Сајбер безбедност у Веб3: Заштитите себе (и свог мајмуна ЈПЕГ)

Мада ВебКСНУМКС еванђелисти су дуго рекламирали изворне безбедносне карактеристике блокчејна, бујица новца која тече у индустрију чини је примамљивом перспективом за хакере, Сцаммерс и лопови.

Када лоши актери успеју да пробију Веб3 сајбер безбедност, често се своди на то да корисници превиде најчешће претње људске похлепе, ФОМО-а и незнања, а не због недостатака у технологији.

Многе преваре обећавају велике исплате, инвестиције или ексклузивне погодности; ФТЦ ово назива могућностима зарађивања новца и инвестицијама преваре.

Велики новац у преварама

Према подацима од 2022. јуна извештај од стране Федералне трговинске комисије, преко милијарду долара у криптовалути је украдено од 1. А ловишта хакера су места где се људи окупљају на мрежи.

„Скоро половина људи који су пријавили губитак криптовалуте због преваре од 2021. рекли су да је то почело са огласом, објавом или поруком на платформи друштвених медија“, саопштио је ФТЦ.

Иако лажни наступи звуче превише добро да би били истинити, потенцијалне жртве могу обуставити неверицу с обзиром на интензивну волатилност крипто тржишта; људи не желе да пропусте следећу велику ствар.

Нападачи који циљају НФТ

Заједно са криптовалутама, НФТ, или незаменљиви токени, постали су ан све популарнији мета за преваранте; према компанији за сајбер безбедност Веб3 ТРМ Лабс, у два месеца након маја 2022, НФТ заједница је изгубила око 22 милиона долара због превара и пхисхинг напада.

„Блуе-цхип“ колекције као нпр Досадни јахтни клуб Апе (БАИЦ) су посебно цењена мета. У априлу 2022, БАИЦ Инстаграм налог је био хакован од преваранта који су преусмерили жртве на сајт који је исцрпео њихове Етхереум новчанике криптовалута и НФТ-а. Украдено је око 91 НФТ-а, укупне вредности од преко 2.8 милиона долара. Месецима касније, а Дисцорд екплоит видео НФТ-ове у вредности од 200 ЕТХ украдених од корисника.

Високопрофилирани власници БАИЦ-а такође су постали жртве превара. 17. маја глумац и продуцент Сетх Греен је твитовао да је жртва пхисхинг преваре која је резултирала крађом четири НФТ-а, укључујући Боред Апе #8398. Осим што је истицала претњу коју представљају пхисхинг напади, могла је да избаци из колосека телевизијску/стриминг емисију на тему НФТ-а коју је планирао Грин, „Таверна белог коња“. БАИЦ НФТ укључују права лиценцирања за коришћење НФТ-а у комерцијалне сврхе, као у случају досадно и гладно ресторан брзе хране у Лонг Бичу, Калифорнија.

Током сесије Твиттер Спацес 9. јуна, зелен је рекао да је повратио украдени ЈПЕГ након што је платио 165 ЕТХ (више од 295,000 долара у то време) особи која је купила НФТ након што је украден.

„Пецање је и даље први вектор напада“, Луис Лубецк, безбедносни инжењер у компанији за сајбер безбедност Веб3, Халборн, рекао Дешифрирај.

Лубецк каже да корисници треба да буду свесни лажних веб локација које траже акредитиве за новчаник, клониране везе и лажне пројекте.

Према Лубеку, пхисхинг превара може почети друштвеним инжењерингом, говорећи кориснику о раном покретању токена или да ће 100 пута повећати свој новац, низак АПИ или да је њихов налог проваљен и захтева промену лозинке. Ове поруке обично долазе са ограниченим временом за акцију, додатно подстичући страх корисника од пропуштања, такође познат као ФОМО.

У Грееновом случају, пхисхинг напад је дошао преко клониране везе.

Клон пхисхинг је напад у којем преварант узима веб локацију, е-пошту или чак једноставну везу и креира скоро савршену копију која изгледа легитимно. Грин је мислио да кује „ГуттерЦат“ клонове користећи оно што се испоставило да је веб локација за крађу идентитета.

Када је Грин повезао свој новчаник са веб-сајтом за крађу идентитета и потписао трансакцију за израду НФТ-а, дао је хакерима приступ својим приватним кључевима и, заузврат, својим Боред Апес.

