बिटकॉइन होल्डर्स सावधान: फिशिंग से लेकर फेक तक, यहां दिए गए हैं टॉप 5 तरीके क्रिमिनल्स आपकी क्रिप्टोकरंसी को चुरा सकते हैं

हॉडलक्स गेस्ट पोस्ट  अपनी पोस्ट सबमिट करें

2020 में बिटकॉइन और अन्य क्रिप्टोकरेंसी की कीमतों में उल्लेखनीय वृद्धि के बावजूद, हैक के परिणामस्वरूप चोरी हुई क्रिप्टोकरेंसी की मात्रा वास्तव में 2019 की तुलना में कम है। एक के अनुसार सिफरट्रेस रिपोर्ट,चुराए गए धन की कुल राशि अनुमानित $ 468 मिलियन थी.

2020 में ज्यादातर हमले डीआईएफए परियोजनाओं पर किए गए थे, जो इस तेजी से बढ़ते सेगमेंट की अपरिपक्वता को बयां करता है। फिर भी, केंद्रीकृत सेवाओं से चोरी हुई क्रिप्टोकरेंसी की संख्या अभी भी बहुत अधिक है। उदाहरण के लिए, के परिणामस्वरूपकुकोइन हैक,क्रिप्टोक्यूरेंसी $ 275 मिलियन के बराबर में चोरी हो गई थी। डीएफआई हैक 2020 क्रिप्टोक्यूरेंसी हैक और चोरी की मात्रा का लगभग 21% बनाते हैं.

फिर भी, हैकर्स न केवल क्रिप्टोक्यूरेंसी प्लेटफॉर्म पर बल्कि उपयोगकर्ताओं पर भी हमला करते हैं। हर दिन, इंटरनेट पर कहानियां प्रकाशित की जाती हैं कि कैसे हैकर उपयोगकर्ता के क्रिप्टोक्यूरेंसी को अपने वॉलेट या एक्सचेंज खाते तक पहुंच प्राप्त करके चुरा लेते हैं। कुछ उपयोगकर्ताओं को पता नहीं है कि उनके खाते या वॉलेट को हैक करने का जोखिम कितना अधिक हो सकता है.

इस लेख में वर्णित पांच सबसे लोकप्रिय तरीके हैं जिनसे उपयोगकर्ता अपना क्रिप्टो खो सकते हैं.

नकली फ़िशिंग वेबसाइट

फ़िशिंग एक प्रकार का सोशल इंजीनियरिंग हमला है, जिसका उपयोग अक्सर उपयोगकर्ता डेटा चोरी करने के लिए किया जाता है, जिसमें मेमनोनिक वाक्यांश, निजी कुंजी और क्रिप्टोक्यूरेंसी प्लेटफ़ॉर्म की लॉगिन क्रेडेंशियल शामिल हैं। आमतौर पर, फ़िशिंग हमले धोखाधड़ी वाले ईमेल का उपयोग करते हैं जो उपयोगकर्ता को एक धोखाधड़ी वेबसाइट में संवेदनशील जानकारी दर्ज करने के लिए मनाते हैं। इसके बाद प्राप्तकर्ता को एक दुर्भावनापूर्ण लिंक पर क्लिक करने के लिए प्रेरित किया जाता है, जिससे फ़िशिंग वेबसाइट या मैलवेयर की स्थापना हो सकती है.

एक सफल फ़िशिंग हमले का सबसे सरल उदाहरण था t उसने मायएथवर्लेट केस 2017 से साइबर अपराधियों ने MyEtherWallet उपयोगकर्ताओं के संभावित ग्राहक आधार को एक ईमेल भेजा और घोषणा की कि एथेरियम हार्ड कांटा के अनुपालन के लिए उन्हें अपने बटुए को सिंक्रनाइज़ करने की आवश्यकता है। लिंक पर क्लिक करने के बाद, उपयोगकर्ता को एक फ़िशिंग वेबसाइट पर ले जाया गया जो वैध दिख रहा था, लेकिन URL में एक अतिरिक्त, बमुश्किल ध्यान देने योग्य चरित्र था। असावधान उपयोगकर्ता अपने गुप्त वाक्यांशों, निजी कुंजी और वॉलेट पासवर्ड दर्ज करते हैं, जिससे हमलावरों को अपना डेटा प्रदान किया जाता है और उनकी क्रिप्टोक्यूरेंसी खो जाती है.

