Cybersigurnost u Web3: zaštitite sebe (i svog majmuna JPEG)

Iako Web3 evanđelisti već dugo promiču prirodne sigurnosne karakteristike blockchaina, bujica novca koja teče u industriju čini je primamljivom perspektivom za hakere, Scammers i lopovi.

Kada loši akteri uspiju probiti Web3 cyber sigurnost, često se svodi na to da korisnici previde najčešće prijetnje ljudske pohlepe, FOMO i neznanja, a ne zbog nedostataka u tehnologiji.

Mnoge prevare obećavaju velike isplate, investicije ili ekskluzivne pogodnosti; FTC ovo naziva mogućnostima zarađivanja novca i investicijama prevare.

Veliki novac u prevarama

Prema izveštaju od 2022 izvještaj od strane Federalne trgovinske komisije, preko milijardu dolara u kriptovaluti je ukradeno od 1. A lovišta hakera su mjesto gdje se ljudi okupljaju na mreži.

"Skoro polovina ljudi koji su prijavili gubitak kriptovalute zbog prevare od 2021. rekli su da je to počelo s oglasom, objavom ili porukom na platformi društvenih medija", saopštio je FTC.

Iako lažne najave zvuče previše dobro da bi bile istinite, potencijalne žrtve mogu obustaviti nevjericu s obzirom na intenzivnu volatilnost kripto tržišta; ljudi ne žele propustiti sljedeću veliku stvar.

Napadači koji ciljaju NFT

Zajedno sa kriptovalutama, NFT, ili nezamjenjivi tokeni, postali su an sve popularnije meta za prevarante; prema Web3 firmi za sajber sigurnost TRM Labs, u dva mjeseca nakon maja 2022., NFT zajednica je izgubila oko 22 miliona dolara zbog prevara i phishing napada.

“Blue-chip” kolekcije kao npr Yacht Club s dosadnim majmunima (BAYC) su posebno cijenjena meta. U aprilu 2022, BAYC Instagram nalog je bio hakovan prevaranti koji su preusmjerili žrtve na stranicu koja je ispraznila njihove Ethereum novčanike kripto i NFT-ova. Ukradeno je oko 91 NFT-a, ukupne vrijednosti preko 2.8 miliona dolara. Mjesecima kasnije, a Discord exploit vidio NFT-ove u vrijednosti od 200 ETH ukradenih od korisnika.

Visokoprofilirani vlasnici BAYC-a također su postali žrtve prevara. 17. maja glumac i producent Set zeleno je tvitovao da je žrtva phishing prevare koja je rezultirala krađom četiri NFT-a, uključujući Bored Ape #8398. Osim što je naglašavao prijetnju koju predstavljaju phishing napadi, mogao je izbaciti iz kolosijeka televizijsku/striming emisiju na temu NFT-a koju je planirao Green, “White Horse Tavern”. BAYC NFT-ovi uključuju prava licenciranja za korišćenje NFT-a u komercijalne svrhe, kao u slučaju Dosadno i gladno restoran brze hrane u Long Beachu, CA.

Tokom sesije Twitter Spaces 9. juna, Green rekao je da je povratio ukradeni JPEG nakon što je platio 165 ETH (više od 295,000 dolara u to vrijeme) osobi koja je kupila NFT nakon što je ukraden.

“Phishing je i dalje prvi vektor napada,” Luis Lubeck, sigurnosni inženjer u Web3 cybersigurnosnoj firmi, Halborn, rekao je Dešifriraj.

Lubeck kaže da bi korisnici trebali biti svjesni lažnih web stranica koje traže akreditive za novčanik, klonirane veze i lažne projekte.

Prema Lubecku, phishing prevara može započeti društvenim inženjeringom, govoreći korisniku o ranom lansiranju tokena ili da će 100 puta povećati svoj novac, nizak API ili da je njihov račun provaljen i zahtijeva promjenu lozinke. Ove poruke obično dolaze s ograničenim vremenom za djelovanje, dodatno potičući strah korisnika od propuštanja, također poznat kao FOMO.

U Greenovom slučaju, phishing napad je došao preko klonirane veze.

Klon phishing je napad u kojem prevarant uzima web stranicu, e-poštu ili čak jednostavnu vezu i stvara gotovo savršenu kopiju koja izgleda legitimno. Green je mislio da kuje "GutterCat" klonove koristeći ono što se ispostavilo da je phishing web stranica.

Kada je Grin povezao svoj novčanik sa phishing web-stranicom i potpisao transakciju za izradu NFT-a, dao je hakerima pristup svojim privatnim ključevima i, zauzvrat, svojim Bored Apes.

