Цифрлық активтер айырбасталатын және табыс табуға болатын жылдам қарқынмен дамып келе жатқан криптовалюта әлемінде тәжірибелі инвесторлардың да, жаңадан келгендердің де қауіпсіздігіне қауіп төндіреді: криптофишингтік алаяқтық.
Бұл схемалар жеке тұлғалардың сенімі мен осалдығын пайдалануға арналған, оларды алдап, олардың құпия ақпаратын ашуға немесе тіпті олардың еңбекпен тапқан крипто холдингтерімен қоштасуға бағытталған.
Криптовалюталардың танымалдылығы артып келе жатқандықтан, киберқылмыскерлер қолданатын фишинг әдістерінің күрделілігі де арта түседі. Заңды биржалар мен әмияндарды еліктеуден тартымды әлеуметтік инженерия тактикасын жасауға дейін, бұл алаяқтар цифрлық активтеріңізге рұқсатсыз қол жеткізу үшін ештеңені тоқтатпайды.
Зиянды актерлар өздерінің құрбандарын нысанаға алу үшін әртүрлі әлеуметтік инженерия әдістерін пайдаланады. Әлеуметтік инженерия тактикасының көмегімен алаяқтар пайдаланушылардың эмоцияларын басқарады және сенім мен жеделдік сезімін тудырады.
Эрик Паркер, бас директор және Giddy компаниясының негізін қалаушы - қорғаншылыққа жатпайтын әмиянның ақылды әмияны - Cointelegraph-қа: «Біреу сізге сұрамай-ақ хабарласты ма? Бұл сіз қолдануға болатын ең үлкен ережелердің бірі. Тұтынушыларға қызмет көрсету қызметі сізге сирек хабарласады, сондықтан сіз өзіңіздің есептік жазбаңызға әрекет ету керектігі туралы хабарламаларға әрқашан күдіктенуіңіз керек.
«Тегін ақшамен бірдей идея: Егер біреу сізге тегін ақша бергісі келгені үшін хабарлама жіберсе, бұл шынайы емес. Шындық болу үшін тым жақсы сезінетін немесе сізді тез әрекет етуге мәжбүр ететін жеделдік немесе қорқыныш сезімін тудыратын кез келген хабардан сақ болыңыз ».
Электрондық пошта және хабар алмасу алаяқтықтары
Криптофишингтік алаяқтықта қолданылатын кең таралған әдістердің бірі криптовалюталық биржалар немесе әмиян провайдерлері сияқты сенімді субъектілерді еліктеу болып табылады. Алаяқтар ұқсас брендинг, логотиптер және электрондық пошта мекенжайларын пайдаланып, осы заңды ұйымдардан болып көрінетін электрондық хаттарды немесе хабарларды жібереді. Олар алушыларды байланыс сенімді дереккөзден алынғанына сену үшін алдауды мақсат етеді.
Бұған қол жеткізу үшін алаяқтар электрондық поштаның жалғандығы сияқты әдістерді қолдануы мүмкін, мұнда олар жіберушінің электрондық пошта мекенжайын заңды ұйымнан келіп жатқандай етіп көрсету үшін қолдан жасайды. Олар сондай-ақ хабарларды жекелендіру және оларды шынайырақ ету үшін әлеуметтік инженерия тактикасын қолдана алады. Сенімді тұлғалардың атын жамылып, алаяқтар пайдаланушыларды олардың қауіпсіздігіне нұқсан келтіретін әрекеттерге алдап алу үшін осы ұйымдармен байланысты сенім мен сенімді пайдаланады.
Жалған қолдау сұраулары
Криптофишингтік алаяқтар көбінесе заңды криптовалюта биржаларының немесе әмиян провайдерлерінің тұтынушыларды қолдау өкілдері ретінде көрінеді. Олар күдікті емес пайдаланушыларға олардың тіркелгісіне қатысты мәселе немесе дереу назар аударуды қажет ететін күтудегі транзакция туралы мәлімдеп, электрондық хаттар немесе хабарлар жібереді.
Алаяқтар байланыс әдісін немесе пайдаланушыларға кіру тіркелгі деректерін немесе басқа құпия ақпаратты енгізуді сұрайтын жалған қолдау көрсету веб-сайтына сілтеме береді.
