Թեեւ Web3- ը Ավետարանիչները երկար ժամանակ գովազդել են բլոկչեյնի բնական անվտանգության առանձնահատկությունները, արդյունաբերություն հոսող փողի տարափը այն դարձնում է գայթակղիչ հեռանկար հաքերների համար, scammers և գողեր.
Երբ վատ դերակատարներին հաջողվում է խախտել Web3 կիբերանվտանգությունը, հաճախ դա պայմանավորված է այն օգտատերերով, ովքեր անտեսում են մարդկային ագահության, FOMO-ի և անտեղյակության ամենատարածված սպառնալիքները, այլ ոչ թե տեխնոլոգիայի թերությունների պատճառով:
Շատ խարդախություններ խոստանում են մեծ վարձատրություններ, ներդրումներ կամ բացառիկ արտոնություններ. FTC-ն անվանում է այս գումար վաստակելու հնարավորություններ և ներդրումներ ճիշտ բաժին.
Մեծ գումարներ խաբեության մեջ
հունիսի 2022-ի տվյալներով հաշվետվություն Առևտրի դաշնային հանձնաժողովի կողմից 1 թվականից ի վեր գողացվել է ավելի քան 2021 միլիարդ դոլար կրիպտոարժույթ: Իսկ հաքերների որսավայրերն այն վայրերն են, որտեղ մարդիկ հավաքվում են առցանց:
«Մարդկանց գրեթե կեսը, ովքեր հայտնել են, որ 2021 թվականից ի վեր խարդախության պատճառով կորցրել են կրիպտոները, ասել են, որ այն սկսվել է սոցիալական մեդիայի հարթակում գովազդից, գրառումից կամ հաղորդագրությունից», - ասում է FTC-ն:
Թեև խարդախության դեպքերը չափազանց լավ են թվում ճշմարիտ լինելու համար, հնարավոր զոհերը կարող են դադարեցնել անհավատությունը՝ հաշվի առնելով կրիպտո շուկայի ինտենսիվ անկայունությունը. մարդիկ չեն ցանկանում բաց թողնել հաջորդ մեծ բանը:
Հարձակվողներ, որոնք ուղղված են NFT-ներին
Կրիպտոարժույթների հետ մեկտեղ՝ NFT- ներ, կամ չփոխարինելի նշանները դարձել են ան գնալով ավելի տարածված թիրախ խաբեբաների համար; ըստ Web3 կիբերանվտանգության ընկերության TRM լաբորատորիաներ, 2022 թվականի մայիսին հաջորդող երկու ամիսների ընթացքում NFT համայնքը մոտ 22 միլիոն դոլար է կորցրել խարդախությունների և ֆիշինգի հարձակումների պատճառով:
«Blue-chip» հավաքածուներ, ինչպիսիք են Bored Ape զբոսանավ ակումբ (BAYC) հատկապես թանկ թիրախ են: 2022 թվականի ապրիլին BAYC Instagram-ի հաշիվը եղել է hacked խաբեբաների կողմից, ովքեր զոհերին ուղղորդում էին մի կայք, որը սպառում էր նրանց Ethereum դրամապանակները կրիպտո և NFT-ներից: Գողացվել է մոտ 91 NFT, որոնց ընդհանուր արժեքը գերազանցում է 2.8 միլիոն դոլարը: Ամիսներ անց Ա Տարաձայնությունների շահագործում տեսել են 200 ETH արժողությամբ NFT-ներ, որոնք գողացել են օգտատերերից:
Խարդախությունների զոհ են դարձել նաև BAYC-ի բարձրակարգ սեփականատերերը: Մայիսի 17-ին դերասան և պրոդյուսեր Seth Green Թվիթերում գրել է, որ ինքը դարձել է ֆիշինգի խարդախության զոհ, որի արդյունքում գողացել են չորս NFT-ներ, այդ թվում՝ Bored Ape #8398-ը: Ինչպես նաև ընդգծելով ֆիշինգի հարձակումներից բխող վտանգը, այն կարող էր շեղել NFT թեմայով հեռուստատեսային/հոսքային շոուն, որը ծրագրել էր Գրինը, «White Horse Tavern»-ը: BAYC NFT-ները ներառում են NFT-ն առևտրային նպատակներով օգտագործելու արտոնագրման իրավունքներ, ինչպես օրինակ՝ Ձանձրացած և սոված արագ սննդի ռեստորան Լոնգ Բիչում, Կալիֆորնիա:
Կարծում էի, որ պատրաստվում եմ GutterCat-ի կլոնավորումը- ֆիշինգի հղումը մաքուր տեսք ուներ
— Սեթ Գրին (@SethGreen) Թող 17, 2022
Հունիսի 9-ին Twitter Spaces-ի նիստի ժամանակ, կանաչ ասաց, որ ինքը վերականգնել է գողացված JPEG-ը 165 ETH (այն ժամանակ ավելի քան 295,000 ԱՄՆ դոլար) վճարելուց հետո այն անձին, ով գնել է NFT-ն այն գողանալուց հետո:
«Ֆիշինգը դեռևս հարձակման առաջին վեկտորն է», - ասում է Լուիս Լյուբեկը՝ Web3 կիբերանվտանգության ընկերության անվտանգության ինժեներ։ Հալբորն-ասաց նա Հերքել.
