Web3-тегі киберқауіпсіздік: өзіңізді қорғау (және сіздің маймылыңыз JPEG)

Сөйтсе де Web3 Евангелистер блокчейннің жергілікті қауіпсіздік мүмкіндіктерін бұрыннан айтып келеді, салаға ағып жатқан ақша ағыны оны хакерлер үшін қызықты перспективаға айналдырады, Scammers және ұрылар.

Жаман актерлер Web3 киберқауіпсіздігін бұзған кезде, бұл көбінесе технологиядағы кемшіліктерден гөрі, адамның ашкөздігінің, FOMO және надандықтың ең көп тараған қауіп-қатерлерін елемеу пайдаланушыларға байланысты.

Көптеген алаяқтық үлкен төлемдерді, инвестицияларды немесе эксклюзивті жеңілдіктерді уәде етеді; FTC бұл ақша табу мүмкіндіктері мен инвестиция деп атайды Алаяқтық.

Алаяқтықпен үлкен ақша

2022 маусымдағы мәлімет бойынша есеп Федералды сауда комиссиясы 1 жылдан бері 2021 миллиард доллардан астам криптовалюта ұрлады. Ал хакерлердің аң аулайтын жерлері – адамдар желіде жиналатын жер.

«2021 жылдан бері алаяқтықпен криптовалютадан айырылғанын хабарлаған адамдардың жартысына жуығы бұл әлеуметтік медиа платформасындағы жарнамадан, хабарламадан немесе хабарламадан басталғанын айтты», - деді FTC.

Алаяқтық оқиғалар шындық болу үшін тым жақсы естілгенімен, әлеуетті құрбандар крипто нарығының қарқынды құбылмалылығын ескере отырып, сенімсіздікті тоқтата алады; адамдар келесі үлкен нәрсені жіберіп алғысы келмейді.

NFT-терге бағытталған шабуылдаушылар

Криптовалюталармен қатар, NFT, немесе өзгермейтін таңбалауыштар болды барған сайын танымал алаяқтардың мақсаты; Web3 киберқауіпсіздік фирмасының мәліметі бойынша TRM зертханалары, 2022 жылдың мамырынан кейінгі екі айда NFT қауымдастығы алаяқтық пен фишингтік шабуылдардан шамамен $22 миллион жоғалтты.

сияқты «Blue-chip» топтамалары Скучный маймылдар яхт-клубы (BAYC) ерекше құнды мақсат болып табылады. 2022 жылдың сәуір айында BAYC Instagram аккаунты болды бұзылды құрбандарды Ethereum крипто және NFT әмияндарын төгетін сайтқа бұрған алаяқтар. Жалпы құны 91 миллион доллардан асатын 2.8 NFT ұрланған. Арада ай өткен соң, А Discord эксплойт пайдаланушылардан ұрланған 200 ETH құны NFTs көрді.

Жоғары профильді BAYC иелері де алаяқтардың құрбаны болды. 17 мамырда актер және продюсер Сет Грин Twitter-де өзінің төрт NFT ұрлығына әкелген фишингтік алаяқтықтың құрбаны болғанын жазды, оның ішінде Bored Ape №8398. Фишингтік шабуылдардан туындайтын қауіп-қатерді атап көрсетумен қатар, ол Грин, «White Horse Tavern» жоспарлаған NFT-тақырыптық теледидар/ағынды шоуды рельстен шығаруы мүмкін. BAYC NFTs, мысалы, NFT-ті коммерциялық мақсаттарда пайдалануға лицензиялық құқықтарды қамтиды. Жалықтырған және аштық Лонг-Бичтегі фастфуд мейрамханасы, Калифорния.

9 маусымда Twitter Spaces сессиясында, жасыл ол ұрланған JPEG ұрланғаннан кейін NFT сатып алған адамға 165 ETH (сол кезде 295,000 XNUMX доллардан астам) төлегеннен кейін оны қалпына келтіргенін айтты.