इसका ताजा उदाहरण एक सफल रहालेजर पर हमला बटुआ उपयोगकर्ता। इस घोटाले ने एक फ़िशिंग ईमेल का उपयोग किया, उपयोगकर्ताओं को लेजर वेबसाइट के एक नकली संस्करण के लिए निर्देशित किया, जिसने URL में एक होमोग्लिफ को MyEtherWallet के साथ पिछले मामले में प्रतिस्थापित किया। फर्जी वेबसाइट पर, बिना सोचे-समझे उपयोगकर्ताओं को एक सुरक्षा अपडेट के रूप में मैलवेयर डाउनलोड करने में बेवकूफ बनाया गया, जिसने तब अपने लेजर वॉलेट से शेष राशि को निकाल दिया। इस उदाहरण से यह निष्कर्ष निकलता है कि हार्डवेयर वॉलेट उपयोगकर्ता भी फ़िशिंग हमलों से सुरक्षित नहीं हैं.

क्रिप्टोक्यूरेंसी एक्सचेंज उपयोगकर्ताओं पर इसी तरह के हमले किए गए थे। यही है, उपयोगकर्ताओं को एक वेबसाइट के लिंक के साथ एक पत्र प्राप्त होगा जो मूल के समान है लेकिन थोड़ा संशोधित URL के साथ है। इस प्रकार, हमलावर उपयोगकर्ता नाम और पासवर्ड चुराते हैं, और कुछ शर्तों के तहत, वे एक्सचेंज वॉलेट से क्रिप्टोक्यूरेंसी चोरी कर सकते हैं। फिर भी, उपयोगकर्ताओं को एक सफल हमले के मामले में भी अपना बचाव करने का अवसर मिलता है, क्योंकि एक्सचेंज अतिरिक्त सुरक्षा उपकरण प्रदान करते हैं.

एपीआई कुंजी चोरी

कुछ व्यापारी “ट्रेडिंग बॉट्स” नामक ट्रेड ऑटोमेशन टूल का उपयोग करते हैं। इस प्रकार के सॉफ़्टवेयर के साथ, एक उपयोगकर्ता को एपीआई कुंजियाँ बनानी चाहिए और कुछ अनुमतियों की अनुमति देनी चाहिए ताकि बॉट अपने फंडों के साथ बातचीत कर सके.

आमतौर पर जब कोई उपयोगकर्ता API कुंजी बनाता है, तो एक्सचेंज निम्नलिखित अनुमतियों के लिए पूछता है.

  • देखें – उपयोगकर्ता खाते से संबंधित किसी भी डेटा को देखने की अनुमति देता है, जैसे व्यापारिक इतिहास, ऑर्डर इतिहास, निकासी इतिहास, शेष, कुछ उपयोगकर्ता डेटा आदि।.
  • ट्रेडिंग – ऑर्डर की नियुक्ति और रद्द करने की अनुमति देता है.
  • निकासी – धन की वापसी की अनुमति देता है.
  • आईपी ​​श्वेतसूची – केवल निर्दिष्ट आईपी पते से किसी भी संचालन के प्रदर्शन की अनुमति देता है.

बॉट एपीआई कुंजियों के व्यापार के लिए, एक्सचेंज के पास दृश्य, ट्रेडिंग और कभी-कभी निकासी की अनुमति होनी चाहिए.

