Küberturvalisus Web3-s: enda kaitsmine (ja oma ahvi JPEG)

Kuigi Web3 evangelistid on pikka aega reklaaminud plokiahela loomulikke turvaelemente, tööstusesse voolav rahavoog muudab selle häkkerite jaoks ahvatlevaks väljavaateks, petturid ja vargad.

Kui halbadel osalejatel õnnestub Web3 küberjulgeolekut rikkuda, on sageli põhjuseks see, et kasutajad jätavad tähelepanuta kõige tavalisemad inimahnuse, FOMO ja teadmatuse ohud, mitte aga tehnoloogia vigade tõttu.

Paljud pettused lubavad suuri väljamakseid, investeeringuid või eksklusiivseid hüvesid; FTC nimetab neid raha teenimise võimalusteks ja investeeringuteks petuskeemid.

Suur raha pettustes

2022. juuni andmetel aru Federal Trade Commission on alates 1. aastast varastatud üle 2021 miljardi dollari krüptovaluutat. Ja häkkerite jahimaad on koht, kus inimesed kogunevad veebis.

"Pea pooled inimesed, kes teatasid, et kaotasid krüpto pettuse tõttu alates 2021. aastast, ütlesid, et see sai alguse reklaamist, postitusest või sõnumist sotsiaalmeediaplatvormil," teatas FTC.

Kuigi petturlikud pealekäimised kõlavad liiga hästi, et tõsi olla, võivad potentsiaalsed ohvrid umbusalduse peatada, arvestades krüptoturu suurt volatiilsust; inimesed ei taha järgmisest suurest asjast ilma jääda.

NFT-sid sihivad ründajad

Koos krüptovaluutadega NFT-d, või mitteasendatavad märgid, on muutunud an üha populaarsemaks petturite sihtmärk; Web3 küberjulgeolekufirma andmetel TRM Labs2022. aasta maile järgnenud kahe kuu jooksul kaotas NFT kogukond pettuste ja andmepüügirünnakute tõttu hinnanguliselt 22 miljonit dollarit.

"Blue-chip" kollektsioonid nagu Igav Ape jahtklubi (BAYC) on eriti hinnatud sihtmärk. Aprillis 2022 oli BAYC Instagrami konto häkkinud petturid, kes suunasid ohvrid saidile, mis tühjendas nende Ethereumi rahakotid krüpto- ja NFT-dest. Varastati umbes 91 NFT-d, mille koguväärtus ületas 2.8 miljonit dollarit. Kuud hiljem, a Discord exploit nägi, et kasutajatelt varastati 200 ETH väärtuses NFT-sid.

Ka kõrgetasemelised BAYC-hoidikud on langenud pettuste ohvriks. 17. mail näitleja ja produtsent Seth roheline säutsus, et ta oli andmepüügipettuse ohver, mille tulemusel varastati neli NFT-d, sealhulgas Bored Ape #8398. Lisaks andmepüügirünnakutest tuleneva ohu esiletõstmisele oleks see võinud rööbastelt välja viia Greeni kavandatud NFT-teemalise televisiooni/voogesituse saate "White Horse Tavern". BAYC NFT-d sisaldavad litsentsiõigusi NFT kasutamiseks ärilistel eesmärkidel, nagu näiteks Igav & Näljane kiirtoidurestoran Long Beachis, CA.

9. juuni Twitter Spacesi seansi ajal Green ütles, et ta sai varastatud JPEG-i kätte pärast seda, kui maksis 165 ETH (sel ajal rohkem kui 295,000 XNUMX dollarit) isikule, kes oli ostnud NFT pärast selle varastamist.

"Andmepüük on endiselt esimene rünnakute vektor," ütles Web3 küberturvalisuse ettevõtte turbeinsener Luis Lubeck. Halborn, rääkis Avaldage lahti.

Lubeck ütleb, et kasutajad peaksid olema teadlikud võltsitud veebisaitidest, mis küsivad rahakoti mandaate, kloonitud linke ja võltsprojekte.

Lubecki sõnul võib andmepüügipettus alata sotsiaalsest manipuleerimisest, teavitades kasutajat varajasest märgi käivitamisest või sellest, et ta ületab 100 korda oma raha, madala API-liidese või et tema kontot on rikutud ja see nõuab parooli muutmist. Need sõnumid tulevad tavaliselt piiratud tegutsemisajaga, suurendades kasutajate hirmu ilma jääda, mida nimetatakse ka FOMO-ks.

Greeni puhul tuli andmepüügirünnak kloonitud lingi kaudu.

Andmepüügi kloonimine on rünnak, mille käigus pettur võtab veebisaidi, meili või isegi lihtsa lingi ja loob peaaegu täiusliku koopia, mis näeb välja seaduslik. Green arvas, et ta vermib „GutterCati” kloone, kasutades seda, mis osutus andmepüügiveebisaidiks.

Kui Green ühendas oma rahakoti andmepüügiveebisaidiga ja allkirjastas tehingu NFT vermimiseks, andis ta häkkeritele juurdepääsu oma privaatvõtmetele ja omakorda oma igavusahvidele.