«Фишинг әлі де шабуылдың бірінші векторы болып табылады», - деп Луис Любек, Web3 киберқауіпсіздік фирмасының қауіпсіздік инженері, Халборн, деді Шифрды шешіңіз.

Любек пайдаланушылар әмиянның тіркелгі деректерін, клондалған сілтемелерді және жалған жобаларды сұрайтын жалған веб-сайттардан хабардар болуы керек дейді.

Любектің айтуынша, фишингтік алаяқтық әлеуметтік инженериядан басталуы мүмкін, ол пайдаланушыға таңбалауыштың ерте іске қосылуы туралы немесе олардың ақшасын 100 есе арттыратынын, төмен API интерфейсін немесе есептік жазбасының бұзылғанын және құпия сөзді өзгертуді талап ететінін айтады. Бұл хабарламалар әдетте әрекет ету үшін шектеулі уақытпен келеді, бұл пайдаланушының FOMO деп те аталатын мүмкіндікті жіберіп алу қорқынышын одан әрі оятады.

Грин жағдайында фишингтік шабуыл клондалған сілтеме арқылы келді.

Клондық фишинг - алаяқ веб-сайтты, электрондық поштаны немесе тіпті қарапайым сілтемені алып, заңды болып көрінетін тамаша көшірмені жасайтын шабуыл. Грин фишинг веб-сайты болып шыққан «GutterCat» клондарын шығарамын деп ойлады.

Грин әмиянды фишингтік веб-сайтқа қосып, NFT-ті шығару үшін транзакцияға қол қойған кезде, ол хакерлерге өзінің жеке кілттеріне және өз кезегінде, Bored Apes-ке рұқсат берді.

Кибершабуыл түрлері

Қауіпсіздікті бұзу компанияларға да, жеке тұлғаларға да әсер етуі мүмкін. Толық тізім болмаса да, Web3-ке бағытталған кибершабуылдар әдетте келесі санаттарға жатады:

• ? фишинг: Кибершабуылдың ең көне, бірақ кең таралған түрлерінің бірі, фишингтік шабуылдар әдетте электрондық пошта түрінде келеді және әлеуметтік медиадағы мәтіндер мен хабарламалар сияқты беделді дереккөзден шыққан сияқты алаяқтық байланыстарды жіберуді қамтиды. Бұл киберқылмыс сонымен қатар крипто әмиян қосылғаннан кейін қосылған браузерге негізделген әмияннан крипто немесе NFT-ті төгіп тастауы мүмкін бұзылған немесе зиянды кодталған веб-сайт нысанын қабылдауы мүмкін.
• ?‍☠️ Malware: Зиянды бағдарламалық құралдың қысқаша бұл термині жүйеге зиянды кез келген бағдарламаны немесе кодты қамтиды. Зиянды бағдарлама жүйеге фишингтік электрондық пошталар, мәтіндер және хабарлар арқылы кіруі мүмкін.
• ? Бұзылған веб-сайттар: Бұл заңды веб-сайттарды қылмыскерлер басып алады және олар сілтемені, суретті немесе файлды басқан кезде бейхабар пайдаланушылар жүктеп алатын зиянды бағдарламаларды сақтау үшін пайдаланылады.
• ? URL жалғандығы: Бұзылған веб-сайттардың байланысын жою; жалған веб-сайттар - бұл заңды веб-сайттардың клондары болып табылатын зиянды сайттар. URL фишинг ретінде де белгілі, бұл сайттар пайдаланушы атын, құпия сөздерді, несие карталарын, криптовалюталарды және басқа да жеке ақпаратты жинай алады.
• ? Жалған браузер кеңейтімдері: Атауынан көрініп тұрғандай, бұл эксплойттер крипто-пайдаланушыларды өздерінің тіркелгі деректерін немесе кілттерін киберқылмыскерлерге деректерге қол жеткізуге мүмкіндік беретін кеңейтімге енгізу үшін алдау үшін жалған браузер кеңейтімдерін пайдаланады.