हैकर्स के लिए उपयोगकर्ताओं की एपीआई कुंजियाँ चुराने के अलग-अलग तरीके हैं। उदाहरण के लिए, साइबर अपराधी अक्सर उपयोगकर्ता को अपनी एपीआई कुंजी दर्ज करने का लालच देने के लिए नि: शुल्क उपलब्ध दुर्भावनापूर्ण “उच्च-लाभकारी” ट्रेडिंग बॉट बनाते हैं। अगर एपीआई कुंजी को आईपी प्रतिबंध के बिना वापस लेने का अधिकार है, तो हैकर्स उपयोगकर्ता के शेष राशि से सभी क्रिप्टोकरेंसी को तुरंत वापस ले सकते हैं.

के अनुसारद्विज अधिकारी कमेंट्री, 7,000 बिटकॉइन हैक करने के बाद संभव हो गया हैकरों ने एपीआई कुंजी, 2FA और अन्य डेटा एकत्र किया.

वापसी की अनुमति के बिना भी, हैकर्स पंप की रणनीति के साथ उपयोगकर्ताओं की क्रिप्टोक्यूरेंसी चोरी कर सकते हैं, एक निश्चित कम तरलता क्रिप्टोकरंसी एक्सचेंज जोड़ी। ऐसे हमलों के सबसे आम उदाहरण हैं t उन्होंने विआकॉइन पंप और वह Syscoin पंप। हैकर्स ने इन क्रिप्टोकरेंसी को जमा किया है और एक फंड का उपयोग करते हुए एक पंप के दौरान उन्हें बहुत अधिक दरों पर बेचा है।.

डाउनलोड किए गए फ़ाइल कारनामे

Microsoft Word, Microsoft Excel और Adobe उत्पादों के लिए बहुत सारे ज़ीरो-डे और एक दिवसीय कारनामे हैं जो एंटीवायरस उत्पादों की गारंटी देते हैं, मालवेयर का पता नहीं लगाते और दुर्भावनापूर्ण अभिनेताओं को पीड़ित कार्यस्थानों और आंतरिक अवसंरचना तक पूरी पहुंच प्रदान करते हैं।.

ज़ीरो-डे सॉफ्टवेयर, हार्डवेयर या फर्मवेयर में एक दोष है जो पार्टी या पार्टियों के लिए अज्ञात है जो पैचिंग के लिए जिम्मेदार है या अन्यथा दोष को ठीक करता है। शब्द “शून्य-दिवस” ​​स्वयं भेद्यता को संदर्भित कर सकता है, या एक हमला जिसमें शून्य दिन उस समय के बीच होता है जिसमें भेद्यता की खोज की जाती है और पहला हमला होता है। एक बार शून्य-दिन की भेद्यता को सार्वजनिक कर देने के बाद, इसे “एन-डे,” या “वन-डे” भेद्यता के रूप में जाना जाता है। सॉफ़्टवेयर में भेद्यता का पता चलने के बाद, व्यक्तिगत कंप्यूटर या कंप्यूटर नेटवर्क को संक्रमित करने के लिए खोजी गई भेद्यता का उपयोग करके, दुर्भावनापूर्ण कोड विकसित करने की प्रक्रिया शुरू होती है। सॉफ़्टवेयर में शून्य-दिन की भेद्यता का फायदा उठाने वाला सबसे प्रसिद्ध मैलवेयर हैWannaCry रैंसमवेयरकृमि, एक वायरस जो डिक्रिप्शन के लिए बिटकॉइन निकालता है.

हालांकि, कई अन्य मैलवेयर प्रोग्राम हैं जो उपयोगकर्ताओं के क्रिप्टोक्यूरेंसी वॉलेट तक पहुंच प्राप्त कर सकते हैं, साथ ही साथ क्रिप्टोक्यूरेंसी विनिमय अनुप्रयोगों का उपयोग करते हुए शून्य-दिन के कारनामों का उपयोग कर सकते हैं। हाल के वर्षों में इस तरह के हमले का सबसे व्यापक रूप से ज्ञात मामला थाव्हाट्सएप शोषण; परिणामस्वरूप, हमलावर उपयोगकर्ताओं की क्रिप्टो जेब से डेटा एकत्र करने में सक्षम थे.

