Kibernetinis saugumas Web3: apsisaugokite save (ir savo beždžionę JPEG)

Net jei Web3 evangelistai jau seniai reklamuoja vietines blokų grandinės saugumo ypatybes, o pinigų srautas, patenkantis į pramonę, daro tai viliojančia perspektyva įsilaužėliams, sukčiai ir vagys.

Kai blogiems veikėjams pavyksta pažeisti Web3 kibernetinį saugumą, dažniausiai vartotojai neatsižvelgia į dažniausiai pasitaikančias žmonių godumo, FOMO ir nežinojimo grėsmes, o ne dėl technologijos trūkumų.

Daugelis apgavysčių žada didelius atlygius, investicijas ar išskirtines privilegijas; FTC tai vadina pinigų uždirbimo galimybėmis ir investicijomis sukčiai.

Dideli pinigai sukčiavimuose

Pagal birželio 2022 d pranešti Federalinės prekybos komisijos duomenimis, nuo 1 m. buvo pavogta daugiau nei 2021 mlrd.

„Beveik pusė žmonių, kurie nuo 2021 m. pranešė praradę kriptovaliutą dėl sukčiavimo, sakė, kad tai prasidėjo nuo skelbimo, įrašo ar pranešimo socialinės žiniasklaidos platformoje“, – nurodė FTC.

Nors apgaulingi pasiūlymai skamba per gerai, kad būtų tiesa, potencialios aukos gali sustabdyti netikėjimą, atsižvelgiant į didelį kriptovaliutų rinkos nepastovumą; žmonės nenori praleisti kito didelio dalyko.

Užpuolikai, taikantys NFT

Kartu su kriptovaliutomis, NFT, arba nepakeičiami žetonai, tapo an vis labiau populiarėja taikinys sukčiams; Anot Web3 kibernetinio saugumo įmonės „TRM Labs“, per du mėnesius po 2022 m. gegužės mėn. NFT bendruomenė dėl sukčiavimo ir sukčiavimo atakų prarado apie 22 mln.

„Blue-chip“ kolekcijos, tokios kaip Nuobodu Ape jachtklubu (BAYC) yra ypač vertinamas tikslas. 2022 m. balandžio mėn. BAYC Instagram paskyra buvo nulaužė sukčiai, nukreipę aukas į svetainę, kuri išsunkė jų Ethereum pinigines nuo kriptovaliutų ir NFT. Buvo pavogtas 91 NFT, kurių bendra vertė viršijo 2.8 mln. USD. Po kelių mėnesių a Nesantaika išnaudoti pamatė iš vartotojų pavogtus NFT, kurių vertė 200 ETH.

Aukšto profilio BAYC laikikliai taip pat tapo sukčių aukomis. Gegužės 17 d., aktorius ir prodiuseris Sethas Greenas tviteryje paskelbė, kad jis tapo sukčiavimo sukčiavimo auka, dėl kurios buvo pavogti keturi NFT, įskaitant Bored Ape #8398. Tai ne tik pabrėžė sukčiavimo išpuolių keliamą grėsmę, bet ir galėjo sužlugdyti NFT temą televizijos / transliacijos laidą, kurią suplanavo Greenas „White Horse Tavern“. BAYC NFT apima licencijavimo teises naudoti NFT komerciniais tikslais, kaip ir tuo atveju Nuobodus ir alkanas greito maisto restoranas Long Byče, Kalifornijoje.

Birželio 9 d. „Twitter Spaces“ sesijos metu Green pasakė, kad atgavo pavogtą JPEG, kai sumokėjo 165 ETH (tuo metu daugiau nei 295,000 XNUMX USD) asmeniui, kuris nusipirko NFT po to, kai jis buvo pavogtas.

„Sukčiavimas vis dar yra pirmasis atakos vektorius“, – sakė Luisas Lubeckas, „Web3“ kibernetinio saugumo įmonės saugumo inžinierius. HalbornasSakė Atšaukti.

Liubekas teigia, kad vartotojai turėtų žinoti apie netikras svetaines, kuriose prašoma piniginės kredencialų, klonuotų nuorodų ir netikrų projektų.

Pasak Lubecko, sukčiavimo sukčiavimas gali prasidėti socialine inžinerija, pranešant vartotojui apie ankstyvą prieigos rakto paleidimą arba tai, kad jis 100 kartų padidins savo pinigus, žemą API arba kad jo paskyra buvo pažeista ir reikia pakeisti slaptažodį. Šie pranešimai paprastai pateikiami per ribotą veikimo laiką, o tai dar labiau padidina vartotojo baimę praleisti, dar vadinamą FOMO.

Greeno atveju sukčiavimo ataka įvyko per klonuotą nuorodą.

Sukčiavimo klonavimas yra ataka, kai sukčius paima svetainę, el. laišką ar net paprastą nuorodą ir sukuria beveik tobulą kopiją, kuri atrodo teisėta. Greenas manė, kad jis kaldina „GutterCat“ klonus naudodamas sukčiavimo svetainę.

Kai Greenas prijungė savo piniginę prie sukčiavimo svetainės ir pasirašė sandorį, kad sukurtų NFT, jis suteikė įsilaužėliams prieigą prie savo privačių raktų ir, savo ruožtu, nuobodžių beždžionių.

