Кібербезпека в Web3: захистити себе (і свою мавпу JPEG)

Навіть якщо Web3 Євангелісти давно рекламували власні функції безпеки блокчейну, потоки грошей, що надходять у галузь, роблять її спокусливою перспективою для хакерів, шахраї і злодії.

Коли зловмисникам вдається порушити кібербезпеку Web3, це часто пов’язано з тим, що користувачі не помічають найпоширеніші загрози людської жадібності, FOMO та невігластва, а не через недоліки в технології.

Багато шахрайства обіцяють великі прибутки, інвестиції або ексклюзивні бонуси; FTC називає ці можливості заробляння грошей та інвестиції шахрайство.

Великі гроші в шахрайстві

За даними 2022 червня звітом За даними Федеральної торгової комісії, з 1 року було викрадено понад 2021 мільярд доларів у криптовалюті. А хакерські мисливські угіддя – це місце, де люди збираються в Інтернеті.

«Майже половина людей, які повідомили про втрату криптовалюти через шахрайство з 2021 року, заявили, що це почалося з реклами, публікації або повідомлення на платформі соціальних мереж», — заявили в FTC.

Хоча шахрайські надходження звучать надто добре, щоб бути правдою, потенційні жертви можуть призвести до недовіри через сильну нестабільність криптовалютного ринку; люди не хочуть пропустити наступну велику справу.

Зловмисники, націлені на NFT

Поряд з криптовалютами, NFT, або незамінні токени, стали все більшу популярність мішень для шахраїв; за даними фірми з кібербезпеки Web3 Лабораторії TRM, за два місяці після травня 2022 року спільнота NFT втратила приблизно 22 мільйони доларів через шахрайство та фішингові атаки.

Колекції «блакитних фішок», наприклад Яхт-клуб "Нудна мавпа" (BAYC) є особливо цінною метою. У квітні 2022 року обліковий запис BAYC в Instagram був зламаний шахраями, які перенаправляли жертв на сайт, який виснажував з їхніх гаманців Ethereum криптовалюту та NFT. Було викрадено близько 91 NFT загальною вартістю понад 2.8 мільйона доларів. Через кілька місяців а Експлойт Discord бачив, як у користувачів вкрали NFT на суму 200 ETH.

Високопоставлені власники BAYC також стали жертвами шахраїв. 17 травня актор і продюсер Сет Грін написав у Твіттері, що став жертвою фішингової шахрайської афери, яка призвела до крадіжки чотирьох NFT, у тому числі Bored Ape №8398. Крім підкреслення загрози, яку представляють фішингові атаки, це могло зірвати телевізійне/потокове шоу на тему NFT, заплановане Гріном, «Таверна білого коня». BAYC NFT включає ліцензійні права на використання NFT у комерційних цілях, як у випадку з Нудно й голодно ресторан швидкого харчування в Лонг-Біч, Каліфорнія.

Під час сесії Twitter Spaces 9 червня зелений сказав, що він повернув викрадений JPEG після того, як заплатив 165 ETH (на той час понад 295,000 XNUMX доларів) людині, яка купила NFT після його викрадення.

«Фішинг все ще залишається першим вектором атаки», — Луїс Любек, інженер із безпеки компанії Web3 з кібербезпеки, Халборн, Повідомив Розшифрувати.

Любек каже, що користувачі повинні знати про підроблені веб-сайти, які запитують облікові дані гаманця, клоновані посилання та підроблені проекти.

За словами Любека, фішингове шахрайство може початися з соціальної інженерії, повідомляючи користувачеві про ранній запуск токена або про те, що він отримає 100-кратне збільшення своїх грошей, низький рівень API або що його обліковий запис було зламано та вимагає зміни пароля. Ці повідомлення зазвичай мають обмежений час для дії, що ще більше посилює у користувача страх втратити щось, також відомий як FOMO.

У випадку Гріна фішингова атака відбулася через клоноване посилання.

Фішинг-клон – це атака, під час якої шахрай бере веб-сайт, електронну пошту чи навіть просте посилання та створює майже ідеальну копію, яка виглядає законною. Грін думав, що карбує клони «GutterCat», використовуючи те, що виявилося фішинговим веб-сайтом.

Коли Грін підключив свій гаманець до фішингового веб-сайту та підписав транзакцію для карбування NFT, він надав хакерам доступ до своїх особистих ключів і, у свою чергу, до своїх Bored Apes.

