Compania de securitate Blockchain CertiK a reamintit comunității cripto să rămână alertă cu privire la escrocherii de tip „phishing pe gheață” – un tip unic de escrocherie de tip phishing care vizează utilizatorii Web3 – identificate pentru prima dată de Microsoft la începutul acestui an.
Într-un raport de analiză din 20 decembrie, CertiK descris înșelătoriile de tip phishing ca un atac care păcălește utilizatorii Web3 să semneze permisiuni care ajung să permită unui escroc să-și cheltuie jetoanele.
Acest lucru diferă de atacurile tradiționale de phishing care încearcă să acceseze informații confidențiale, cum ar fi cheile private sau parolele, cum ar fi site-urile web false create care pretindeau că ajută Investitorii FTX recuperează fonduri pierdut la schimb.
1/ Ice phishing este o amenințare considerabilă pentru comunitatea Web3
În loc să obțină acces la cheia privată, escrocii vă păcălesc să semnați permisiuni pentru a vă cheltui bunurile.
Vom descrie mai jos la ce să fii atent și cum să te protejezi!
— CertiKAlert (@CertiKAlert) December 20, 2022
O escrocherie din 17 decembrie unde 14 maimuțe plictisite au fost furate este un exemplu de înșelătorie elaborată de tip phishing. Un investitor a fost convins să semneze o cerere de tranzacție deghizată într-un contract de film, care a permis în cele din urmă escrocului să-și vândă toate maimuțele utilizatorului pentru o sumă neglijabilă.
Firma a remarcat că acest tip de înșelătorie a fost o „amenințare considerabilă” întâlnită doar în lumea Web3, deoarece investitorilor li se cere adesea să semneze permisiuni pentru protocoalele de finanțare descentralizată (DeFi) cu care interacționează, care ar putea fi ușor falsificate.
„Hackerul trebuie doar să facă un utilizator să creadă că adresa rău intenționată căreia îi acordă aprobarea este legitimă. Odată ce un utilizator a aprobat permisiunile pentru ca escrocul să cheltuiască jetoane, atunci activele riscă să fie epuizate.”
Odată ce un escroc a obținut aprobarea, acesta poate transfera active la o adresă pe care o alege.
Pentru a se proteja de phishing, CertiK le-a recomandat investitorilor să revoce permisiunile pentru adrese pe care nu le recunosc pe site-urile de explorare blockchain, cum ar fi Etherscan, folosind un instrument de aprobare a simbolurilor.
În plus, adresele cu care utilizatorii intenționează să interacționeze ar trebui să fie căutate pe acești exploratori blockchain pentru activități suspecte. În analiza sa, CertiK indică o adresă care a fost finanțată prin retrageri de numerar Tornado ca exemplu de activitate suspectă.
CertiK a sugerat, de asemenea, că utilizatorii ar trebui să interacționeze numai cu site-urile oficiale pe care le pot verifica și să fie deosebit de atenți la site-urile de social media precum Twitter, evidențiind un cont fals de Twitter Optimism ca exemplu.
Firma le-a sfătuit, de asemenea, utilizatorilor să ia câteva minute pentru a verifica un site de încredere, cum ar fi CoinMarketCap sau Coingecko, utilizatorii ar fi putut vedea că adresa URL legată nu era un site legitim și ar trebui evitată.
Gigantul tehnologic Microsoft a fost primul care a evidențiat această practică într-un blog din 16 februarie post, spunând la acea vreme că, în timp ce phishingul cu acreditări este foarte predominant în lumea Web2, phishing-ul pe gheață oferă escrocilor individuali capacitatea de a fura o bucată din industria cripto, păstrând în același timp „anonimitatea aproape completă”.
Ei au recomandat ca proiectele Web3 și furnizorii de portofel să-și sporească securitatea serviciilor la nivel de software pentru a preveni ca sarcina evitării atacurilor de tip phishing să fie plasată exclusiv asupra utilizatorului final.
Sursa: https://cointelegraph.com/news/how-to-avoid-getting-hooked-by-crypto-ice-phishing-scammers-certik