Омри Лахав, Blockfence - крипто-қауіпсіздік браузерінің кеңейтімі - бас директоры және негізін қалаушы - Cointelegraph-қа: «Егер біреу сізге хабарлама немесе электрондық поштаны сұраусыз жіберсе, олар сізден бірдеңе алғысы келетінін есте ұстаған жөн. Бұл сілтемелер мен тіркемелер кілттеріңізді ұрлауға немесе жүйелеріңізге кіруге арналған зиянды бағдарламаларды қамтуы мүмкін», - деп жалғастырады:
«Сонымен қатар, олар сізді фишинг веб-сайттарына бағыттай алады. Қауіпсіздікті қамтамасыз ету үшін әрқашан жіберушінің жеке басын және электрондық поштаның заңдылығын тексеріңіз. Сілтемелерді тікелей басудан аулақ болыңыз; URL мекенжайын браузерге көшіріп, қойыңыз, домен атауындағы емле сәйкессіздігін мұқият тексеріңіз.
Қолдау көрсету персоналының атын қолдану арқылы алаяқтар тұтынушылардың заңды қолдау көрсету арналарына деген сенімін пайдаланады. Бұған қоса, олар мәселелерді тез шешуге ұмтылады, бұл пайдаланушыларды алаяқтар кейін зиянды мақсаттарда пайдалана алатын жеке ақпараттарын ықыласпен ашуға әкеледі.
Жалған веб-сайттар мен клондалған платформалар
Зиянды актерлар сонымен қатар бейхабар пайдаланушыларды тарту үшін жалған веб-сайттар мен платформалар жасай алады.
Домендік атауларды бұрмалау - алаяқтар заңды криптовалюталық биржалардың немесе әмиян провайдерлерінің атауларына ұқсас домен атауларын тіркейтін әдіс. Мысалы, олар «exchange.com» орнына «exchnage.com» немесе «myethwallet» орнына «myethwallet» сияқты доменді тіркеуі мүмкін. Өкінішке орай, бұл шамалы вариацияларды бейхабар пайдаланушылар оңай елемеуге болады.
Лахав пайдаланушылар «бұл веб-сайттың беделді және танымал екенін тексеруі керек» деді.
Жақында: Bitcoin «Net Zero» уәделерімен соқтығысуда
«URL мекенжайының дұрыс жазылуын тексеру де өте маңызды, өйткені зиянды әрекеттер жиі заңды сайттардың URL мекенжайларына ұқсайтын URL мекенжайларын жасайды. Пайдаланушылар Google жарнамалары арқылы ашқан веб-сайттарға да абай болу керек, өйткені олар іздеу нәтижелерінде органикалық түрде жоғары орынға ие болмауы мүмкін », - деді ол.
Алаяқтар осы жалған домен атауларын заңды платформаларға еліктейтін веб-сайттарды жасау үшін пайдаланады. Олар жиі фишингтік электрондық хаттарды немесе осы жалған веб-сайттарға сілтемелері бар хабарламаларды жіберіп, пайдаланушыларды шынайы платформаға кіретініне сендіреді. Пайдаланушылар өздерінің логин тіркелгі деректерін енгізгеннен кейін немесе осы веб-сайттарда транзакцияларды орындағаннан кейін, алаяқтар құпия ақпаратты басып алады және оны пайда табу үшін пайдаланады.
Зиянды бағдарламалық құрал және мобильді қолданбалар
Хакерлер сонымен қатар пайдаланушыларды мақсатты түрде зиянды бағдарламалық қамтамасыз етуді пайдалана алады. Клавиатура және алмасу буферін ұрлау – криптофишингтік алаяқтар пайдаланушылардың құрылғыларынан құпия ақпаратты ұрлау үшін қолданатын әдістер.
Keylogger - бұл пайдаланушы өз құрылғысында жасаған әрбір пернені басып жазатын зиянды бағдарламалық құрал. Пайдаланушылар өздерінің кіру тіркелгі деректерін немесе жеке кілттерін енгізген кезде, клавиатура осы ақпаратты түсіріп алады және оны алаяқтарға қайтарады. Алмасу буферін ұрлау құрылғының алмасу буферіне көшірілген мазмұнды ұстауды қамтиды.
