Kibernetička sigurnost u Web3: zaštitite sebe (i svog majmuna JPEG)

Mada Web3 evanđelisti dugo hvale izvorne sigurnosne značajke blockchaina, bujica novca koja teče u industriju čini je primamljivom perspektivom za hakere, varalice i lopovi.

Kada loši akteri uspiju probiti web3 kibersigurnost, to se često svodi na to da korisnici previde najčešće prijetnje ljudske pohlepe, FOMO-a i neznanja, a ne zbog nedostataka u tehnologiji.

Mnoge prijevare obećavaju velike dobitke, ulaganja ili ekskluzivne pogodnosti; FTC to naziva prilikama za zarađivanje novca i ulaganjem prevare.

Veliki novac u prijevarama

Prema izvještaju od 2022. lipnja prijaviti od strane Savezne komisije za trgovinu, od 1. ukradeno je više od milijardu dolara u kriptovaluti. A lovišta hakera mjesto su gdje se ljudi okupljaju na mreži.

“Gotovo polovica ljudi koji su prijavili gubitak kriptovalute zbog prijevare od 2021. rekla je da je sve počelo oglasom, objavom ili porukom na platformi društvenih medija”, rekao je FTC.

Iako lažna primanja zvuče predobro da bi bila istinita, potencijalne žrtve mogu prekinuti nevjericu s obzirom na intenzivnu volatilnost kripto tržišta; ljudi ne žele propustiti sljedeću veliku stvar.

Napadači koji ciljaju NFT-ove

Uz kriptovalute, NFT-ovi, ili nezamjenjivi tokeni, postali su sve popularnija meta za prevarante; prema tvrtki za kibernetičku sigurnost Web3 TRM laboratoriji, u dva mjeseca nakon svibnja 2022. NFT zajednica izgubila je procijenjenih 22 milijuna dolara zbog prijevara i phishing napada.

“Blue-chip” zbirke kao što su Yacht Club dosadnih majmuna (BAYC) posebno su cijenjena meta. U travnju 2022. BAYC Instagram račun bio je hakirana od strane prevaranata koji su žrtve preusmjeravali na web mjesto koje je iz njihovih Ethereum novčanika ispraznilo kriptovalute i NFT-ove. Ukraden je oko 91 NFT, ukupne vrijednosti preko 2.8 milijuna dolara. Mjesecima kasnije, a Iskorištavanje Discorda vidio NFT-ove u vrijednosti od 200 ETH ukradene od korisnika.

Nositelji BAYC-a visokog profila također su postali žrtve prijevara. 17. svibnja, glumac i producent Seth Green tvitao da je bio žrtva phishing prijevare koja je rezultirala krađom četiri NFT-a, uključujući Bored Ape #8398. Osim što je istaknuo prijetnju koju predstavljaju phishing napadi, to je moglo izbaciti iz kolosijeka televizijsku/streaming emisiju na temu NFT-a koju je planirao Green, “White Horse Tavern”. BAYC NFT-ovi uključuju prava licenciranja za korištenje NFT-a u komercijalne svrhe, kao u slučaju Dosadno i gladno restoran brze hrane u Long Beachu, CA.

Tijekom sesije Twitter Spacesa 9. lipnja, zelena je rekao da je povratio ukradeni JPEG nakon što je platio 165 ETH (više od 295,000 dolara u to vrijeme) osobi koja je kupila NFT nakon što je ukraden.

"Phishing je još uvijek prvi vektor napada", Luis Lubeck, sigurnosni inženjer u tvrtki za kibernetičku sigurnost Web3, Halborn, Rekao je Dekodiranje.

Lubeck kaže da bi korisnici trebali biti svjesni lažnih web stranica koje traže vjerodajnice za novčanik, klonirane veze i lažne projekte.

Prema Lubecku, phishing prijevara može započeti društvenim inženjeringom, govoreći korisniku o ranom pokretanju tokena ili da će 100x povećati svoj novac, niskom API-ju ili da je njihov račun probijen i zahtijeva promjenu lozinke. Ove poruke obično dolaze s ograničenim vremenom za djelovanje, što dodatno potiče strah korisnika od propuštanja, također poznat kao FOMO.

U Greenovom slučaju, phishing napad došao je preko klonirane veze.

Kloniranje krađe identiteta je napad u kojem prevarant uzima web stranicu, e-poštu ili čak jednostavnu vezu i stvara gotovo savršenu kopiju koja izgleda legitimno. Green je mislio da kuje klonove "GutterCat" koristeći ono što se ispostavilo da je web stranica za krađu identiteta.

Kad je Green povezao svoj novčanik s web-mjestom za krađu identiteta i potpisao transakciju za kovanje NFT-a, hakerima je dao pristup svojim privatnim ključevima i, zauzvrat, svojim Bored Apesima.