Kibernetinių atakų rūšys

Saugumo pažeidimai gali turėti įtakos tiek įmonėms, tiek asmenims. Nors ir ne visas sąrašas, kibernetinės atakos, nukreiptos į Web3, paprastai skirstomos į šias kategorijas:

• ? Phishing: Viena iš seniausių, tačiau labiausiai paplitusių kibernetinių atakų formų, sukčiavimo atakos dažniausiai būna el. laiškų forma ir apima apgaulingų pranešimų siuntimą, pvz., tekstinius pranešimus ir žinutes socialinėje žiniasklaidoje, kurios, atrodo, gaunamos iš patikimo šaltinio. Tai elektroniniai nusikaltimai taip pat gali būti pažeistos arba kenkėjiškai užkoduotos svetainės forma, kuri gali nuimti kriptovaliutą arba NFT iš prijungtos naršyklės piniginės, kai prijungiama kriptovaliutų piniginė.
• ?‍☠️ Malware: Kenkėjiškos programinės įrangos trumpinys, šis skėtinis terminas apima bet kokią sistemoms kenksmingą programą ar kodą. Kenkėjiškos programos gali patekti į sistemą per sukčiavimo el. laiškus, žinutes ir pranešimus.
• ? Sugadintos svetainės: Šias teisėtas svetaines užgrobia nusikaltėliai ir jos naudojamos kenkėjiškoms programoms saugoti, kurias nieko neįtariantys vartotojai atsisiunčia spustelėję nuorodą, vaizdą ar failą.
• ? URL klastojimas: Atsieti pažeistas svetaines; suklastotos svetainės yra kenkėjiškos svetainės, kurios yra teisėtų svetainių klonai. Taip pat žinomos kaip URL sukčiavimas, šios svetainės gali rinkti naudotojų vardus, slaptažodžius, kredito korteles, kriptovaliutą ir kitą asmeninę informaciją.
• ? Suklastoti naršyklės plėtiniai: Kaip rodo pavadinimas, šie išnaudojimai naudoja netikrus naršyklės plėtinius, kad suklaidintų kriptovaliutų vartotojus, kad jie įvestų savo kredencialus arba raktus į plėtinį, suteikiantį kibernetiniams nusikaltėliams prieigą prie duomenų.

Šiomis atakomis paprastai siekiama pasiekti, pavogti ir sunaikinti neskelbtiną informaciją arba, Greeno atveju, Bored Ape NFT.

Ką galite padaryti, kad apsisaugotumėte?

Liubekas teigia, kad geriausias būdas apsisaugoti nuo sukčiavimo – niekada neatsakyti į el. laišką, SMS žinutes, „Telegram“, „Discord“ ar „WhatsApp“ žinutes iš nežinomo asmens, įmonės ar paskyros. „Aš eisiu toliau“, – pridūrė Liubekas. „Niekada neįveskite kredencialų ar asmeninės informacijos, jei vartotojas nepradėjo ryšio“.

Lubeck rekomenduoja neįvesti savo kredencialų ar asmeninės informacijos, kai naudojatės viešuoju arba bendrinamu „Wi-Fi“ ryšiu ar tinklais. Be to, Liubekas pasakoja Atšaukti kad žmonės neturėtų klaidingo saugumo jausmo, nes naudoja tam tikrą operacinę sistemą arba telefono tipą.

„Kai kalbame apie tokius sukčiavimus: sukčiavimą, apsimetinėjimą tinklalapiais, nesvarbu, ar naudojate iPhone, Linux, Mac, iOS, Windows ar Chromebook įrenginius“, – sako jis. „Pavadinkite įrenginį; problema yra svetainėje, o ne jūsų įrenginyje.

Saugokite savo kriptovaliutą ir NFT

Pažvelkime į daugiau „Web3“ veiksmų planą.

Jei įmanoma, naudokite techninę įrangą arba oro tarpus piniginės saugoti skaitmeninį turtą. Šie įrenginiai, kartais apibūdinami kaip „šaltoji saugykla“, pašalina jūsų kriptovaliutą iš interneto, kol būsite pasirengę jį naudoti. Nors įprasta ir patogu naudoti naršyklės pagrindu veikiančias pinigines, pvz MetaMask, atminkite, kad viskas, kas prijungta prie interneto, gali būti nulaužta.

Jei naudojate mobiliąją, naršyklę ar darbalaukio piniginę, dar vadinamą karštąja pinigine, atsisiųskite jas iš oficialių platformų, pvz., „Google Play Store“, „Apple App Store“ arba patvirtintų svetainių. Niekada neatsisiųskite iš nuorodų, atsiųstų žinute ar el. paštu. Nors kenkėjiškos programos gali patekti į oficialias parduotuves, tai saugiau nei naudoti nuorodas.

Baigę operaciją, atjunkite piniginę nuo svetainės.

Būtinai laikykite privačius raktus, pradines frazes ir slaptažodžius privačius. Jei jūsų prašoma pasidalinti šia informacija, kad galėtumėte dalyvauti investuojant ar kaldinant, tai yra apgaulė.

Investuokite tik į jums suprantamus projektus. Jei neaišku, kaip schema veikia, sustokite ir atlikite daugiau tyrimų.

Nepaisykite aukšto slėgio taktikos ir griežtų terminų. Dažnai sukčiai tai naudoja siekdami iškviesti FOMO ir priversti potencialias aukas negalvoti apie tai, kas jiems sakoma, ir netyrinėti.

Paskutinis, bet ne mažiau svarbus dalykas, jei tai skamba per gerai, kad būtų tiesa, tikriausiai tai yra sukčiavimas.