Киберсигурност в Web3: Защитете себе си (и вашата маймуна JPEG)

Въпреки че Web3 евангелистите отдавна рекламират вградените функции за сигурност на блокчейн, потокът от пари, вливащ се в индустрията, я прави примамлива перспектива за хакерите, измамници и крадци.

Когато лошите участници успеят да пробият киберсигурността на Web3, това често се дължи на това, че потребителите пренебрегват най-честите заплахи на човешката алчност, FOMO и невежеството, а не поради недостатъци в технологията.

Много измами обещават големи печалби, инвестиции или изключителни предимства; FTC нарича тези възможности за правене на пари и инвестиции измами.

Големи пари в измами

Според съобщение от 2022 юни докладва от Федералната търговска комисия са откраднати над 1 милиард долара в криптовалута от 2021 г. насам. А ловните полета на хакерите са мястото, където хората се събират онлайн.

„Почти половината от хората, които са съобщили за загуба на крипто поради измама от 2021 г. насам, казаха, че е започнало с реклама, публикация или съобщение в платформа за социални медии“, каза FTC.

Въпреки че измамните встъпления звучат твърде добре, за да са истина, потенциалните жертви може да спрат да не вярват предвид силната нестабилност на крипто пазара; хората не искат да пропуснат следващото голямо нещо.

Нападатели, насочени към NFT

Заедно с криптовалутите, NFTS, или незаменими токени, се превърнаха в все по-популярен мишена за измамници; според фирмата за киберсигурност Web3 TRM Labs, през двата месеца след май 2022 г. NFT общността загуби около 22 милиона долара от измами и фишинг атаки.

„Сини чипове“ колекции като напр Скучен маймунски клуб Ape (BAYC) са особено ценена цел. През април 2022 г. акаунтът на BAYC в Instagram беше хакнат от измамници, които са отклонявали жертвите към сайт, който е изтощил техните Ethereum портфейли от крипто и NFT. Около 91 NFT на обща стойност над $2.8 милиона бяха откраднати. Месеци по-късно, a Discord експлойт видя NFT на стойност 200 ETH откраднати от потребители.

Високопоставени притежатели на BAYC също са станали жертва на измами. На 17 май актьор и продуцент Сет Грийн туитира, че е бил жертва на фишинг измама, довела до кражба на четири NFT, включително Bored Ape #8398. Освен че подчертава заплахата, породена от фишинг атаки, това можеше да дерайлира телевизионно/стрийминг шоу на тема NFT, планирано от Грийн, „White Horse Tavern“. BAYC NFT включват лицензионни права за използване на NFT за търговски цели, както в случая с Отегчен и гладен ресторант за бързо хранене в Лонг Бийч, Калифорния.

По време на сесия в Twitter Spaces на 9 юни, Зелена каза, че е възстановил откраднатия JPEG, след като е платил 165 ETH (повече от $295,000 XNUMX по това време) на човек, който е купил NFT, след като е бил откраднат.

„Фишингът все още е първият вектор на атака“, Луис Любек, инженер по сигурността във фирмата за киберсигурност Web3, Халборн, каза за Разкодирай.

Любек казва, че потребителите трябва да са наясно с фалшиви уебсайтове, които искат идентификационни данни за портфейл, клонирани връзки и фалшиви проекти.

Според Lubeck една фишинг измама може да започне със социално инженерство, казвайки на потребителя за ранно стартиране на токен или че ще увеличат 100 пъти парите си, нисък API или че акаунтът им е бил пробит и изисква промяна на паролата. Тези съобщения обикновено идват с ограничено време за действие, което допълнително засилва страха на потребителя от пропускане, известен също като FOMO.

В случая на Грийн фишинг атаката идва чрез клонирана връзка.

Клонирането на фишинг е атака, при която измамник взема уебсайт, имейл или дори обикновена връзка и създава почти перфектно копие, което изглежда легитимно. Грийн мислеше, че сече клонинги на „GutterCat“, използвайки това, което се оказа фишинг уебсайт.

Когато Грийн свърза портфейла си с фишинг уебсайта и подписа транзакцията за изсичане на NFT, той даде на хакерите достъп до личните си ключове и на свой ред до своите Bored Apes.

