Kibernetska varnost v Web3: zaščitite sebe (in svojo opico JPEG)

Čeprav Web3 evangelisti že dolgo hvalijo domače varnostne funkcije blockchaina, zaradi toka denarja, ki teče v industrijo, je za hekerje mamljiva možnost, scammers in tatovi.

Ko slabim akterjem uspe vdreti v kibernetsko varnost Web3, je to pogosto posledica tega, da uporabniki spregledajo najpogostejše grožnje človeškega pohlepa, FOMO in nevednosti, ne pa zaradi napak v tehnologiji.

Številne prevare obljubljajo velike dobičke, naložbe ali ekskluzivne ugodnosti; FTC to imenuje priložnosti za ustvarjanje denarja in naložbe prevare.

Velik denar v prevarah

Glede na 2022. junij poročilo Zvezna komisija za trgovino je od leta 1 ukradla več kot milijardo dolarjev kriptovalute. Lovišča hekerjev pa so tam, kjer se ljudje zbirajo na spletu.

»Skoraj polovica ljudi, ki so od leta 2021 prijavili izgubo kriptovalute zaradi prevare, je dejala, da se je začela z oglasom, objavo ali sporočilom na platformi družbenih medijev,« je dejal FTC.

Čeprav goljufivi vstopi zvenijo predobro, da bi bili resnični, lahko morebitne žrtve zaradi močne nestanovitnosti kripto trga ne verjamejo; ljudje ne želijo zamuditi naslednje velike stvari.

Napadalci ciljajo na NFT

Skupaj s kriptovalutami NFT, ali nezamenljivi žetoni, so postali vse bolj priljubljena tarča prevarantov; glede na podjetje za kibernetsko varnost Web3 TRM laboratoriji, v dveh mesecih po maju 2022 je skupnost NFT izgubila približno 22 milijonov dolarjev zaradi prevar in napadov lažnega predstavljanja.

“Blue-chip” zbirke, kot npr Dolgčas Ape Yacht Club (BAYC) so še posebej cenjena tarča. Aprila 2022 je bil račun BAYC Instagram kramp s strani prevarantov, ki so žrtve preusmerili na spletno mesto, ki je iz njihovih denarnic Ethereum izpraznilo kriptovalute in NFT. Ukradenih je bilo približno 91 NFT-jev s skupno vrednostjo več kot 2.8 milijona dolarjev. Mesece kasneje je a Izkoriščanje Discorda je uporabnikom videl ukradene NFT-je v vrednosti 200 ETH.

Tudi odmevni imetniki BAYC so postali žrtve prevar. 17. maja igralec in producent Set zeleno tvitnil, da je bil žrtev lažnega predstavljanja, ki je povzročilo krajo štirih NFT-jev, vključno z Bored Ape #8398. Poleg poudarjanja grožnje, ki jo predstavljajo lažni napadi, bi lahko iztiril televizijsko/pretočno oddajo na temo NFT, ki jo je načrtoval Green, »White Horse Tavern«. BAYC NFT vključujejo licenčne pravice za uporabo NFT v komercialne namene, kot v primeru Dolgčas in lačen restavracija s hitro prehrano v Long Beachu, CA.

Med sejo Twitter Spaces 9. junija, Zelen je rekel, da je dobil ukradeni JPEG, potem ko je plačal 165 ETH (takrat več kot 295,000 $) osebi, ki je kupila NFT, potem ko je bil ukraden.

"Lažno predstavljanje je še vedno prvi vektor napada," Luis Lubeck, varnostni inženir pri podjetju Web3 za kibernetsko varnost, Halborn, povedal Dešifriraj.

Lubeck pravi, da bi morali biti uporabniki pozorni na lažna spletna mesta, ki zahtevajo poverilnice denarnice, klonirane povezave in lažne projekte.

Po Lubeckovih besedah ​​se prevara z lažnim predstavljanjem lahko začne s socialnim inženiringom, ki uporabniku pove o zgodnjem lansiranju žetona ali da bo 100-krat povečal svoj denar, nizkem API-ju ali da je bil njihov račun vdrt in zahteva spremembo gesla. Ta sporočila običajno prihajajo z omejenim časom za ukrepanje, kar dodatno poveča strah uporabnika pred zamudo, znan tudi kot FOMO.

V Greenovem primeru je do lažnega predstavljanja prišlo prek klonirane povezave.

Clone phishing je napad, pri katerem prevarant vzame spletno mesto, e-pošto ali celo preprosto povezavo in ustvari skoraj popolno kopijo, ki je videti legitimna. Green je mislil, da kuje klone »GutterCat« z uporabo spletnega mesta, ki se je izkazalo za lažno predstavljanje.

Ko je Green svojo denarnico povezal s spletnim mestom za lažno predstavljanje in podpisal transakcijo za kovanje NFT, je hekerjem omogočil dostop do svojih zasebnih ključev in posledično do svojih Bored Apes.