Криптовалюта операциялары көбінесе әмиян мекенжайларын немесе басқа құпия ақпаратты көшіру мен қоюды қамтиды. Алаяқтар алмасу буферін бақылау және заңды әмиян мекенжайларын өздерінің мекенжайларымен ауыстыру үшін зиянды бағдарламалық құралды пайдаланады. Пайдаланушылар ақпаратты мақсатты өріске қойғанда, олар білмей ақшаларын алаяқтың әмиянына жібереді.
Пайдаланушылар криптофишингтік алаяқтықтан қалай қорғана алады
Криптовалюта кеңістігін шарлау кезінде пайдаланушылар өздерін қорғау үшін жасай алатын қадамдар бар.
Екі факторлы аутентификацияны қосу (2FA) - криптоға қатысты тіркелгілерді фишингтік алаяқтықтан қорғауға көмектесетін құрал.
2FA пайдаланушылардан құпия сөзге қоса, әдетте мобильді құрылғысында жасалған бірегей кодты растаудың екінші түрін ұсынуды талап ету арқылы қосымша қорғаныс қабатын қосады. Бұл шабуылдаушылар пайдаланушының кіру тіркелгі деректерін фишинг әрекеттері арқылы алса да, оларға қол жеткізу үшін екінші фактор (мысалы, уақытқа негізделген бір реттік құпия сөз) қажет екеніне кепілдік береді.
Аппараттық немесе бағдарламалық қамтамасыз ету негізіндегі аутентификацияларды пайдалану
2FA орнату кезінде пайдаланушылар тек SMS негізіндегі аутентификацияға сенудің орнына аппараттық немесе бағдарламалық құрал негізіндегі аутентификацияны пайдалануды қарастыруы керек. SMS негізіндегі 2FA SIM картасын ауыстыру шабуылдарына осал болуы мүмкін, мұнда шабуылдаушылар алаяқтық жолмен пайдаланушының телефон нөмірін бақылауға алады.
YubiKey немесе қауіпсіздік кілттері сияқты аппараттық аутентификациялар бір реттік құпия сөздерді жасайтын және қауіпсіздіктің қосымша деңгейін қамтамасыз ететін физикалық құрылғылар болып табылады. Google Authenticator немесе Authy сияқты бағдарламалық құралға негізделген аутентификациялар пайдаланушылардың смартфондарында уақытқа негізделген кодтарды жасайды. Бұл әдістер SMS негізіндегі аутентификацияға қарағанда қауіпсізірек, себебі олар SIM картасын ауыстыру шабуылдарына сезімтал емес.
Веб-сайттың түпнұсқалығын тексеріңіз
Фишингтік алаяқтықтан қорғау үшін пайдаланушылар электрондық хаттарда, хабарларда немесе басқа расталмаған көздерде берілген сілтемелерді басудан аулақ болуы керек. Оның орнына олар криптовалюта биржаларының, әмияндарының немесе қол жеткізгісі келетін кез келген басқа платформалардың веб-сайтының URL мекенжайларын қолмен енгізуі керек.
Веб-сайттың URL мекенжайын қолмен енгізу арқылы пайдаланушылар фишинг сілтемесін басу арқылы жалған немесе клондалған веб-сайтқа қайта бағытталмай, заңды веб-сайтқа тікелей кіруге кепілдік береді.
Сілтемелер мен қосымшалармен абай болыңыз
Кез келген сілтемелерді баспас бұрын пайдаланушылар браузердің күй жолағында немесе құрал кеңесінде тағайындалған URL мекенжайын көру үшін тінтуір курсорын олардың үстіне апаруы керек. Бұл пайдаланушыларға сілтеменің нақты тағайындалған орнын тексеруге және оның күтілетін веб-сайтқа сәйкестігін тексеруге мүмкіндік береді.
Фишингтік алаяқтар көбінесе тағайындалған жерден басқа URL мәтінін көрсету арқылы сілтемелерді жасырады. Сілтеменің үстіне меңзерді апару арқылы пайдаланушылар фишинг әрекетін көрсетуі мүмкін сәйкессіздіктер мен күдікті URL мекенжайларын анықтай алады.
Паркер Cointelegraph-қа былай деп түсіндірді: «Электрондық поштадағы негізгі сілтемені қолдан жасау өте оңай. Алаяқ сізге электрондық пошта мәтініндегі бір сілтемені көрсете алады, бірақ негізгі гиперсілтемені басқа нәрсеге айналдырады.
