Kyberturvallisuus Web3:ssa: Itsesi suojaaminen (ja apinasi JPEG)

Vaikka Web3 evankelistat ovat mainostaneet lohkoketjun alkuperäisiä suojausominaisuuksia jo pitkään, alalle virtaava rahavirta tekee siitä houkuttelevan mahdollisuuden hakkereille, huijarit ja varkaita.

Kun huonot toimijat onnistuvat rikkomaan Web3:n kyberturvallisuuden, syynä on usein se, että käyttäjät eivät huomaa tekniikan puutteiden sijasta yleisimmät ihmisten ahneuden, FOMO:n ja tietämättömyyden uhkat.

Monet huijaukset lupaavat suuria voittoja, sijoituksia tai eksklusiivisia etuja; FTC kutsuu näitä rahantekomahdollisuuksiksi ja investoinneiksi huijauksia.

Isot rahat huijauksilla

2022. kesäkuuta mukaan raportti Federal Trade Commissionin mukaan yli miljardi dollaria kryptovaluuttoja on varastettu vuodesta 1 lähtien. Ja hakkereiden metsästysmaille ihmiset kokoontuvat verkossa.

"Lähes puolet ihmisistä, jotka ilmoittivat menettäneensä krypton huijaukselle vuodesta 2021 lähtien, sanoi, että se alkoi mainoksesta, viestistä tai viestistä sosiaalisessa mediassa", FTC sanoi.

Vaikka petolliset ilmoitukset kuulostavat liian hyvältä ollakseen totta, mahdolliset uhrit voivat keskeyttää epäuskonsa kryptomarkkinoiden voimakkaan epävakauden vuoksi; ihmiset eivät halua missata seuraavaa suurta asiaa.

Hyökkääjät, jotka kohdistuvat NFT:hen

Salausvaluutan ohella NFT: t, tai ei-vaihtokelpoisista tunnuksista on tullut an yhä suositumpi kohde huijareille; Web3-kyberturvallisuusyrityksen mukaan TRM Labs, toukokuuta 2022 seuraavien kahden kuukauden aikana NFT-yhteisö menetti arviolta 22 miljoonaa dollaria huijausten ja tietojenkalasteluhyökkäyksien vuoksi.

"Blue-chip" -kokoelmat, kuten Kyllästynyt Ape Yacht Club (BAYC) ovat erityisen arvostettu kohde. Huhtikuussa 2022 BAYC Instagram-tili oli hakkeroitu huijarit, jotka ohjasivat uhrit sivustolle, joka tyhjensi heidän Ethereum-lompakkonsa krypto- ja NFT:istä. Noin 91 NFT:tä, joiden yhteenlaskettu arvo oli yli 2.8 miljoonaa dollaria, varastettiin. Kuukausia myöhemmin a Discord hyväksikäyttö näki käyttäjiltä varastetun 200 ETH:n arvoisen NFT:n.

Myös korkean profiilin BAYC-telineet ovat joutuneet huijausten uhreiksi. 17. toukokuuta, näyttelijä ja tuottaja Seth Green twiittasi olevansa tietojenkalasteluhuijauksen uhri, joka johti neljän NFT:n, mukaan lukien Bored Ape #8398:n, varkaukseen. Sen lisäksi, että se on korostanut tietojenkalasteluhyökkäysten aiheuttamaa uhkaa, se olisi voinut suistaa raiteilta Greenin suunnitteleman NFT-teeman televisio-/suoratoisto-ohjelman, "White Horse Tavern". BAYC NFT:t sisältävät lisenssioikeudet käyttää NFT:tä kaupallisiin tarkoituksiin, kuten tapauksessa Kyllästynyt & Nälkäinen pikaruokaravintola Long Beachissä, CA.

Twitter Spaces -istunnon aikana 9. kesäkuuta Vihreä kertoi saaneensa takaisin varastetun JPEG:n maksettuaan 165 ETH (yli 295,000 XNUMX dollaria tuolloin) henkilölle, joka oli ostanut NFT:n sen varastamisen jälkeen.