Küberrünnakute tüübid

Turvarikkumised võivad puudutada nii ettevõtteid kui ka eraisikuid. Ehkki see pole täielik nimekiri, jagunevad Web3 sihivad küberrünnakud tavaliselt järgmistesse kategooriatesse.

• ? Phishing: Üks vanimaid, kuid levinumaid küberrünnakute vorme, andmepüügirünnakud tulevad tavaliselt e-kirjade vormis ja hõlmavad petturlike suhtluste, näiteks tekstide ja sõnumite saatmist sotsiaalmeedias, mis näivad olevat pärit usaldusväärsest allikast. See Küberkuritegevus võib esineda ka ohustatud või pahatahtlikult kodeeritud veebisaidi kujul, mis võib krüpto- või NFT-d tühjendada lisatud brauseripõhisest rahakotist, kui krüptorahakott on ühendatud.
• ?‍☠️ malware: Lühike ründetarkvara, see katustermin hõlmab kõiki süsteeme kahjustavaid programme või koodi. Pahavara võib süsteemi siseneda andmepüügimeilide, tekstisõnumite ja sõnumite kaudu.
• ? Ohustatud veebisaidid: Kurjategijad kaaperdavad need seaduslikud veebisaidid ja neid kasutatakse pahavara salvestamiseks, mille pahaaimamatud kasutajad pärast lingil, pildil või failil klõpsamist alla laadivad.
• ? URL-i võltsimine: ohustatud veebisaitide linkimise tühistamine; võltsitud veebisaidid on pahatahtlikud saidid, mis on seaduslike veebisaitide kloonid. Need saidid, mida tuntakse ka URL-i andmepüügina, saavad koguda kasutajanimesid, paroole, krediitkaarte, krüptovaluutat ja muud isiklikku teavet.
• ? Võltsbrauseri laiendused: Nagu nimigi viitab, kasutavad need ärakasutamised võltsitud brauseri laiendusi, et meelitada krüptokasutajaid sisestama oma mandaate või võtmeid laiendusse, mis annab küberkurjategijatele andmetele juurdepääsu.

Nende rünnakute eesmärk on tavaliselt tundlikule teabele või Greeni puhul Bored Ape NFT-le juurdepääs, selle varastamine ja hävitamine.

Mida saate enda kaitsmiseks teha?

Lubeck ütleb, et parim viis end andmepüügi eest kaitsta on mitte kunagi vastata tundmatu isiku, ettevõtte või konto e-kirjale, SMS-i, Telegrami, Discordi või WhatsAppi sõnumile. "Ma lähen sellest kaugemale," lisas Lübeck. "Ärge kunagi sisestage mandaate ega isiklikku teavet, kui kasutaja ei alustanud suhtlust."

Lubeck soovitab avaliku või jagatud WiFi või võrkude kasutamisel mitte sisestada oma mandaate ega isiklikku teavet. Lisaks jutustab Lübeck Avaldage lahti et inimestel ei tohiks tekkida vale turvatunnet, kuna nad kasutavad teatud operatsioonisüsteemi või telefonitüüpi.

"Kui me räägime sellistest petuskeemidest: andmepüük, veebilehe teisena esinemine, pole vahet, kas kasutate iPhone'i, Linuxi, Maci, iOS-i, Windowsi või Chromebooki," ütleb ta. "Andke seadmele nimi; probleem on saidil, mitte teie seadmes.

Hoidke oma krüpto- ja NFT-sid turvaliselt

Vaatame rohkem "Web3" tegevuskava.

Võimaluse korral kasutage riistvara või õhuvahega rahakotid digitaalsete varade hoidmiseks. Need seadmed, mida mõnikord nimetatakse "külmsalvestuseks", eemaldavad teie krüpto Internetist, kuni olete selle kasutamiseks valmis. Kuigi on tavaline ja mugav kasutada brauseripõhiseid rahakotte nagu MetaMask, pidage meeles, et kõike, mis on Internetiga ühendatud, võib häkkida.

Kui kasutate mobiiltelefoni, brauserit või lauaarvuti rahakotti, mida nimetatakse ka kuumaks rahakotiks, laadige need alla ametlikelt platvormidelt, nagu Google Play Store, Apple'i App Store või kinnitatud veebisaitidel. Ärge kunagi laadige alla teksti või meili teel saadetud linkidelt. Kuigi pahatahtlikud rakendused võivad sattuda ametlikesse poodidesse, on see turvalisem kui linkide kasutamine.

Pärast tehingu sooritamist ühendage rahakott veebisaidiga lahti.

Hoidke oma privaatvõtmed, algfraasid ja paroolid kindlasti privaatsed. Kui teil palutakse seda teavet investeeringus või vermimises osalemiseks jagada, on see pettus.

Investeerige ainult projektidesse, millest aru saate. Kui pole selge, kuidas skeem töötab, lõpetage ja uurige rohkem.

Ignoreeri kõrgsurve taktikat ja rangeid tähtaegu. Sageli kasutavad petturid seda selleks, et proovida kutsuda FOMO-d ja panna potentsiaalsed ohvrid mitte mõtlema ega uurima seda, mida neile öeldakse.

Lõpuks, kui see kõlab liiga hästi, et olla tõsi, on see tõenäoliselt pettus.