Securitatea cibernetică în Web3: protejarea dvs. (și maimuța dvs. JPEG)

Chiar dacă Web3 evangheliștii au promovat de mult caracteristicile native de securitate ale blockchain-ului, torentul de bani care curge în industrie îl face o perspectivă tentantă pentru hackeri, escrocii si hotii.

Când actorii răi reușesc să încalce securitatea cibernetică Web3, de multe ori se datorează utilizatorilor care trec cu vederea cele mai comune amenințări ale lăcomiei umane, FOMO și ignoranță, mai degrabă decât din cauza defectelor tehnologiei.

Multe escrocherii promit câștiguri mari, investiții sau avantaje exclusive; FTC numește aceste oportunități de a face bani și investiții escrocherii.

Bani mari in escrocherii

Conform unui 2022 iunie raportează de către Comisia Federală pentru Comerț, peste 1 miliard de dolari în criptomonede au fost furate din 2021. Iar terenurile de vânătoare ale hackerilor sunt locul unde oamenii se adună online.

„Aproape jumătate dintre oamenii care au raportat că au pierdut cripto-ul în urma unei înșelătorii din 2021 au spus că a început cu un anunț, o postare sau un mesaj pe o platformă de socializare”, a spus FTC.

Deși comenzile frauduloase sună prea bine pentru a fi adevărate, potențialele victime pot suspenda neîncrederea, având în vedere volatilitatea intensă a pieței cripto; oamenii nu vor să rateze următorul lucru important.

Atacatorii care vizează NFT

Alături de criptomonede, NFT-uri, sau jetoanele nefungibile, au devenit un din ce în ce mai popular țintă pentru escroci; conform companiei de securitate cibernetică Web3 Laboratoare TRM, în cele două luni de după mai 2022, comunitatea NFT a pierdut aproximativ 22 de milioane de dolari din cauza înșelătoriilor și a atacurilor de tip phishing.

Colecții „blue-chip” precum Clubul de iahturi Bored Ape (BAYC) sunt o țintă deosebit de apreciată. În aprilie 2022, contul de Instagram BAYC a fost tocat de escroci care au deturnat victimele către un site care le-a epuizat portofelele Ethereum de cripto și NFT. Aproximativ 91 de NFT, cu o valoare combinată de peste 2.8 milioane de dolari, au fost furate. Luni mai târziu, a Exploatare Discord am văzut NFT-uri în valoare de 200 ETH furate de la utilizatori.

Deținătorii importanți ai BAYC au căzut și ei victime ale înșelătoriilor. Pe 17 mai, actor și producător Seth verde a scris pe Twitter că a fost victima unei înșelătorii de tip phishing care a dus la furtul a patru NFT, inclusiv Bored Ape #8398. Pe lângă faptul că evidențiază amenințarea reprezentată de atacurile de tip phishing, ar fi putut să deraieze o emisiune de televiziune/streaming cu tematică NFT, planificată de Green, „White Horse Tavern”. NFT-urile BAYC includ drepturi de licențiere pentru utilizarea NFT în scopuri comerciale, ca în cazul Plictisit & Foame restaurant fast-food din Long Beach, CA.

În timpul unei sesiuni Twitter Spaces din 9 iunie, Verde a spus că a recuperat JPEG furat după ce a plătit 165 ETH (mai mult de 295,000 USD la acea vreme) unei persoane care cumpărase NFT după ce a fost furat.

„Phishingul este în continuare primul vector de atac”, spune Luis Lubeck, inginer de securitate la firma de securitate cibernetică Web3, Halborn, a declarat pentru decriptaţi.

Lubeck spune că utilizatorii ar trebui să fie conștienți de site-urile false care solicită acreditări pentru portofel, link-uri clonate și proiecte false.

Potrivit Lubeck, o înșelătorie de tip phishing poate începe cu ingineria socială, spunându-i utilizatorului despre o lansare timpurie a token-ului sau că își vor depăși banii de 100 de ori, un API scăzut sau că contul său a fost încălcat și necesită o schimbare a parolei. Aceste mesaje vin de obicei cu un timp limitat pentru a acționa, stimulând și mai mult frica utilizatorului de a pierde, cunoscută și sub numele de FOMO.

În cazul lui Green, atacul de phishing a venit printr-o legătură clonată.

Clonarea phishing este un atac în care un escroc ia un site web, un e-mail sau chiar un simplu link și creează o copie aproape perfectă care pare legitimă. Green a crezut că bate clone „GutterCat” folosind ceea ce s-a dovedit a fi un site web de phishing.

Când Green și-a conectat portofelul la site-ul de phishing și a semnat tranzacția pentru a bate NFT, le-a dat hackerilor acces la cheile sale private și, la rândul lor, la Bored Apes.