Vrste kibernetskih napadov

Kršitve varnosti lahko vplivajo na podjetja in posameznike. Čeprav to ni popoln seznam, kibernetski napadi, ki ciljajo na Web3, običajno spadajo v naslednje kategorije:

• ? Ribarjenje: Napadi z lažnim predstavljanjem so ena najstarejših, a najpogostejših oblik kibernetskih napadov, običajno v obliki e-pošte in vključujejo pošiljanje lažnih sporočil, kot so besedila in sporočila na družbenih omrežjih, za katera je videti, da prihajajo iz uglednega vira. to kibernetski kriminaliteti lahko tudi v obliki ogroženega ali zlonamerno kodiranega spletnega mesta, ki lahko črpa kripto ali NFT iz priložene denarnice v brskalniku, ko je kripto denarnica povezana.
• ?☠️ Malware: Kratica za zlonamerno programsko opremo, ta krovni izraz zajema vsak program ali kodo, ki je škodljiva za sisteme. Zlonamerna programska oprema lahko vstopi v sistem prek e-pošte z lažnim predstavljanjem, besedilnih sporočil in sporočil.
• ? Ogrožena spletna mesta: Ta zakonita spletna mesta ugrabijo kriminalci in se uporabljajo za shranjevanje zlonamerne programske opreme, ki jo nič hudega sluteči uporabniki prenesejo, ko kliknejo povezavo, sliko ali datoteko.
• ? Prevara URL-jev: Odstranite povezavo z ogroženimi spletnimi mesti; lažna spletna mesta so zlonamerna spletna mesta, ki so kloni zakonitih spletnih mest. Ta spletna mesta, znana tudi kot lažno predstavljanje URL-jev, lahko zbirajo uporabniška imena, gesla, kreditne kartice, kriptovalute in druge osebne podatke.
• ? Lažne razširitve brskalnika: Kot pove že ime, ta izkoriščanja uporabljajo lažne razširitve brskalnika, da zavedejo kripto uporabnike, da vnesejo svoje poverilnice ali ključe v razširitev, ki kibernetskemu kriminalcu omogoči dostop do podatkov.

Ti napadi so običajno namenjeni dostopanju, kraji in uničenju občutljivih informacij ali, v Greenovem primeru, Bored Ape NFT.

Kaj lahko storite, da se zaščitite?

Lubeck pravi, da je najboljši način za zaščito pred lažnim predstavljanjem ta, da nikoli ne odgovarjate na e-pošto, besedilo SMS, sporočilo Telegram, Discord ali WhatsApp od neznane osebe, podjetja ali računa. "Šel bom dlje od tega," je dodal Lubeck. "Nikoli ne vnašajte poverilnic ali osebnih podatkov, če uporabnik ni začel komunikacije."

Lubeck priporoča, da ne vnašate svojih poverilnic ali osebnih podatkov, ko uporabljate javni ali skupni WiFi ali omrežja. Poleg tega Lubeck pove Dešifriraj da ljudje ne bi smeli imeti lažnega občutka varnosti, ker uporabljajo določen operacijski sistem ali vrsto telefona.

»Ko govorimo o teh vrstah prevar: lažno predstavljanje, lažno predstavljanje spletne strani, ni pomembno, ali uporabljate iPhone, Linux, Mac, iOS, Windows ali Chromebook,« pravi. »Poimenujte napravo; težava je spletno mesto, ne vaša naprava.«

Zavarujte svoje kriptovalute in NFT-je

Oglejmo si bolj »Web3« akcijski načrt.

Če je mogoče, uporabite strojno opremo ali zračno režo denarnice za shranjevanje digitalnih sredstev. Te naprave, včasih opisane kot "hladilna shramba", odstranijo vašo kriptovaluto iz interneta, dokler je niste pripravljeni uporabiti. Čeprav je običajno in priročno uporabljati denarnice, ki temeljijo na brskalniku, kot je MetaMask, ne pozabite, vse, kar je povezano z internetom, lahko povzroči vdor.

Če uporabljate mobilno denarnico, brskalnik ali namizno denarnico, znano tudi kot vroča denarnica, jih prenesite z uradnih platform, kot so Google Play Store, Applova App Store ali preverjena spletna mesta. Nikoli ne prenašajte s povezav, poslanih v besedilu ali e-pošti. Čeprav lahko zlonamerne aplikacije najdejo pot do uradnih trgovin, je bolj varno kot uporaba povezav.

Po zaključku transakcije prekinite povezavo med denarnico in spletnim mestom.

Poskrbite, da bodo vaši zasebni ključi, semenske fraze in gesla zaupni. Če vas prosimo, da delite te podatke za sodelovanje pri naložbi ali kovanju, je to prevara.

Vlagajte samo v projekte, ki jih razumete. Če ni jasno, kako shema deluje, se ustavite in opravite več raziskav.

Prezrite taktiko visokega pritiska in kratke roke. Prevaranti bodo to pogosto uporabili, da bi poskušali priklicati FOMO in potencialne žrtve prepričati, da ne razmišljajo o tem, kar jim je bilo povedano, ali raziskujejo tega.

Nenazadnje, če se sliši predobro, da bi bilo res, je verjetno prevara.