दुर्भावनापूर्ण मंच

बाजार की सक्रिय वृद्धि के कारण, डेफी स्कैमर्स लगातार नई परियोजनाएं शुरू कर रहे हैं जो मौजूदा परियोजनाओं के लगभग सटीक क्लोन हैं। उपयोगकर्ता इन परियोजनाओं में निवेश करने के बाद, स्कैमर केवल उपयोगकर्ताओं के फंड को अपनी जेब में स्थानांतरित करते हैं। इस तरह का अब तक का सबसे बड़ा निकास घोटाला है t वह YFDEX केस जिसमें घुसपैठियों ने परियोजना शुरू होने के दो दिन बाद उपयोगकर्ताओं के 20 मिलियन डॉलर का धन चुरा लिया। अधिकांश मामलों में ऐसे घोटाले आम हैं, परियोजना टीम के सदस्य गुमनाम हैं, और कोई कानूनी बाध्यता नहीं है क्योंकि प्लेटफ़ॉर्म पंजीकृत संस्थाएं नहीं हैं। पहले, इस तरह की धोखाधड़ी मुख्य रूप से ICO परियोजनाओं के साथ जुड़ी हुई थी.

फिर भी, इसी तरह के मामले केंद्रीकृत प्लेटफार्मों के साथ हुए। उदाहरण के लिए, क्वाड्रिगा एक्सएक्सएक्स केस, जब केंद्रीकृत एक्सचेंज के संस्थापक की मृत्यु हो गई, तो मंच को अपने पर्स तक पहुंचने में असमर्थ होने और क्लाइंट फंडों में $ 171 मिलियन से अधिक के लिए निकासी अनुरोधों को संसाधित करने में असमर्थ हो गया। नतीजतन, केवल30 मिलियन डॉलर के खोए हुए फंड को चुकाया जा सकता है.उन्होंने कहा कि इस तरह की घटनाओं को रोकने के लिए सरकार की ओर से कोई ठोस कदम नहीं उठाया गया है।

ऐसे मामले हर समय सामने आते हैं, इसलिए आपको अपने पैसे को स्थानांतरित करने से पहले प्लेटफॉर्म पर सावधानीपूर्वक विचार करने की आवश्यकता है.

नकली आवेदन

क्रिप्टोकरेंसी के अस्तित्व के बाद से, विशेष प्लेटफार्मों या बटुए के कई नकली एप्लिकेशन बनाए गए हैं – एक उपयोगकर्ता इस तरह के एक आवेदन को जमा पूरा करता है और पाता है कि फंड गायब हो गए हैं। घुसपैठिए दुर्भावनापूर्ण कोड के साथ मौजूदा एप्लिकेशन की एक प्रति या एक ऐसे प्लेटफ़ॉर्म के लिए एक नया एप्लिकेशन बना सकते हैं जिसमें कोई एप्लिकेशन नहीं है – उदाहरण के लिए,पोलोनिक्स केस f रोम 2017.

चूंकि अधिकांश क्रिप्टो वॉलेट ओपन-सोर्स हैं, कोई भी वॉलेट की अपनी कॉपी बना सकता है और वहां एक दुर्भावनापूर्ण कोड इंजेक्ट कर सकता है। इस तरह के बटुए के विषय अक्सर क्रिप्टोक्यूरेंसी मंचों पर दिखाई देते हैं, उदाहरण के लिए, नकली ऐप्स जैसे ट्रस्ट वॉलेट.