«Криптографиялық фишерлердің сүйікті алаяқтығы – беделді веб-сайттың UI-ін көшіру, бірақ олардың зиянды кодын логин немесе Wallet Connect бөлігі үшін орналастыру, нәтижесінде ұрланған құпия сөздер немесе одан да жаманы ұрланған негізгі фразалар. Сондықтан әрқашан жүйеге кіріп жатқан немесе крипто әмияныңызды қосатын веб-сайттың URL мекенжайын екі рет тексеріңіз.
Антивирустық бағдарламалық құрал арқылы қосымшаларды сканерлеу
Пайдаланушылар, әсіресе сенімсіз немесе күдікті көздерден тіркемелерді жүктеп алу және ашу кезінде абай болу керек. Тіркемелерде пайдаланушы құрылғысының және криптовалюта тіркелгілерінің қауіпсіздігіне нұқсан келтіруі мүмкін зиянды бағдарламалар, соның ішінде клавиатура немесе троян болуы мүмкін.
Бұл тәуекелді азайту үшін пайдаланушылар барлық тіркемелерді ашар алдында беделді антивирустық бағдарламалық құралмен сканерлеуі керек. Бұл фишингтік шабуылдың құрбаны болу мүмкіндігін азайта отырып, кез келген ықтимал зиянды бағдарлама қауіптерін анықтауға және жоюға көмектеседі.
Бағдарламалық құрал мен қолданбаларды жаңартып отырыңыз
Операциялық жүйелерді, веб-браузерлерді, құрылғыларды және басқа бағдарламалық құралдарды жаңартып отыру пайдаланушы құрылғыларының қауіпсіздігін сақтау үшін өте маңызды. Жаңартулар белгілі осалдықтарды қарастыратын және пайда болатын қауіптерден қорғайтын қауіпсіздік патчтарын қамтуы мүмкін.
Беделді қауіпсіздік бағдарламалық құралын пайдалану
Фишингтік алаяқтық пен зиянды бағдарламалардан қорғаудың қосымша қабатын қосу үшін пайдаланушылар өз құрылғыларында беделді қауіпсіздік бағдарламалық құралын орнатуды қарастыруы керек.
Вирусқа қарсы, зиянды бағдарламаға қарсы және фишингке қарсы бағдарламалық құрал фишингтік электрондық пошталарды, жалған веб-сайттарды және зиянды бағдарлама жұқтырған файлдарды қоса, зиянды қауіптерді анықтауға және блоктауға көмектеседі.
Беделді бағдарламалық жасақтаманы пайдаланып қауіпсіздік сканерлеуін жүйелі түрде жаңартып, іске қосу арқылы пайдаланушылар фишингтік алаяқтық құрбаны болу қаупін азайтып, құрылғыларының және криптовалютаға қатысты әрекеттердің жалпы қауіпсіздігін қамтамасыз ете алады.
Өзіңізді оқытыңыз және хабардар болыңыз
Криптофишингтік алаяқтық үнемі дамып отырады және үнемі жаңа тактикалар пайда болады. Пайдаланушылар криптовалюта қауымдастығына бағытталған фишингтің соңғы әдістері мен алаяқтықтары туралы өздерін білу үшін бастама көтеруі керек. Бұған қоса, соңғы фишинг оқиғалары мен қауіпсіздіктің ең жақсы тәжірибелері туралы зерттеу және оқу арқылы хабардар болыңыз.
Соңғы: Әділ пайдалану дегеніміз не? АҚШ Жоғарғы соты AI-ның авторлық құқық дилеммасына салмақ түсіреді
Қауіпсіздікке қатысты жаңалықтардан хабардар болу және фишингтік алаяқтық туралы уақтылы ескертулер алу үшін пайдаланушылар криптовалюта қауымдастығындағы сенімді дереккөздерді қадағалауы керек. Бұған криптовалюталық биржалардың, әмиян провайдерлерінің және беделді киберқауіпсіздік ұйымдарының ресми хабарландырулары мен әлеуметтік медиа аккаунттары кіруі мүмкін.
Сенімді көздерге сүйене отырып, пайдаланушылар пайда болатын фишингтік алаяқтыққа, қауіпсіздіктің осал тұстарына және крипто активтерін қорғаудың озық тәжірибелеріне қатысты нақты ақпарат пен ескертулер ала алады.
Дереккөз: https://cointelegraph.com/news/crypto-phishing-scams-how-users-can-stay-protected