"Tietojenkalastelu on edelleen ensimmäinen hyökkäysvektori", Web3-kyberturvallisuusyrityksen tietoturvainsinööri Luis Lubeck Halborn syntynyt, Kertoi Pura.

Lubeck sanoo, että käyttäjien tulisi olla tietoisia väärennetyistä verkkosivustoista, jotka pyytävät lompakkotunnuksia, kloonattuja linkkejä ja väärennettyjä projekteja.

Lubeckin mukaan tietojenkalasteluhuijaus voi alkaa sosiaalisella manipuloinnilla, jossa käyttäjälle kerrotaan varhaisesta tunnuksen käynnistämisestä tai siitä, että hän 100-kertaistaa rahansa, alhaisesta API:sta tai että hänen tilinsä on rikottu ja vaatii salasanan vaihtamisen. Näillä viesteillä on yleensä rajoitettu aika toimia, mikä lisää käyttäjän menettämisen pelkoa, joka tunnetaan myös nimellä FOMO.

Greenin tapauksessa tietojenkalasteluhyökkäys tuli kloonatun linkin kautta.

Kloonien tietojenkalastelu on hyökkäys, jossa huijari ottaa verkkosivuston, sähköpostin tai jopa yksinkertaisen linkin ja luo lähes täydellisen kopion, joka näyttää lailliselta. Green luuli tekevänsä "GutterCat"-klooneja käyttämällä phishing-sivustoa.

Kun Green liitti lompakkonsa tietojenkalastelusivustoon ja allekirjoitti kaupan NFT:n luomiseksi, hän antoi hakkereille pääsyn yksityisiin avaimiinsa ja vuorostaan ​​Bored Apeseihinsa.

Kyberhyökkäystyypit

Tietoturvaloukkaukset voivat koskea sekä yrityksiä että yksityishenkilöitä. Vaikka luettelo ei ole täydellinen, Web3:een kohdistetut kyberhyökkäykset luokitellaan yleensä seuraaviin luokkiin:

• ? Phishing: Tietojenkalasteluhyökkäykset, jotka ovat yksi vanhimmista mutta yleisimmistä kyberhyökkäysmuodoista, tulevat yleensä sähköpostin muodossa ja sisältävät vilpillisen viestinnän, kuten tekstien ja viestien lähettämisen sosiaalisessa mediassa, jotka näyttävät tulevan hyvämaineisesta lähteestä. Tämä tietoverkkorikollisuuden voi myös olla vaarantunut tai haitallisesti koodattu verkkosivusto, joka voi tyhjentää krypton tai NFT:n liitetystä selainpohjaisesta lompakosta, kun kryptolompakko on yhdistetty.
• ?‍☠️ haittaohjelmat: Lyhennettynä haittaohjelmista, tämä kattotermi kattaa kaikki järjestelmille haitalliset ohjelmat tai koodit. Haittaohjelmat voivat päästä järjestelmään tietojenkalasteluviestien, tekstiviestien ja viestien kautta.
• ? Vaaralliset verkkosivustot: Rikolliset kaappaavat nämä lailliset verkkosivustot, ja niitä käytetään haittaohjelmien tallentamiseen, jotka pahaa aavistamattomat käyttäjät lataavat napsautettuaan linkkiä, kuvaa tai tiedostoa.
• ? URL-osoitteiden väärinkäyttö: Pura vaarantuneiden verkkosivustojen linkki; huijaussivustot ovat haitallisia sivustoja, jotka ovat laillisten verkkosivustojen klooneja. Nämä sivustot, jotka tunnetaan myös nimellä URL-phishing, voivat kerätä käyttäjänimiä, salasanoja, luottokortteja, kryptovaluuttoja ja muita henkilökohtaisia ​​tietoja.
• ? Väärennetyt selainlaajennukset: Kuten nimestä voi päätellä, nämä hyväksikäytöt käyttävät väärennettyjä selainlaajennuksia huijatakseen kryptokäyttäjät syöttämään valtuustietonsa tai avaimensa laajennukseen, joka antaa kyberrikollisille pääsyn tietoihin.

