Сајбер безбедност во Web3: Заштитете се себеси (и вашиот мајмун JPEG)

И покрај тоа што Web3 Евангелистите долго време ги рекламираа природните безбедносни карактеристики на блокчејнот, поројот пари што тече во индустријата го прави примамлива перспектива за хакерите. scammers и крадци.

Кога лошите актери успеваат да ја нарушат сајбер-безбедноста на Web3, тоа често се должи на корисниците кои ги занемаруваат најчестите закани од човечката алчност, FOMO и незнаење, наместо поради недостатоците во технологијата.

Многу измами ветуваат големи исплати, инвестиции или ексклузивни поволности; FTC ги нарекува овие можности за правење пари и инвестиции измами.

Големи пари во измами

Според еден од 2022 јуни пријавите од страна на Федералната трговска комисија, над 1 милијарда долари во криптовалути се украдени од 2021 година. А ловиштата на хакерите се местото каде што луѓето се собираат на интернет.

„Речиси половина од луѓето кои пријавиле дека изгубиле крипто поради измама од 2021 година, рекле дека тоа започнало со реклама, објава или порака на платформа на социјалните медиуми“, соопшти FTC.

Иако лажните пристигнувања звучат премногу добро за да бидат вистинити, потенцијалните жртви може да го прекинат неверувањето со оглед на интензивната нестабилност на пазарот на крипто; луѓето не сакаат да ја пропуштат следната голема работа.

Напаѓачи насочени кон NFT

Заедно со криптовалутите, NFT, или незаменливи токени, станаа сè попопуларен цел за измамници; според компанијата за сајбер безбедност Веб3 Лаборатории TRM, во двата месеци по мај 2022 година, заедницата NFT изгуби околу 22 милиони долари поради измами и напади на фишинг.

„Блу-чип“ колекции како што се Досаден клуб Јахти Мајмун (BAYC) се особено ценета цел. Во април 2022 година, сметката на Инстаграм BAYC беше пробиени од измамници кои ги пренасочувале жртвите на страница која ги исцедила нивните Ethereum паричници од крипто и NFT. Украдени се околу 91 NFT, со вкупна вредност од над 2.8 милиони долари. Месеци подоцна, А Раздор експлоатира видов NFT вредни 200 ETH украдени од корисниците.

Сопствениците на BAYC од висок профил, исто така, станаа жртви на измами. На 17 мај, актер и продуцент Сет Грин твитна дека бил жртва на фишинг измама што резултирала со кражба на четири NFT, вклучувајќи го и Bored Ape #8398. Освен што ја истакнува заканата од нападите на фишинг, тоа би можело да исфрли од колосек телевизиско/стриминг шоу со тема NFT, планирано од Грин, „Кафана со бел коњ“. BAYC NFT вклучуваат права за лиценцирање за користење на NFT за комерцијални цели, како во случајот со Досадно и гладно ресторан за брза храна во Лонг Бич, Калифорнија.

За време на сесијата на Twitter Spaces на 9 јуни, зелена рече дека го вратил украдениот JPEG откако платил 165 ETH (повеќе од 295,000 американски долари во тоа време) на лице кое го купило NFT откако бил украден.

„Фишингот сè уште е првиот вектор на напад“, Луис Лубек, инженер за безбедност во фирмата за сајбер безбедност Web3. Халборн, за Дешифрирај.

Лубек вели дека корисниците треба да бидат свесни за лажни веб-локации кои бараат акредитиви за паричник, клонирани врски и лажни проекти.

Според Лубек, фишинг-измама може да започне со социјален инженеринг, кажувајќи му на корисникот за рано лансирање на токен или дека ќе ги 100 пати парите, нискиот API или дека нивната сметка е пробиена и бара промена на лозинката. Овие пораки обично доаѓаат со ограничено време за дејствување, што дополнително го поттикнува стравот на корисникот да пропушти, исто така познат како FOMO.

Во случајот на Грин, нападот на фишинг дојде преку клонирана врска.

Клонирање на фишинг е напад каде што измамникот зема веб-локација, е-пошта, па дури и едноставна врска и создава речиси совршена копија што изгледа легитимна. Грин мислеше дека создава клонови „GutterCat“ користејќи, како што се покажа, веб-страница за фишинг.

Кога Грин го поврзал својот паричник со веб-страницата за фишинг и ја потпишал трансакцијата за ковање на NFT, тој им дал на хакерите пристап до неговите приватни клучеви и, за возврат, до неговите Bored Apes.

