В света на криптовалутите, децентрализираното финансиране (defi) и Web3, въздушните пускания са станали обичайни в индустрията. Въпреки това, докато airdrops звучат като безплатни пари, има нарастваща тенденция на airdrop фишинг измами, които крадат парите на хората, когато се опитват да получат така наречените „безплатни“ крипто активи. По-долу е разгледан два различни начина, по които нападателите използват фишинг измами чрез airdrop, за да откраднат средства и как можете да се защитите.
Airdrops не винаги означават „безплатно крипто“ — много промоции за раздаване на Airdrop се стремят да ви ограбят
Airdrops са синоним на безплатни крипто фондове, дотолкова, че нарастващата крипто измама, наречена airdrop фишинг, стана преобладаваща. Ако сте участник в крипто общността и използвате платформи за социални медии като Twitter или Facebook, вероятно сте виждали редица спам публикации, рекламиращи въздушни съобщения от всякакъв вид.
Обикновено популярен крипто акаунт в Twitter прави туит и той е последван от множество измамници, рекламиращи опити за фишинг чрез airdrop, и много акаунти, казващи, че са получили безплатни пари. Повечето хора няма да попаднат на тези измами с airdrop, но тъй като airdrops се считат за безплатни криптовалути, има куп хора, които са загубили средства, като са станали жертва на тези видове атаки.
Първата атака използва същия метод за рекламиране в социалните медии, тъй като редица хора или ботове изпращат връзка, която води до уеб страницата за фишинг измами чрез airdrop. Подозрителният уебсайт може да изглежда много легитимен и дори да копира някои от елементите от популярни Web3 проекти, но в крайна сметка измамниците се стремят да откраднат средства. Безплатната измама с airdrop може да бъде неизвестен крипто токен или също така може да бъде популярен съществуващ цифров актив като BTC, ETH, SHIB, DOGE и др.
Първата атака обикновено показва, че airdrop може да се получи, но лицето трябва да използва съвместим Web3 портфейл, за да извлече така наречените „безплатни“ средства. Уебсайтът ще доведе до страница, която показва всички популярни Web3 портфейли като Metamask и други, но този път, когато щракнете върху връзката на портфейла, ще се появи грешка и сайтът ще поиска от потребителя началната фраза.
За да получите поддръжка, отворете MetaMask и отидете до „Поддръжка“ или „Получаване на помощ“ в падащото меню. Не се доверявайте на никого, който ви е изпратил директно съобщение. ПРИ НИКАКВИ ОБСТОЯТЕЛСТВА не трябва да давате тайната си фраза за възстановяване на никого или да я въвеждате в който и да е сайт!
— Поддръжка на MetaMask (@MetaMaskSupport) Април 29, 2022
Това е мястото, където нещата стават тъмни, защото портфейл Web3 никога няма да поиска началната или 12-24 мнемонична фраза, освен ако потребителят активно не възстановява портфейла. Въпреки това, нищо неподозиращите потребители на фишинг измама с airdrop може да сметнат, че грешката е легитимна и да въведат своето начало в уеб страницата, което в крайна сметка води до загуба на всички средства, съхранявани в портфейла.
По принцип потребителят просто е дал частните ключове на нападателите, като попадна на страницата за грешка на портфейла Web3, като поиска мнемонична фраза. Човек никога не трябва да въвежда своята начална или 12-24 мнемонична фраза, ако бъде подканена от неизвестен източник, и освен ако няма нужда от възстановяване на портфейл, наистина никога няма нужда да въвеждате начална фраза онлайн.
Даването на разрешения за Shady Dapp не е най-добрата идея
Втората атака е малко по-сложна и нападателят използва техническите характеристики на кода, за да ограби потребителя на портфейла Web3. По същия начин, фишинг измамата с airdrop ще бъде рекламирана в социалните медии, но този път, когато лицето посети уеб портала, може да използва своя Web3 портфейл, за да се „свърже“ със сайта.
Въпреки това, нападателят е написал кода по начин, който го прави така, че вместо да даде на сайта достъп за четене на балансите, потребителят в крайна сметка дава на сайта пълно разрешение да открадне средствата в портфейла на Web3. Това може да се случи, като просто свържете портфейл Web3 към сайт за измама и му дадете разрешения. Атаката може да бъде избегната, като просто не се свържете със сайта и се отдалечите, но има много хора, които са паднали по тази фишинг атака.
Ето най-новата фишинг измама
1️⃣ Пуснете жетон от въздуха
2️⃣ Създайте уебсайт със същото име, за да бъде лесно намерен
3️⃣ Когато откриете какво изглежда залага за този токен, Approve txn дава неограничени разходи за други токени (т.е. SNX)След това те източват портфейла ви от жетона. pic.twitter.com/viCIeC5rGk
- DeFi Dad ⟠ defidad.eth (@DeFi_Dad) Декември 20, 2021
Друг начин да защитите портфейла е като се уверите, че разрешенията за Web3 на портфейла са свързани със сайтове, на които потребителят има доверие. Ако има някакви децентрализирани приложения (dapps), които изглеждат сенчести, потребителите трябва да премахнат разрешенията, ако случайно се свържат с dapp, като попаднат на „безплатната“ крипто измама. Обикновено обаче е твърде късно и след като dapp има разрешение за достъп до средствата на портфейла, криптовалутата се открадва от потребителя чрез злонамерено кодиране, приложено към dapp.
Най-добрият начин да се предпазите от двете атаки, споменати по-горе, е никога да не въвеждате вашата начална фраза онлайн, освен ако нарочно не възстановявате портфейл. Освен това е добра форма никога да не се свързвате или да давате разрешения на портфейла на Web3 на сенчести уебсайтове на Web3 и приложения, които не сте запознати да използвате. Тези две атаки могат да причинят големи загуби на нищо неподозиращите инвеститори, ако не внимават за текущата фишинг тенденция за airdrop.
Познавате ли някой, който е станал жертва на този вид фишинг измама? Как забелязвате опитите за крипто фишинг? Кажете ни вашите мисли в коментарите.
Кредити за изображения: Shutterstock, Pixabay, Wiki Commons
Отказ от отговорност: Тази статия е само с информационна цел. Това не е пряка оферта или привличане на оферта за покупка или продажба, или препоръка или одобрение на каквито и да е продукти, услуги или компании. Bitcoin.com не предоставя инвестиционни, данъчни, правни или счетоводни съвети. Нито компанията, нито авторът са отговорни пряко или косвено за щети или загуби, причинени или предполагаеми, причинени от или във връзка с използването или разчитането на каквото и да е съдържание, стоки или услуги, посочени в тази статия.
Източник: https://news.bitcoin.com/the-2-most-common-airdrop-phishing-attacks-and-how-web3-wallet-owners-can-stay-protected/