Врсте сајбер напада

Кршења безбедности могу утицати и на компаније и на појединце. Иако није потпуна листа, сајбер напади који циљају Веб3 обично спадају у следеће категорије:

• ? Пхисхинг: Један од најстаријих, али најчешћих облика сајбер напада, пхисхинг напади обично долазе у облику е-поште и укључују слање лажних комуникација попут текстова и порука на друштвеним мрежама за које се чини да долазе из реномираних извора. Ово циберцриме такође може имати облик компромитоване или злонамерно кодиране веб локације која може да одведе крипто или НФТ из прикаченог новчаника заснованог на претраживачу када се крипто новчаник повеже.
• ?‍☠ malware: Скраћено за злонамерни софтвер, овај кровни термин покрива сваки програм или код који је штетан за системе. Злонамерни софтвер може да уђе у систем путем е-поште, текстова и порука за крађу идентитета.
• ? Компромитоване веб странице: Ове легитимне веб-сајтове отимају криминалци и користе их за складиштење злонамерног софтвера који несуђени корисници преузимају када кликну на везу, слику или датотеку.
• ? Превара УРЛ-а: Прекините везу са угроженим веб локацијама; лажне веб локације су злонамерне веб локације које су клонови легитимних веб локација. Такође познате као УРЛ пхисхинг, ови сајтови могу прикупљати корисничка имена, лозинке, кредитне картице, криптовалуте и друге личне податке.
• ? Лажна проширења претраживача: Као што име сугерише, ови експлоати користе лажне екстензије претраживача да преваре крипто-кориснике да унесу своје акредитиве или кључеве у екстензију која омогућава сајбер криминалцу приступ подацима.

Ови напади обично имају за циљ приступ, крађу и уништавање осетљивих информација или, у Грееновом случају, НФТ-а Досадног мајмуна.

Шта можете учинити да се заштитите?

Лубецк каже да је најбољи начин да се заштитите од крађе идентитета да никада не одговарате на е-пошту, СМС, Телеграм, Дисцорд или ВхатсАпп поруку од непознате особе, компаније или налога. „Ићи ћу даље од тога“, додао је Лубек. „Никада немојте уносити акредитиве или личне податке ако корисник није започео комуникацију.“

Лубецк препоручује да не уносите своје акредитиве или личне податке када користите јавни или дељени ВиФи или мреже. Поред тога, Лубецк каже Дешифрирај да људи не би требало да имају лажни осећај сигурности јер користе одређени оперативни систем или тип телефона.

„Када говоримо о оваквим врстама превара: пхисхинг, лажно представљање на веб страници, није важно да ли користите иПхоне, Линук, Мац, иОС, Виндовс или Цхромебоок“, каже он. „Именујте уређај; проблем је сајт, а не ваш уређај.”

Чувајте своје криптовалуте и НФТ-ове

Хајде да погледамо „Веб3“ акциони план.

Када је могуће, користите хардвер или ваздушни зазор новчаници за складиштење дигиталних средстава. Ови уређаји, који се понекад описују као „хладно складиште“, уклањају вашу криптовалуту са интернета док не будете спремни да је користите. Иако је уобичајено и згодно користити новчанике засноване на претраживачу као што су МетаМаск, запамтите, све што је повезано на интернет има потенцијал да буде хаковано.

Ако користите новчаник за мобилне уређаје, претраживач или десктоп, познат и као врући новчаник, преузмите их са званичних платформи као што су Гоогле Плаи Сторе, Аппле-ова Апп Сторе или верификоване веб локације. Никада не преузимајте са линкова послатих путем текста или е-поште. Иако злонамерне апликације могу да пронађу свој пут до званичних продавница, то је безбедније од коришћења веза.

Након што завршите трансакцију, искључите новчаник са веб локације.

Обавезно чувајте приватне кључеве, основне фразе и лозинке. Ако се од вас тражи да поделите ове информације да бисте учествовали у инвестицији или ковању, то је превара.

Инвестирајте само у пројекте које разумете. Ако није јасно како шема функционише, зауставите се и урадите још истраживања.

Занемарите тактику високог притиска и кратке рокове. Често ће преваранти користити ово да покушају да позову ФОМО и натерају потенцијалне жртве да не размишљају о томе или не истражују оно што им се говори.

На крају, али не и најмање важно, ако звучи превише добро да би било истинито, вероватно је то превара.