Լյուբեկն ասում է, որ օգտվողները պետք է տեղյակ լինեն կեղծ կայքերի մասին, որոնք պահանջում են դրամապանակի հավատարմագրեր, կլոնավորված հղումներ և կեղծ նախագծեր:
Ըստ Լյուբեքի, ֆիշինգային խարդախությունը կարող է սկսվել սոցիալական ինժեներական տեխնոլոգիայից՝ օգտատիրոջը պատմելով նշանի վաղ գործարկման մասին, կամ որ նրանք 100 անգամ կվճարեն իրենց գումարը, ցածր API-ն կամ որ իրենց հաշիվը խախտվել է և պահանջում է գաղտնաբառի փոփոխություն: Այս հաղորդագրությունները սովորաբար գալիս են գործելու համար սահմանափակ ժամանակով, ինչը ավելի է առաջացնում օգտվողի վախը բաց թողնելու, որը նաև հայտնի է որպես FOMO:
Գրինի դեպքում ֆիշինգի հարձակումը տեղի է ունեցել կլոնավորված հղման միջոցով:
Կարծում էի, որ պատրաստվում եմ GutterCat-ի կլոնավորումը- ֆիշինգի հղումը մաքուր տեսք ուներ
— Սեթ Գրին (@SethGreen) Թող 17, 2022
Կլոնային ֆիշինգը հարձակում է, որտեղ խարդախը վերցնում է վեբ կայք, էլփոստ կամ նույնիսկ պարզ հղում և ստեղծում գրեթե կատարյալ պատճեն, որը օրինական է թվում: Գրինը կարծում էր, որ նա ստեղծում է «GutterCat» կլոններ՝ օգտագործելով այն, ինչ պարզվեց, որ ֆիշինգի կայք է:
Երբ Գրինը միացրեց իր դրամապանակը ֆիշինգի կայքին և ստորագրեց NFT-ի ստեղծման գործարքը, նա հաքերներին հնարավորություն տվեց օգտվել իր անձնական բանալիներից և, իր հերթին, իր ձանձրալի կապիկներին:
Կիբեր հարձակումների տեսակները
Անվտանգության խախտումները կարող են ազդել ինչպես ընկերությունների, այնպես էլ անհատների վրա: Թեև ամբողջական ցանկը չէ, Web3-ին ուղղված կիբերհարձակումները սովորաբար դասվում են հետևյալ կատեգորիաների.
- ? Իբրեւագրոհ: Կիբերհարձակման ամենահին, բայց ամենատարածված ձևերից մեկը՝ ֆիշինգի հարձակումները սովորաբար լինում են էլ. Սա կիբեռհանցագործությունների կարող է նաև ունենալ վտանգված կամ վնասակար կոդավորված վեբկայքի ձև, որը կարող է արտահոսել կրիպտո կամ NFT կցված զննարկիչի վրա հիմնված դրամապանակից, երբ կրիպտո դրամապանակը միացված է:
- ?☠️ չարամիտ: Վնասակար ծրագրաշարի կրճատմամբ՝ այս հովանավոր տերմինը ներառում է համակարգերի համար վնասակար ցանկացած ծրագիր կամ ծածկագիր: Չարամիտ ծրագրերը կարող են մուտք գործել համակարգ ֆիշինգ էլ. նամակների, տեքստերի և հաղորդագրությունների միջոցով:
- ? Վտանգված կայքեր: Այս օրինական կայքերը հափշտակվում են հանցագործների կողմից և օգտագործվում են չարամիտ ծրագրերը պահելու համար, որոնք չկասկածող օգտվողները ներբեռնում են հղման, պատկերի կամ ֆայլի վրա սեղմելուց հետո:
- ? URL-ի կեղծում: Անջատել վտանգված կայքերը. կեղծված կայքերը վնասակար կայքեր են, որոնք օրինական կայքերի կլոններ են: Հայտնի է նաև որպես URL ֆիշինգ, այս կայքերը կարող են հավաքել օգտանուններ, գաղտնաբառեր, վարկային քարտեր, կրիպտոարժույթ և այլ անձնական տեղեկություններ:
- ? Կեղծ բրաուզերի ընդլայնումներ: Ինչպես անունն է հուշում, այս շահագործումներն օգտագործում են բրաուզերի կեղծ ընդլայնումներ՝ ծպտյալ օգտատերերին խաբելու համար, որպեսզի իրենց հավատարմագրերը կամ բանալիները մուտքագրեն ընդլայնում, որը թույլ է տալիս կիբերհանցագործներին մուտք գործել տվյալներ:
Այս հարձակումները սովորաբար նպատակ ունեն մուտք գործել, գողանալ և ոչնչացնել զգայուն տեղեկատվություն կամ Գրինի դեպքում՝ Bored Ape NFT:
Ի՞նչ կարող եք անել ինքներդ ձեզ պաշտպանելու համար:
Լյուբեքն ասում է, որ ֆիշինգից պաշտպանվելու լավագույն միջոցը երբեք չպատասխանելն է անհայտ անձի, ընկերության կամ հաշվի նամակին, SMS տեքստին, Telegram-ին, Discord-ին կամ WhatsApp-ին: «Ես դրանից ավելի հեռու կգնամ», - ավելացրեց Լյուբեկը: «Երբեք մի մուտքագրեք հավատարմագրերը կամ անձնական տվյալները, եթե օգտատերը չի սկսել հաղորդակցությունը»:
Լյուբեկը խորհուրդ է տալիս չմուտքագրել ձեր հավատարմագրերը կամ անձնական տվյալները հանրային կամ համօգտագործվող WiFi կամ ցանցերից օգտվելիս: Բացի այդ, Լյուբեկը պատմում է Հերքել որ մարդիկ չպետք է ունենան անվտանգության կեղծ զգացում, քանի որ նրանք օգտագործում են որոշակի օպերացիոն համակարգ կամ հեռախոսի տեսակ:
«Երբ մենք խոսում ենք այս տեսակի խարդախությունների մասին՝ ֆիշինգ, վեբ էջի նմանակում, կարևոր չէ՝ դուք օգտագործում եք iPhone, Linux, Mac, iOS, Windows կամ Chromebook», - ասում է նա: «Անվանեք սարքը. խնդիրը կայքն է, ոչ թե ձեր սարքը»:
Անվտանգ պահեք ձեր կրիպտո և NFT-ները
Եկեք նայենք ավելի «Web3» գործողությունների ծրագրին:
Հնարավորության դեպքում օգտագործեք ապարատային կամ օդային բացվածք Դրամապանակներ թվային ակտիվները պահելու համար: Այս սարքերը, որոնք երբեմն նկարագրվում են որպես «սառը պահեստավորում», հեռացնում են ձեր կրիպտոն ինտերնետից, քանի դեռ պատրաստ չեք այն օգտագործել: Թեև սովորական և հարմար է օգտագործել բրաուզերի վրա հիմնված դրամապանակներ, ինչպիսիք են MetaMask- ը, հիշեք, ինտերնետին միացած ցանկացած բան կարող է կոտրվել:
Եթե դուք օգտագործում եք բջջային, զննարկիչ կամ աշխատասեղանի դրամապանակ, որը նաև հայտնի է որպես տաք դրամապանակ, ներբեռնեք դրանք պաշտոնական հարթակներից, ինչպիսիք են Google Play Store-ը, Apple-ի App Store-ը կամ ստուգված կայքերը: Երբեք մի ներբեռնեք տեքստի կամ էլփոստի միջոցով ուղարկված հղումներից: Թեև վնասակար հավելվածները կարող են գտնել իրենց ճանապարհը դեպի պաշտոնական խանութներ, դա ավելի ապահով է, քան հղումներ օգտագործելը:
Գործարքն ավարտելուց հետո անջատեք դրամապանակը կայքից:
Համոզվեք, որ գաղտնի պահեք ձեր անձնական բանալիները, հիմնական արտահայտությունները և գաղտնաբառերը: Եթե ձեզ խնդրեն կիսվել այս տեղեկատվությունը ներդրումային կամ արդյունահանման մեջ մասնակցելու համար, դա խաբեություն է:
Ներդրումներ կատարեք միայն այն նախագծերում, որոնք դուք հասկանում եք: Եթե անհասկանալի է, թե ինչպես է աշխատում սխեման, դադարեցրեք և կատարեք ավելի շատ հետազոտություն:
Անտեսեք բարձր ճնշման տակտիկան և սեղմ ժամկետները: Հաճախ խաբեբաները կօգտագործեն դա՝ փորձելով կանչել FOMO-ն և ստիպել պոտենցիալ զոհերին չմտածել կամ ուսումնասիրել այն, ինչ իրենց ասում են:
Վերջին, բայց ոչ պակաս կարևորը, եթե դա չափազանց լավ է հնչում իրական լինելու համար, հավանաբար դա խաբեություն է:
Տեղեկացեք կրիպտո նորությունների մասին, ստացեք ամենօրյա թարմացումներ ձեր մուտքի արկղում:
Աղբյուր՝ https://decrypt.co/resources/cybersecurity-in-web3-protecting-yourself-and-your-ape-jpeg