Vrste kibernetičkih napada

Sigurnosne povrede mogu utjecati na tvrtke i pojedince. Iako nije potpuni popis, kibernetički napadi koji ciljaju Web3 obično spadaju u sljedeće kategorije:

• ? phishing: Jedan od najstarijih, ali najčešćih oblika cyber napada, phishing napadi obično dolaze u obliku e-pošte i uključuju slanje lažnih komunikacija poput tekstova i poruka na društvenim medijima za koje se čini da dolaze iz renomiranog izvora. Ovaj cyber kriminal također može biti u obliku kompromitirane ili zlonamjerno kodirane web stranice koja može iscrpiti kripto ili NFT iz priloženog novčanika temeljenog na pregledniku nakon što se kripto novčanik poveže.
• ?‍☠️ malware: Skraćenica za zlonamjerni softver, ovaj krovni pojam pokriva svaki program ili kod štetan za sustave. Zlonamjerni softver može ući u sustav putem phishing e-pošte, SMS-ova i poruka.
• ? Ugrožene web stranice: Ta legitimna web-mjesta otimaju kriminalci i koriste ih za pohranjivanje zlonamjernog softvera koji korisnici bez sumnje preuzimaju nakon što kliknu na poveznicu, sliku ili datoteku.
• ? Prevara URL-a: Prekinite vezu s ugroženim web stranicama; lažna web-mjesta zlonamjerna su web-mjesta koja su klonovi legitimnih web-mjesta. Također poznate kao URL Phishing, ove stranice mogu sakupljati korisnička imena, lozinke, kreditne kartice, kriptovalute i druge osobne podatke.
• ? Lažna proširenja preglednika: Kao što naziv sugerira, ovi podvigi koriste lažna proširenja preglednika kako bi naveli kripto-korisnike da unesu svoje vjerodajnice ili ključeve u proširenje koje kibernetičkom kriminalcu daje pristup podacima.

Ovi napadi obično imaju za cilj pristup, krađu i uništavanje osjetljivih informacija ili, u Greenovom slučaju, Bored Ape NFT.

Što možete učiniti da se zaštitite?

Lubeck kaže da je najbolji način da se zaštitite od krađe identiteta da nikada ne odgovarate na e-poštu, SMS, Telegram, Discord ili WhatsApp poruku od nepoznate osobe, tvrtke ili računa. "Ići ću dalje od toga", dodao je Lubeck. "Nikad ne unosite vjerodajnice ili osobne podatke ako korisnik nije započeo komunikaciju."

Lubeck preporučuje da ne unosite svoje vjerodajnice ili osobne podatke kada koristite javni ili zajednički WiFi ili mreže. Osim toga, Lubeck priča Dekodiranje da ljudi ne bi trebali imati lažan osjećaj sigurnosti jer koriste određeni operativni sustav ili vrstu telefona.

"Kada govorimo o ovakvim vrstama prijevara: krađa identiteta, lažno predstavljanje web stranice, nije važno koristite li iPhone, Linux, Mac, iOS, Windows ili Chromebook", kaže on. “Imenujte uređaj; problem je stranica, a ne vaš uređaj."

Čuvajte svoje kripto i NFT-ove na sigurnom

Pogledajmo više "Web3" akcijski plan.

Kad je moguće, koristite hardver ili zračni otvor novčanike za pohranu digitalne imovine. Ovi uređaji, koji se ponekad opisuju kao "hladno skladište", uklanjaju vašu kriptovalutu s interneta dok je ne budete spremni koristiti. Iako je uobičajeno i prikladno koristiti novčanike temeljene na pregledniku poput MetaMask, zapamtite, sve što je povezano s internetom može biti hakirano.

Ako koristite mobilni, preglednički ili stolni novčanik, poznat i kao vrući novčanik, preuzmite ih sa službenih platformi kao što su Google Play Store, Appleov App Store ili provjerenih web stranica. Nikada ne preuzimajte s poveznica poslanih putem SMS-a ili e-pošte. Iako zlonamjerne aplikacije mogu pronaći svoj put do službenih trgovina, to je sigurnije od korištenja veza.

Nakon dovršetka transakcije odspojite novčanik s web stranice.

Čuvajte svoje privatne ključeve, početne izraze i lozinke privatnima. Ako se od vas traži da podijelite ove informacije kako biste sudjelovali u ulaganju ili kovanju, to je prijevara.

Ulažite samo u projekte koje razumijete. Ako nije jasno kako shema funkcionira, zaustavite se i dodatno istražite.

Zanemarite taktiku visokog pritiska i kratke rokove. Prevaranti će to često koristiti kako bi pokušali pozvati FOMO i natjerati potencijalne žrtve da ne razmišljaju o onome što im se govori ili ne istražuju to.

Posljednje, ali ne manje važno, ako zvuči predobro da bi bilo istinito, vjerojatno je prijevara.