Типи кібератак

Порушення безпеки можуть вплинути як на компанії, так і на окремих осіб. Хоча це неповний список, кібератаки, націлені на Web3, зазвичай поділяються на такі категорії:

• ? Фішинг: Одна з найстаріших, але найпоширеніших форм кібератак, фішингові атаки зазвичай відбуваються у формі електронної пошти та включають надсилання шахрайських повідомлень, як-от текстових повідомлень у соціальних мережах, які, схоже, надходять із авторитетного джерела. Це кіберзлочинності також може мати форму скомпрометованого або закодованого зловмисним кодом веб-сайту, який може викачувати криптовалюту або NFT із підключеного гаманця на основі браузера після підключення криптогаманця.
• ?☠️ Malware: Скорочення від шкідливого програмного забезпечення, цей загальний термін охоплює будь-яку програму чи код, шкідливий для систем. Зловмисне програмне забезпечення може потрапити в систему через фішингові електронні листи, текстові повідомлення та повідомлення.
• ? Зламані веб-сайти: Ці законні веб-сайти захоплені злочинцями та використовуються для зберігання зловмисного програмного забезпечення, яке нічого не підозрюють користувачі завантажують, коли натискають посилання, зображення чи файл.
• ? Підробка URL-адрес: Від’єднати скомпрометовані веб-сайти; Підроблені веб-сайти – це шкідливі сайти, які є клонами законних веб-сайтів. Також відомі як URL-фішинг, ці сайти можуть збирати імена користувачів, паролі, кредитні картки, криптовалюту та іншу особисту інформацію.
• ? Фальшиві розширення браузера: Як випливає з назви, ці експлойти використовують підроблені розширення браузера, щоб змусити криптокористувачів ввести свої облікові дані або ключі в розширення, яке надає кіберзлочинцям доступ до даних.

Ці атаки зазвичай спрямовані на доступ, крадіжку та знищення конфіденційної інформації або, у випадку Гріна, Bored Ape NFT.

Що ви можете зробити, щоб захистити себе?

Любек каже, що найкращий спосіб захиститися від фішингу — ніколи не відповідати на електронні листи, SMS, повідомлення Telegram, Discord або WhatsApp від невідомої особи, компанії чи облікового запису. «Я піду далі», — додав Любек. «Ніколи не вводьте облікові дані або особисту інформацію, якщо користувач не почав спілкування».

Любек рекомендує не вводити свої облікові дані чи особисту інформацію під час використання загальнодоступних чи спільних Wi-Fi чи мереж. Крім того, розповідає Любек Розшифрувати що люди не повинні мати помилкове відчуття безпеки через те, що вони використовують певну операційну систему або тип телефону.

«Коли ми говоримо про такі типи шахрайства: фішинг, видавання себе за веб-сторінку, не має значення, чи використовуєте ви iPhone, Linux, Mac, iOS, Windows або Chromebook», — каже він. «Назвіть пристрій; проблема в сайті, а не у вашому пристрої».

Зберігайте свою криптовалюту та NFT у безпеці

Давайте розглянемо більш детальний план дій «Web3».

Якщо можливо, використовуйте кріплення або повітряний зазор Гаманці для зберігання цифрових активів. Ці пристрої, які іноді називають «холодним сховищем», видаляють вашу криптовалюту з Інтернету, доки ви не будете готові її використовувати. Хоча звичайно й зручно використовувати гаманці на основі браузера, як MetaMaskпам’ятайте, що все, що під’єднано до Інтернету, може бути зламано.

Якщо ви користуєтеся гаманцем для мобільних пристроїв, у браузері чи настільному комп’ютері, також відомим як гарячий гаманець, завантажте їх із офіційних платформ, таких як Google Play Store, Apple App Store або перевірених веб-сайтів. Ніколи не завантажуйте за посиланнями, надісланими в SMS або електронною поштою. Незважаючи на те, що шкідливі програми можуть потрапити в офіційні магазини, це безпечніше, ніж використання посилань.

Після завершення транзакції відключіть гаманець від веб-сайту.

Обов’язково зберігайте свої приватні ключі, початкові фрази та паролі в таємниці. Якщо вас просять поділитися цією інформацією для участі в інвестиціях або карбуванні, це шахрайство.

Інвестуйте лише в проекти, які ви розумієте. Якщо незрозуміло, як працює схема, зупиніться та проведіть додаткові дослідження.

Не звертайте уваги на тактику високого тиску та стислі терміни. Часто шахраї використовують це, щоб спробувати викликати FOMO та змусити потенційних жертв не думати про те, що їм говорять, і не досліджувати це.

І останнє, але не менш важливе: якщо це звучить занадто добре, щоб бути правдою, це, ймовірно, шахрайство.