घुसपैठियों से खुद को कैसे बचाएं

जैसा कि ऊपर बताया गया है, अपराधियों के पास उपयोगकर्ता धन और डेटा चोरी करने के विभिन्न तरीके हैं। हम घुसपैठियों के खिलाफ खुद को सबसे अच्छी तरह से बचाने के लिए निम्नलिखित का पालन करने की सलाह देते हैं.

  1. हमेशा उस डोमेन की जांच करें जिससे आप ईमेल प्राप्त करते हैं.
  2. एंटी-फ़िशिंग कोड सेट करें, यदि आप जिन प्लेटफ़ॉर्म का उपयोग करते हैं, वे ऐसी सुविधाएँ प्रदान करते हैं.
  3. केवल अच्छी प्रतिष्ठा वाले एक्सचेंजों में जमा करें। आप निम्नलिखित सेवाओं का उपयोग करके एक्सचेंज की रेटिंग की जांच कर सकते हैं – CoinGecko,उन्होंने कहा कि इस तरह की घटनाओं को रोकने के लिए सरकार ने कई कदम उठाए हैं। CER.live,उन्होंने कहा कि इस तरह की घटनाओं को रोकने के लिए सरकार ने कई कदम उठाए हैं।CoinMarketCap, उन्होंने कहा कि इस तरह की घटनाओं को रोकने के लिए सरकार की ओर से कोई ठोस कदम नहीं उठाया गया है।क्रिप्टोकरंसीज,आदि.
  4. यदि आप जिन प्लेटफ़ॉर्म का उपयोग करते हैं, ऐसे विकल्पों को प्रस्तुत करने के लिए लॉगिन आईपी श्वेतसूची स्थापित करें.
  5. हमेशा अपने फोन पर इसे स्थापित करने का निर्णय लेने से पहले एक क्रिप्टो वॉलेट पर शोध करें, भले ही यह आपके ऐप स्टोर की सूची में उच्च स्थान पर हो.
  6. API कुंजियों के लिए IP प्रतिबंध सेट करें.
  7. हाल ही में लॉन्च की गई परियोजनाओं में निवेश न करें, जिनके बारे में अभी तक टीम, निवेशकों, आदि के बारे में कोई जानकारी नहीं है। डेफी प्रचार के दौरान, स्कैमर्स ने निवेशकों से क्रिप्टोक्यूरेंसी चोरी करने के लिए दर्जनों घोटाले परियोजनाओं की शुरुआत की।.
  8. सुनिश्चित करें कि आप किसी विश्वसनीय स्रोत से दस्तावेज़ और अन्य फ़ाइलें डाउनलोड करते हैं.
  9. हमेशा अपने ऑपरेटिंग सिस्टम के नियमित सुरक्षा अपडेट करें.
  10. केवल आधिकारिक वेबसाइटों से एप्लिकेशन और संबंधित अपडेट डाउनलोड करें.

निष्कर्ष

क्रिप्टोक्यूरेंसी बाजार की वृद्धि के साथ, उपयोगकर्ता धन और डेटा चोरी करने की उम्मीद में नई योजनाएं जारी हैं। उपयोगकर्ताओं को उनके द्वारा प्राप्त ईमेल और अन्य सूचनाओं के बारे में बहुत सावधान रहना चाहिए.

इस लेख में, हमने 10 बिंदुओं पर वर्णन किया है कि उपयोगकर्ता घुसपैठियों से खुद को कैसे बचा सकते हैं। यदि आप इन उपायों का पालन करते हैं, तो हैकर्स के लिए आपके डेटा या फंड को चुराना मुश्किल होगा.

यह आलेख मूलतः पर दिखाई दिया हैकेन.

Zlata Parasochka एक तकनीकी लेखक और क्रिप्टो विश्वासी हैं। हैकर नून वेबसाइट पर उसका अपना ब्लॉग भी है। उसका नवीनतम लेख मिल सकता है यहां.

फीचर्ड इमेज: शटरस्टॉक / एलेक्स वोलेट

About the author

Related Posts

Copyright . All rights reserved.