Видови сајбер напади

Прекршувањата на безбедноста можат да влијаат и на компаниите и на поединците. Иако не е комплетен список, сајбер нападите насочени кон Web3 обично спаѓаат во следниве категории:

• ? Phishing: Еден од најстарите, но најчести форми на сајбер-напади, нападите со фишинг најчесто доаѓаат во форма на е-пошта и вклучуваат испраќање лажни комуникации како текстови и пораки на социјалните медиуми кои се чини дека доаѓаат од реномиран извор. Ова компјутерскиот криминал може исто така да има форма на компромитирана или злонамерно кодирана веб-локација што може да го исцеди крипто или NFT од прикачен паричник базиран на прелистувач откако ќе се поврзе крипто-паричникот.
• ?‍☠️ малициозен софтвер: Накратко за злонамерен софтвер, овој чадор термин опфаќа која било програма или код што е штетен за системите. Злонамерниот софтвер може да влезе во системот преку е-пошта, текстови и пораки за фишинг.
• ? Компромитирани веб-страници: Овие легитимни веб-локации се киднапирани од криминалци и се користат за складирање на малициозен софтвер што несомнените корисници го преземаат откако ќе кликнат на врска, слика или датотека.
• ? Измамување на URL-то: Прекини врска компромитирани веб-локации; измамените веб-страници се малициозни страници кои се клонови на легитимни веб-локации. Исто така познат како URL Phishing, овие сајтови можат да собираат кориснички имиња, лозинки, кредитни картички, криптовалути и други лични информации.
• ? Лажни екстензии на прелистувачот: Како што сугерира името, овие експлоатирања користат лажни екстензии на прелистувачи за да ги измамат крипто-корисниците да ги внесат нивните ингеренции или клучеви во екстензија што му дава пристап на сајбер криминалците до податоците.

Овие напади обично имаат за цел да пристапат, крадат и уништат чувствителни информации или, во случајот на Грин, досаден мајмун NFT.

Што можете да направите за да се заштитите?

Лубек вели дека најдобриот начин да се заштитите од фишинг е никогаш да не одговарате на е-пошта, СМС текст, телеграма, Discord или порака на WhatsApp од непознато лице, компанија или сметка. „Ќе одам подалеку од тоа“, додаде Лубек. „Никогаш не внесувајте акредитиви или лични податоци ако корисникот не ја започнал комуникацијата“.

Лубек препорачува да не ги внесувате вашите ингеренции или лични податоци кога користите јавна или споделена WiFi или мрежи. Во продолжение раскажува Лубек Дешифрирај дека луѓето не треба да имаат лажно чувство на сигурност бидејќи користат одреден оперативен систем или тип на телефон.

„Кога зборуваме за овие видови на измами: фишинг, имитирање на веб-страници, не е важно дали користите iPhone, Linux, Mac, iOS, Windows или Chromebook“, вели тој. „Именувајте го уредот; проблемот е страницата, а не вашиот уред“.

Чувајте ги вашите крипто и NFT безбедни

Ајде да погледнеме повеќе „Веб3“ акционен план.

Кога е можно, користете хардвер или процеп со воздух паричници за складирање на дигитални средства. Овие уреди, понекогаш опишани како „ладно складирање“, го отстрануваат вашиот крипто од интернет додека не сте подготвени да го користите. Иако е вообичаено и практично да се користат паричници базирани на прелистувач како МетаМаск, запомнете, сè што е поврзано на интернет има потенцијал да биде хакирано.

Ако користите мобилен, прелистувач или десктоп паричник, познат и како топол паричник, преземете ги од официјалните платформи како Google Play Store, App Store на Apple или проверени веб-локации. Никогаш не преземајте од линкови испратени преку текст или е-пошта. Иако злонамерните апликации можат да го најдат патот до официјалните продавници, тоа е побезбедно од користењето врски.

Откако ќе ја завршите трансакцијата, исклучете го паричникот од веб-локацијата.

Не заборавајте да ги чувате приватните клучеви, фразите и лозинките приватни. Ако ве прашаат да ги споделите овие информации за да учествувате во инвестиција или ковање, тоа е измама.

Инвестирајте само во проекти што ги разбирате. Ако не е јасно како функционира шемата, престанете и истражувајте повеќе.

Игнорирајте ги тактиките под висок притисок и тесните рокови. Честопати, измамниците ќе го користат ова за да се обидат да го повикаат FOMO и да ги натераат потенцијалните жртви да не размислуваат или да истражуваат за тоа што им се кажува.

Последно, но не и најмалку важно, ако звучи премногу добро за да биде вистина, веројатно е измама.