Бұл шабуылдар әдетте құпия ақпаратқа қол жеткізуге, ұрлауға және жоюға бағытталған немесе Грин жағдайында Bored Ape NFT.

Өзіңізді қорғау үшін не істей аласыз?

Любектің айтуынша, фишингтен қорғаудың ең жақсы жолы - белгісіз адамнан, компаниядан немесе тіркелгіден келген электрондық поштаға, SMS мәтініне, Telegram, Discord немесе WhatsApp хабарламаларына ешқашан жауап бермеу. «Мен одан әрі қарай жүремін», - деп қосты Любек. «Егер пайдаланушы байланысты бастамаса, тіркелгі деректерін немесе жеке ақпаратты ешқашан енгізбеңіз.»

Любек жалпыға ортақ немесе ортақ WiFi немесе желілерді пайдаланған кезде тіркелгі деректерін немесе жеке ақпаратты енгізбеуді ұсынады. Сонымен қатар, Любек айтады Шифрды шешіңіз адамдар белгілі бір операциялық жүйені немесе телефон түрін пайдаланатындықтан жалған қауіпсіздік сезімі болмауы керек.

«Біз мұндай алаяқтық туралы айтатын болсақ: фишинг, веб-парақшаға еліктеу, iPhone, Linux, Mac, iOS, Windows немесе Chromebook пайдаланып жатқаныңыз маңызды емес», - дейді ол. «Құрылғыны атаңыз; Мәселе сіздің құрылғыңызда емес, сайтта».

Крипто және NFT-терді қауіпсіз сақтаңыз

Толығырақ «Web3» әрекет жоспарын қарастырайық.

Мүмкіндігінше, жабдықты немесе ауа саңылауларын пайдаланыңыз Әмияндар сандық активтерді сақтау үшін. Кейде «салқын қойма» деп сипатталатын бұл құрылғылар криптоңызды пайдалануға дайын болғанша интернеттен алып тастайды. Браузер негізіндегі әмияндарды пайдалану әдеттегі және ыңғайлы болғанымен MetaMask, есіңізде болсын, интернетке қосылған кез келген нәрсе бұзылу мүмкіндігіне ие.

Ыстық әмиян деп те аталатын мобильді, браузер немесе жұмыс үстелі әмиянын пайдалансаңыз, оларды Google Play Store, Apple App Store немесе тексерілген веб-сайттар сияқты ресми платформалардан жүктеп алыңыз. Мәтін немесе электрондық пошта арқылы жіберілген сілтемелерден ешқашан жүктеп алмаңыз. Зиянды қолданбалар ресми дүкендерге жол таба алатынына қарамастан, бұл сілтемелерді пайдаланудан гөрі қауіпсіз.

Транзакцияны аяқтағаннан кейін әмиянды веб-сайттан ажыратыңыз.

Жеке кілттеріңізді, негізгі фразаларыңызды және құпия сөздеріңізді құпия сақтауды ұмытпаңыз. Егер сізден инвестицияға немесе ақшаны тартуға қатысу үшін осы ақпаратты бөлісу сұралса, бұл алаяқтық.

Тек өзіңіз түсінетін жобаларға ақша салыңыз. Схема қалай жұмыс істейтіні түсініксіз болса, тоқтап, көбірек зерттеу жүргізіңіз.

Жоғары қысым тактикасын және қатаң мерзімдерді елемеңіз. Көбінесе алаяқтар мұны FOMO-ға жүгіну және шақыру үшін пайдаланады және әлеуетті құрбандарды өздеріне айтылған нәрсе туралы ойламауға немесе зерттеуге мәжбүр етеді.

Ақырында, егер бұл шындық болу үшін тым жақсы естілсе, бұл алаяқтық болуы мүмкін.