Vrste sajber napada

Kršenja sigurnosti mogu uticati i na kompanije i na pojedince. Iako nije potpuna lista, sajber napadi koji ciljaju Web3 obično spadaju u sljedeće kategorije:

• ? phishing: Jedan od najstarijih, ali najčešćih oblika cyber napada, phishing napadi obično dolaze u obliku e-pošte i uključuju slanje lažnih komunikacija poput tekstova i poruka na društvenim mrežama za koje se čini da dolaze iz renomiranih izvora. Ovo kibernetički kriminal također može imati oblik kompromitovane ili zlonamjerno kodirane web stranice koja može isprazniti kripto ili NFT iz pripojenog novčanika baziranog na pretraživaču nakon što je kripto novčanik povezan.
• ?‍☠️ malware: Skraćeno za zlonamjerni softver, ovaj krovni izraz pokriva svaki program ili kod štetan za sisteme. Zlonamjerni softver može ući u sistem putem phishing e-pošte, tekstova i poruka.
• ? Kompromitovane web stranice: Ove legitimne web stranice otimaju kriminalci i koriste se za pohranjivanje zlonamjernog softvera koji nesuđeni korisnici preuzimaju kada kliknu na link, sliku ili datoteku.
• ? URL lažiranje: Prekinite vezu s ugroženim web stranicama; lažne web stranice su zlonamjerne stranice koje su klonovi legitimnih web stranica. Poznate i kao URL Phishing, ove stranice mogu prikupljati korisnička imena, lozinke, kreditne kartice, kriptovalute i druge lične podatke.
• ? Lažna proširenja pretraživača: Kao što ime sugerira, ovi eksploati koriste lažne ekstenzije pretraživača da prevare kripto-korisnike da unesu svoje vjerodajnice ili ključeve u ekstenziju koja omogućava sajber kriminalcu pristup podacima.

Ovi napadi obično imaju za cilj pristup, krađu i uništavanje osjetljivih informacija ili, u Greenovom slučaju, Bored Ape NFT.

Šta možete učiniti da se zaštitite?

Lubeck kaže da je najbolji način da se zaštitite od krađe identiteta da nikada ne odgovarate na e-poštu, SMS, Telegram, Discord ili WhatsApp poruku od nepoznate osobe, kompanije ili naloga. “Ići ću dalje od toga”, dodao je Lubeck. “Nikada nemojte unositi vjerodajnice ili lične podatke ako korisnik nije započeo komunikaciju.”

Lubeck preporučuje da ne unosite svoje vjerodajnice ili lične podatke kada koristite javni ili zajednički WiFi ili mreže. Osim toga, kaže Lubeck Dešifriraj da ljudi ne bi trebali imati lažni osjećaj sigurnosti jer koriste određeni operativni sistem ili tip telefona.

„Kada govorimo o ovakvim vrstama prevara: krađa identiteta, lažno predstavljanje na web stranici, nije važno da li koristite iPhone, Linux, Mac, iOS, Windows ili Chromebook“, kaže on. “Nazovite uređaj; problem je web lokacija, a ne vaš uređaj.”

Čuvajte svoje kriptovalute i NFT-ove

Pogledajmo više “Web3” akcioni plan.

Kada je moguće, koristite hardver ili zračni razmak Novčanici za pohranjivanje digitalne imovine. Ovi uređaji, koji se ponekad opisuju kao "hladno skladište", uklanjaju vašu kriptu s interneta dok ne budete spremni da je koristite. Iako je uobičajeno i zgodno koristiti novčanike zasnovane na pretraživaču kao što su MetaMask, zapamtite, sve što je povezano na internet ima potencijal da bude hakovano.

Ako koristite novčanik za mobilni, pretraživač ili desktop, poznat i kao vrući novčanik, preuzmite ih sa službenih platformi kao što su Google Play Store, Apple App Store ili provjerene web stranice. Nikada ne preuzimajte sa linkova poslatih putem teksta ili e-pošte. Iako zlonamjerne aplikacije mogu pronaći svoj put do službenih trgovina, to je sigurnije od korištenja veza.

Nakon što završite transakciju, isključite novčanik sa web stranice.

Obavezno čuvajte privatne ključeve, početne fraze i lozinke privatnim. Ako se od vas traži da podijelite ove informacije kako biste učestvovali u investiciji ili kovanju, to je prevara.

Investirajte samo u projekte koje razumete. Ako nije jasno kako shema funkcionira, prestanite i istražite dalje.

Zanemarite taktiku visokog pritiska i kratke rokove. Često će prevaranti to iskoristiti da pokušaju prizvati FOMO i natjerati potencijalne žrtve da ne razmišljaju o tome ili ne istražuju ono što im se govori.

Na kraju, ali ne i najmanje važno, ako zvuči previše dobro da bi bilo istinito, vjerovatno je riječ o prevari.