Видове кибератаки

Пробивите в сигурността могат да засегнат както компании, така и физически лица. Въпреки че не е пълен списък, кибератаките, насочени към Web3, обикновено попадат в следните категории:

• ? Фишинг: Една от най-старите, но най-често срещаните форми на кибератака, фишинг атаките обикновено идват под формата на имейл и включват изпращане на измамни комуникации като текстове и съобщения в социалните медии, които изглежда идват от надежден източник. Това престъпленията в кибернетичното пространство може също да приеме формата на компрометиран или злонамерено кодиран уебсайт, който може да източи крипто или NFT от прикачен базиран на браузър портфейл, след като крипто портфейлът е свързан.
• ?☠️ Malware: Съкратено от злонамерен софтуер, този общ термин обхваща всяка програма или код, вреден за системите. Зловреден софтуер може да влезе в системата чрез фишинг имейли, текстови съобщения и съобщения.
• ? Компрометирани уебсайтове: Тези законни уебсайтове са отвлечени от престъпници и използвани за съхраняване на злонамерен софтуер, който нищо неподозиращите потребители изтеглят, след като кликнат върху връзка, изображение или файл.
• ? URL подправяне: Прекратете връзката на компрометирани уебсайтове; фалшивите уебсайтове са злонамерени сайтове, които са клонинги на законни уебсайтове. Известни още като URL фишинг, тези сайтове могат да събират потребителски имена, пароли, кредитни карти, криптовалута и друга лична информация.
• ? Фалшиви разширения на браузъра: Както подсказва името, тези експлойти използват фалшиви разширения на браузъра, за да подмамят криптопотребителите да въведат своите идентификационни данни или ключове в разширение, което дава на киберпрестъпника достъп до данните.

Тези атаки обикновено целят достъп, кражба и унищожаване на чувствителна информация или, в случая на Грийн, Bored Ape NFT.

Какво можете да направите, за да се защитите?

Любек казва, че най-добрият начин да се предпазите от фишинг е никога да не отговаряте на имейл, SMS, Telegram, Discord или WhatsApp съобщение от неизвестно лице, компания или акаунт. „Ще отида по-далеч от това“, добави Любек. „Никога не въвеждайте идентификационни данни или лична информация, ако потребителят не е започнал комуникацията.“

Lubeck препоръчва да не въвеждате вашите идентификационни данни или лична информация, когато използвате обществени или споделени WiFi или мрежи. Освен това Любек разказва Разкодирай че хората не трябва да имат фалшиво чувство за сигурност, защото използват определена операционна система или тип телефон.

„Когато говорим за тези видове измами: фишинг, имитиране на уеб страница, няма значение дали използвате iPhone, Linux, Mac, iOS, Windows или Chromebook“, казва той. „Назовете устройството; проблемът е сайтът, а не вашето устройство.“

Пазете своите крипто и NFT в безопасност

Нека да разгледаме по-скоро “Web3” план за действие.

Когато е възможно, използвайте хардуер или въздушна междина портфейли за съхраняване на цифрови активи. Тези устройства, понякога описвани като „студено съхранение“, премахват вашата крипто от интернет, докато не сте готови да я използвате. Въпреки че е обичайно и удобно да се използват базирани на браузър портфейли като MetaMask, не забравяйте, че всичко, свързано с интернет, има потенциал да бъде хакнато.

Ако използвате портфейл за мобилно устройство, браузър или настолен компютър, известен още като горещ портфейл, изтеглете ги от официални платформи като Google Play Store, App Store на Apple или проверени уебсайтове. Никога не изтегляйте от връзки, изпратени чрез текст или имейл. Въпреки че злонамерените приложения могат да намерят път до официалните магазини, това е по-сигурно от използването на връзки.

След като завършите транзакцията си, изключете портфейла от уебсайта.

Не забравяйте да запазите личните си ключове, началните фрази и паролите поверителни. Ако бъдете помолени да споделите тази информация, за да участвате в инвестиция или сечене, това е измама.

Инвестирайте само в проекти, които разбирате. Ако не е ясно как работи схемата, спрете и проучете повече.

Игнорирайте тактиката на силен натиск и кратките срокове. Често измамниците ще използват това, за да се опитат да извикат FOMO и да накарат потенциалните жертви да не мислят или да проучват това, което им се казва.

Не на последно място, ако звучи твърде добре, за да е истина, вероятно е измама.