Tipuri de atacuri cibernetice

Încălcările de securitate pot afecta atât companiile, cât și persoanele fizice. Deși nu este o listă completă, atacurile cibernetice care vizează Web3 se încadrează de obicei în următoarele categorii:

• ? Phishing: Una dintre cele mai vechi și cele mai comune forme de atac cibernetic, atacurile de phishing vin de obicei sub formă de e-mail și includ trimiterea de comunicări frauduloase, cum ar fi texte și mesaje pe rețelele de socializare, care par să provină dintr-o sursă de renume. Acest criminalităţii cibernetice poate lua, de asemenea, forma unui site web compromis sau codat rău intenționat, care poate scurge cripto sau NFT dintr-un portofel atașat bazat pe browser odată ce un portofel cripto este conectat.
• ?‍☠️ malware: Prescurtare pentru software rău intenționat, acest termen umbrelă acoperă orice program sau cod dăunător sistemelor. Programele malware pot intra într-un sistem prin e-mailuri, texte și mesaje de tip phishing.
• ? Site-uri web compromise: Aceste site-uri web legitime sunt deturnate de criminali și utilizate pentru a stoca programe malware pe care utilizatorii nebănuiți le descarcă odată ce fac clic pe un link, imagine sau fișier.
• ? Spoofing URL: Deconectați site-urile web compromise; Site-urile web falsificate sunt site-uri rău intenționate care sunt clone ale site-urilor web legitime. Cunoscute și sub numele de URL Phishing, aceste site-uri pot colecta nume de utilizator, parole, cărți de credit, criptomonede și alte informații personale.
• ? Extensii de browser false: După cum sugerează și numele, aceste exploatări folosesc extensii de browser false pentru a înșela cripto-utilizatorii să-și introducă acreditările sau cheile într-o extensie care oferă infractorului cibernetic acces la date.

Aceste atacuri vizează, de obicei, accesarea, furtul și distrugerea informațiilor sensibile sau, în cazul lui Green, a unui Bored Ape NFT.

Ce poți face pentru a te proteja?

Lubeck spune că cel mai bun mod de a te proteja de phishing este să nu răspunzi niciodată la un e-mail, un SMS, un mesaj Telegram, Discord sau WhatsApp de la o persoană, companie sau cont necunoscută. „Voi merge mai departe decât atât”, a adăugat Lubeck. „Nu introduceți niciodată acreditări sau informații personale dacă utilizatorul nu a început comunicarea.”

Lubeck recomandă să nu vă introduceți acreditările sau informațiile personale atunci când utilizați rețele sau rețele publice sau partajate. În plus, spune Lubeck decriptaţi că oamenii nu ar trebui să aibă un fals sentiment de securitate deoarece folosesc un anumit sistem de operare sau tip de telefon.

„Când vorbim despre aceste tipuri de escrocherii: phishing, uzurparea identității paginilor web, nu contează dacă utilizați un iPhone, Linux, Mac, iOS, Windows sau Chromebook”, spune el. „Denumește dispozitivul; problema este site-ul, nu dispozitivul tău.”

Păstrați-vă cripto și NFT-urile în siguranță

Să ne uităm la un plan de acțiune mai „Web3”.

Atunci când este posibil, utilizați feronerie sau cu aer întrefier portofele pentru a stoca active digitale. Aceste dispozitive, uneori descrise ca „depozitare la rece”, vă elimină cripto-ul de pe internet până când sunteți gata să îl utilizați. Deși este obișnuit și convenabil să utilizați portofelele bazate pe browser, cum ar fi MetaMask, amintiți-vă, orice este conectat la internet are potențialul de a fi piratat.

Dacă utilizați un portofel pentru mobil, browser sau desktop, cunoscut și sub numele de portofel cald, descărcați-le de pe platforme oficiale, cum ar fi Magazinul Google Play, App Store Apple sau site-uri web verificate. Nu descărcați niciodată din linkurile trimise prin text sau e-mail. Chiar dacă aplicațiile rău intenționate își pot găsi drumul în magazinele oficiale, este mai sigur decât utilizarea link-urilor.

După finalizarea tranzacției, deconectați portofelul de pe site.

Asigurați-vă că păstrați cheile private, frazele de bază și parolele private. Dacă vi se cere să partajați aceste informații pentru a participa la o investiție sau batere, este o înșelătorie.

Investește doar în proiecte pe care le înțelegi. Dacă nu este clar cum funcționează schema, opriți-vă și faceți mai multe cercetări.

Ignorați tacticile de înaltă presiune și termenele limită strânse. Adesea, escrocii vor folosi acest lucru pentru a încerca să invoce FOMO și pentru a determina potențialele victime să nu se gândească sau să cerceteze ceea ce li se spune.

Nu în ultimul rând, dacă sună prea bine pentru a fi adevărat, probabil că este o înșelătorie.