; az emberek nem akarnak lemaradni a következő nagy dologról.

NFT-ket célzó támadók

A kriptovaluták mellett NFT, vagy nem helyettesíthető tokenek váltak an egyre népszerűbb csalók célpontja; a Web3 kiberbiztonsági cég szerint TRM Labs, a 2022 májusát követő két hónapban az NFT közösség becslések szerint 22 millió dollárt veszített csalások és adathalász támadások miatt.

„Blue-chip” kollekciók, mint pl Unatkozó Ape Yacht Club (BAYC) különösen nagyra becsült célpont. 2022 áprilisában a BAYC Instagram-fiókja az volt csapkodott csalók, akik egy olyan webhelyre irányították az áldozatokat, amelyek kiürítették az Ethereum pénztárcájukat a kripto- és NFT-kből. Mintegy 91 NFT-t loptak el, összesen több mint 2.8 millió dollár értékben. Hónapokkal később, a Discord exploit 200 ETH értékű NFT-t látott ellopni a felhasználóktól.

A nagy horderejű BAYC-tartók is csalások áldozatai lettek. Május 17-én színész és producer Seth zöld Twitteren azt írta, hogy egy adathalász csalás áldozata lett, amelynek eredményeként négy NFT-t, köztük a Bored Ape #8398-at is elloptak. Amellett, hogy rávilágított az adathalász támadások jelentette veszélyre, kisiklhatta volna a Green által tervezett NFT-témájú televíziós/streaming műsort, a „White Horse Tavern”-t. A BAYC NFT-k licencjogokat tartalmaznak az NFT kereskedelmi célú használatára, mint például a Unatkozó és Éhes gyorsétterem Long Beachben, CA.

A Twitter Spaces június 9-i ülésén Zöld azt mondta, hogy visszaszerezte az ellopott JPEG-et, miután 165 ETH-t (akkor több mint 295,000 XNUMX dollárt) fizetett egy személynek, aki megvásárolta az NFT-t, miután ellopták.

„Még mindig az adathalászat a támadás első vektora” – mondta Luis Lubeck, a Web3 kiberbiztonsági cég biztonsági mérnöke. Halborn, elmondta visszafejtése.

Lubeck szerint a felhasználóknak tisztában kell lenniük azokkal a hamis webhelyekkel, amelyek pénztárca hitelesítő adatait, klónozott hivatkozásokat és hamis projekteket kérnek.

Lubeck szerint egy adathalász csalás kezdődhet szociális manipulációval, amikor a felhasználót a token korai bevezetéséről tájékoztatják, vagy arról, hogy százszorosára növelik a pénzüket, alacsony API-t használnak, vagy hogy fiókját feltörték, és jelszómódosítást igényel. Ezek az üzenetek általában korlátozott cselekvési idővel érkeznek, ami tovább növeli a felhasználó félelmét a lemaradástól, más néven FOMO-tól.

Green esetében az adathalász támadás egy klónozott linken keresztül érkezett.

Az adathalászat klónozása olyan támadás, amelynek során egy csaló elvesz egy webhelyet, e-mailt vagy akár egy egyszerű hivatkozást, és létrehoz egy szinte tökéletes másolatot, amely legitimnek tűnik. Green úgy gondolta, hogy „GutterCat” klónokat ver, amiről kiderült, hogy egy adathalász webhely.

Amikor Green csatlakoztatta a pénztárcáját az adathalász webhelyhez, és aláírta az NFT létrehozásáról szóló tranzakciót, hozzáférést adott a hackereknek a privát kulcsaihoz, és a Bored Apes-hez.

A kibertámadások típusai

A biztonság megsértése cégeket és magánszemélyeket egyaránt érinthet. Bár a lista nem teljes, a Web3-at célzó kibertámadások általában a következő kategóriákba sorolhatók:

• ? Adathalászat: A kibertámadások egyik legrégebbi, mégis leggyakoribb formája, az adathalász támadások általában e-mailek formájában jelentkeznek, és magukban foglalják a csalárd kommunikációt, például szövegeket és üzeneteket a közösségi médiában, amelyek úgy tűnik, jó hírű forrásból származnak. Ez a számítógépes bűnözés feltört vagy rosszindulatúan kódolt webhely formáját is öltheti, amely eltávolíthatja a titkosítást vagy az NFT-t egy csatlakoztatott böngészőalapú pénztárcából, miután egy kriptográfiai pénztárcát csatlakoztatott.
• ?‍☠️ malware: A rosszindulatú szoftverek rövidítése, ez az összefoglaló kifejezés minden, a rendszerekre káros programra vagy kódra vonatkozik. A rosszindulatú programok adathalász e-maileken, szöveges üzeneteken és üzeneteken keresztül juthatnak be a rendszerbe.
• ? Kompromittált webhelyek: Ezeket a törvényes webhelyeket bűnözők eltérítették, és rosszindulatú programok tárolására használják, amelyeket a gyanútlan felhasználók letöltenek, miután egy hivatkozásra, képre vagy fájlra kattintanak.
• ? URL hamisítás: Feltört webhelyek kapcsolatának megszüntetése; A hamisított webhelyek olyan rosszindulatú webhelyek, amelyek legitim webhelyek klónjai. Az URL-adathalászat néven is ismert webhelyek felhasználóneveket, jelszavakat, hitelkártyákat, kriptovalutákat és egyéb személyes adatokat gyűjthetnek be.
• ? Hamis böngészőbővítmények: Ahogy a neve is sugallja, ezek a kihasználások hamis böngészőbővítményeket használnak, hogy rávegyék a kriptográfiai felhasználókat, hogy beírják hitelesítő adataikat vagy kulcsaikat egy bővítménybe, amely hozzáférést biztosít a kiberbűnözők számára az adatokhoz.

Ezek a támadások általában érzékeny információkhoz, illetve Green esetében egy Bored Ape NFT-hez való hozzáférést, ellopást és megsemmisítést célozzák.

Mit tehetsz, hogy megvédd magad?

Lubeck szerint a legjobb módja annak, hogy megvédje magát az adathalászattól, ha soha nem válaszol ismeretlen személytől, cégtől vagy fióktól érkező e-mailre, SMS-re, táviratra, Discord- vagy WhatsApp-üzenetre. „Ennél tovább megyek” – tette hozzá Lubeck. "Soha ne adjon meg hitelesítő adatokat vagy személyes adatokat, ha nem a felhasználó indította el a kommunikációt."

Lubeck azt javasolja, hogy nyilvános vagy megosztott WiFi vagy hálózat használatakor ne adja meg hitelesítő adatait vagy személyes adatait. Ráadásul Lubeck elmondja visszafejtése hogy az embereknek ne legyen hamis biztonságérzetük, mert egy adott operációs rendszert vagy telefontípust használnak.

„Ha az ilyen típusú csalásokról beszélünk: adathalászat, weboldalak megszemélyesítése, nem számít, hogy iPhone-t, Linuxot, Macet, iOS-t, Windowst vagy Chromebookot használ” – mondja. „Nevezd el az eszközt; a probléma a webhely, nem az eszköz.

Tartsa biztonságban kripto- és NFT-jeit

Nézzünk inkább egy „Web3” cselekvési tervet.

Ha lehetséges, használjon hardvert vagy légréseket pénztárcák digitális eszközök tárolására. Ezek az eszközök, amelyeket néha „hűtött tárolásnak” neveznek, eltávolítják a titkosítást az internetről, amíg készen nem áll a használatra. Bár általános és kényelmes a böngésző alapú pénztárcák használata, mint pl metamaszk, ne feledje, bármi, ami az internethez kapcsolódik, feltörhető.

Ha mobiltárcát, böngészőt vagy asztali pénztárcát (más néven hot Wallet) használ, töltse le azokat hivatalos platformokról, például a Google Play Áruházból, az Apple App Store-ból vagy ellenőrzött webhelyekről. Soha ne töltsön le szöveges vagy e-mailben küldött linkekről. Annak ellenére, hogy a rosszindulatú alkalmazások bejuthatnak a hivatalos boltokba, ez biztonságosabb, mint a hivatkozások használata.

A tranzakció befejezése után válassza le a pénztárcát a webhelyről.

Ügyeljen arra, hogy privát kulcsait, kezdőkifejezéseit és jelszavait bizalmasan kezelje. Ha arra kérik, hogy ossza meg ezt az információt, hogy részt vegyen egy befektetésben vagy pénzverésben, az átverés.

Csak olyan projektekbe fektessen be, amelyeket megért. Ha nem világos, hogyan működik a rendszer, hagyja abba, és végezzen további kutatásokat.

Hagyja figyelmen kívül a nagynyomású taktikákat és a szoros határidőket. A csalók gyakran arra használják ezt, hogy megpróbálják felhívni a FOMO-t, és rávegyék a potenciális áldozatokat, hogy ne gondoljanak arra, amit mondanak nekik, és ne kutassák azt.

Végül, de nem utolsósorban, ha túl jól hangzik ahhoz, hogy igaz legyen, akkor valószínűleg átverésről van szó.