Näiden hyökkäysten tarkoituksena on yleensä päästä käsiksi, varastaa ja tuhota arkaluonteisia tietoja tai Greenin tapauksessa Bored Ape NFT:tä.

Mitä voit tehdä itsesi suojaamiseksi?

Lubeck sanoo, että paras tapa suojautua tietojenkalastelulta on olla koskaan vastaamatta tuntemattoman henkilön, yrityksen tai tilin lähettämään sähköpostiin, tekstiviestiin, Telegramiin, Discord- tai WhatsApp-viestiin. "Aion mennä pidemmälle", Lyypeck lisäsi. "Älä koskaan syötä valtuustietoja tai henkilökohtaisia ​​tietoja, jos käyttäjä ei ole aloittanut viestintää."

Lubeck suosittelee, että et syötä kirjautumistietojasi tai henkilökohtaisia ​​tietojasi, kun käytät julkista tai jaettua WiFi-yhteyttä tai verkkoja. Lisäksi Lyypekki kertoo Pura että ihmisillä ei pitäisi olla väärää turvallisuuden tunnetta, koska he käyttävät tiettyä käyttöjärjestelmää tai puhelintyyppiä.

"Kun puhumme tämäntyyppisistä huijauksista: tietojenkalastelu, verkkosivujen toisena henkilönä esiintyminen, sillä ei ole väliä, käytätkö iPhonea, Linuxia, Macia, iOS:a, Windowsia vai Chromebookia", hän sanoo. "Nimeä laite; ongelma on sivustossa, ei laitteessasi."

Pidä krypto- ja NFT:si turvassa

Katsotaanpa lisää "Web3"-toimintasuunnitelmaa.

Jos mahdollista, käytä laitteistoa tai ilmarakoisia lompakot tallentaa digitaalista omaisuutta. Nämä laitteet, joita joskus kutsutaan "kylmävarastoiksi", poistavat kryptosi Internetistä, kunnes olet valmis käyttämään sitä. Vaikka on yleistä ja kätevää käyttää selainpohjaisia ​​lompakoita, kuten MetaMaskMuista, että kaikki Internetiin liitetyt asiat voivat joutua hakkerointiin.

Jos käytät mobiili-, selain- tai työpöytälompakkoa, joka tunnetaan myös nimellä hot wallet, lataa ne virallisista alustoista, kuten Google Play Kaupasta, Applen App Storesta tai vahvistetuilta verkkosivustoilta. Älä koskaan lataa tekstiviestillä tai sähköpostilla lähetetyistä linkeistä. Vaikka haitalliset sovellukset voivat löytää tiensä virallisiin liikkeisiin, se on turvallisempaa kuin linkkien käyttäminen.

Kun olet suorittanut tapahtuman, irrota lompakko verkkosivustosta.

Muista pitää yksityiset avaimesi, siemenlauseesi ja salasanasi yksityisinä. Jos sinua pyydetään jakamaan nämä tiedot osallistuaksesi sijoitukseen tai rahapajaan, kyseessä on huijaus.

Sijoita vain hankkeisiin, jotka ymmärrät. Jos on epäselvää, miten järjestelmä toimii, lopeta ja tutki lisää.

Ohita korkeapainetaktiikat ja tiukat määräajat. Usein huijarit käyttävät tätä yrittääkseen kutsua FOMO:ta ja saada mahdolliset uhrit olemaan ajattelematta tai tutkimatta sitä, mitä heille kerrotaan.

Viimeisenä mutta ei vähäisimpänä, jos se kuulostaa liian hyvältä ollakseen totta, se on todennäköisesti huijaus.